Error de instalación de la directiva de grupo error 1274

Estoy tratando de implementar un MSI a través de la Política de grupo en Active Directory. Pero estos son los errores que obtengo en el registro de eventos del sistema después de iniciar sesión:

• La asignación de la aplicación XStandard desde la instalación de la política falló. El error fue: %% 1274
• La eliminación de la asignación de la aplicación XStandard de la instalación de políticas falló. El error fue: %% 2
• Error al aplicar cambios a la configuración de instalación del software. La instalación del software implementado a través de la Política de grupo para este usuario se ha retrasado hasta el siguiente inicio de sesión porque los cambios deben aplicarse antes del inicio de sesión del usuario. El error fue: %% 1274
• La instalación del software de extensión del lado de cliente de directiva de grupo no pudo aplicar una o más configuraciones porque los cambios deben procesarse antes del inicio del sistema o el inicio de sesión del usuario. El sistema esperará a que el procesamiento de la directiva de grupo termine por completo antes del próximo inicio o inicio de sesión para este usuario, y esto puede resultar en un inicio lento y un rendimiento de arranque.

Cuando reinicio y vuelvo a iniciar sesión, simplemente recibo los mismos mensajes sobre la necesidad de realizar la actualización antes del próximo inicio de sesión. Estoy en una computadora portátil con Windows Vista de 32 bits. Soy bastante nuevo en la implementación a través de la política de grupo, entonces, ¿qué otra información sería útil para determinar el problema? Intenté un MSI diferente con los mismos resultados. Puedo instalar el MSI usando la línea de comando y msiexec cuando estoy conectado a la computadora, así que sé que el MSI está funcionando bien al menos.

Estás viendo el temido flagelo del procesamiento asincrónico de políticas. No es una "característica" (y estaba desactivada por defecto en Windows 2000, pero por defecto en Windows XP y superior) y causa exactamente lo que está viendo: comportamiento no determinista al procesar algunos tipos de configuraciones de GPO.

En un GPO que se aplica a esa computadora, agregue la siguiente configuración:

• Configuraciones de computadora
  • Plantillas Administrativas
    • Sistema
      • Inicio de sesión
        • Siempre espere a que la red se inicie e inicie sesión en la computadora: habilitado

Después de configurarlo (y permitir que el GPO se replique si se encuentra en un entorno de múltiples CC), realice una "gpupdate / force / boot" en la PC en cuestión. Se reiniciará y debería ver que se produce la instalación del software.

La opción "Esperar siempre la red al inicio e inicio de sesión de la computadora" ralentiza ligeramente el inicio y el inicio de sesión porque todas las extensiones de GPO pueden procesar, pero lo bueno es que todas las extensiones de GPO pueden procesar.

Intenté la opción Esperar siempre la red al iniciar e iniciar sesión en la computadora: configuración habilitada de la respuesta de @Evan Anderson, pero no fue sino hasta que agregué esta configuración a continuación también lo que permitió que el software se instalara. No estoy seguro si fue una combinación de ambas configuraciones o no. Está funcionando ahora, así que dejo ambas configuraciones.

En una Política de grupo aplicada a estas estaciones de trabajo, navegue hasta:

Configuración del equipo> Políticas> Plantillas administrativas> Sistema> Política de grupo

Habilite el tiempo de espera de procesamiento de la política de inicio Especificar . Establecer la cantidad de tiempo de espera (en segundos) : = 120

120 podría ser excesivo, pero eso funcionó para mí. Otros foros sugirieron configurar eso en 30 segundos. Aunque el valor predeterminado de 30 segundos (cuando la política no está configurada), forzarlo a 30 segundos funcionó para ellos.

Esto puede suceder si la aplicación ya está instalada pero msiexec no puede desinstalarla. El escenario más común es una instalación manual previa con "Solo para mí" seleccionado en lugar de "Todos los que inician sesión en esta computadora".

Puede usar la Utilidad de limpieza de Windows Installer ( http://support.microsoft.com/kb/290301 ) para engañar a la PC para que piense que la aplicación ya no está presente, y luego debería funcionar.

Y acabo de encontrar otra causa diferente de este error. Si tiene configurado el "árbol de expansión" en el conmutador de Ethernet conectado a la estación de trabajo problemática, retrasará la activación del puerto del conmutador cuando la PC se inicie. Deshabilitar Spanning Tree para el puerto del switch o habilitar "Spanning Tree Portfast" para el switchport resolvió este problema en algunas de mis estaciones de trabajo.

Tuve el mismo problema pero ninguna de las soluciones anteriores funcionó. Finalmente descubrí que había otro GPO tratando de instalar el software antes que el mío, y estaba fallando con el error %% 1274 porque el GPO tenía los permisos incorrectos. Por alguna razón, esa falla impidió que mi GPO se instalara, incluso a través del mío tenía los permisos correctos. Una vez que desactivé el otro problema GPO, mi GPO se instaló correctamente.

Cambiar el ' Tiempo de espera del procesamiento de la política de inicio ' me funcionó. Se configuró en 30 segundos, pero ciertas estaciones de trabajo todavía fallaban con %% 1274.

Lo subí a 90 segundos y estaban felices.

A veces, su política de grupo puede arruinarse. Intente eliminar la clave de registro completa HKLM / SOFTWARE / Microsoft / Windows / CurrentVersion / Group Policy. Probablemente encontrará que todo, desde GP, se instala nuevamente al reiniciar. Es posible que desee hacer una copia de seguridad de su registro primero ...

Enfrenté el mismo comportamiento con un par de computadoras portátiles. Funcionaron bien durante un par de años, y de repente no instalaron ningún software nuevo a través de gpo. Forzar la configuración de "Tiempo de espera de procesamiento de la política de inicio" parece haber corregido el problema. Como se dijo antes, debería ser 30 segundos por defecto, pero para mí parecía que las computadoras portátiles no esperaron en absoluto al inicio de las políticas, sino que se saltaron directamente. Todas las computadoras portátiles fueron win7x64, DCs Server2008R2 y Server2012.

Tuvimos el mismo problema. Finalmente descubrimos que nuestras computadoras portátiles estaban autenticadas por RADIUS a WiFi, y la instalación de la red no podía comenzar hasta que el usuario inicia sesión con credenciales de AD (porque no había conectividad de red hasta entonces para ejecutar de forma remota los archivos de instalación). Y después de que el usuario inició sesión, ya era demasiado tarde, ya que la instalación debería comenzar antes de eso.

Cuando el cliente se conectó a través de Ethernet, ¡funcionó de maravilla!

¡Problema resuelto!

Estaba iniciando sesión en las máquinas cliente como usuario de dominio con privilegios de administrador de Enterprise / Domain y podía acceder a una carpeta compartida que contenía paquetes de instalación de MSI sin ningún problema. Sin embargo, en algún momento intenté acceder a él a través de \ IP \ share_path_to_msi_packages_folder desde otra PC que no era de dominio y seguí recibiendo una ventana emergente de inicio de sesión. Básicamente, aunque uno permita todos los usuarios / grupos de dominio y que no sean de dominio o los permisos de lectura / escritura de 'Todos' en la carpeta compartida, todavía no funcionaría y me solicitaría un nombre de usuario / contraseña, lo que no permitiría al cliente local desplegar paquetes apuntados por GPO . Esto es causado por el acceso anónimo deshabilitado por defecto. Después de habilitarlo y otorgar permisos de lectura / escritura a la carpeta MSI, pude implementar con éxito la mayoría de los paquetes y solo falló synology-cloud-station-3.1.-3320.msi (es necesario investigarlo). También pude acceder a la carpeta compartida desde cualquier máquina que no sea de dominio.

Recibía estos mensajes de error casi cada 5 minutos en Eventos> Sistema:

101 La asignación de la aplicación 7-Zip 9.20 (edición x64) desde la instalación de paquetes base de DOMINIO de política falló. El error fue: %% 1274

103 La asignación de la aplicación 7-Zip 9.20 (edición x64) desde la instalación de paquetes base de DOMINIO de política falló. El error fue: %% 1274

108 Error al aplicar los cambios a la configuración de instalación del software. La instalación del software implementado a través de la Política de grupo para este usuario se ha retrasado hasta el siguiente inicio de sesión porque los cambios deben aplicarse antes del inicio de sesión del usuario. El error fue: %% 1274

1112 Error al aplicar los cambios a la configuración de instalación del software. La instalación del software implementado a través de la Política de grupo para este usuario se ha retrasado hasta el siguiente inicio de sesión porque los cambios deben aplicarse antes del inicio de sesión del usuario. El error fue: %% 1274

Preparar:

SERVIDORES DC1 (PDC) + DC2 (BDC) + DC3 (DBC) Windows 2012 R2 Standard completamente actualizado

CLIENTES Windows 7 Pro SP1 (restauración limpia de Dell, paquetes totalmente actualizados y conflictivos como el antiguo Adobe Flash desinstalado)

Ya he probado en clientes:

• gpupdate / force
• gpupdate / force / boot (ambos solicitan reiniciar y arrojan un error de que las políticas no se han aplicado)
• gpresult / r (se ve bien)
• tanto los servidores como los clientes pueden acceder a la unidad compartida donde se almacenan los paquetes MSI
• reiniciado varias veces DC1 y clientes después de cambios en GPO

GPO deshabilita UAC:

* Computer Configuration * Policies * Windows Settings * Security Settings * Local Policies * Security Options ELEVATE WITHOUT PROMPTING: User Account Control: Behaviour of the elevation prompt for administrators in Admin Approval Mode DISABLE: User Account Control: Detect application installation and prompt for elevation DISABLE: User Account Control: Run all administrators in Admin Approval Mode

GPO deploy base software: * Computer Configuration * Policies * Administrative Templates * System * Logon ENABLE: Always wait for the network at computer startup logon * Group Policy ENABLE: Specify startup policy processing wait time (temporarily set to 120 will change to 30 later)

* Computer Configuration * Policies * Software Installation * 7-Zip 9.20 (x64 edition) v9.20 Assigned \LANIP\Utils\Software\GPO\7zip-7z920-x64.msi * Google Chrome v66.41 Assigned \LANIP\Utils\Software\GPO\googlechromestandaloneenterprise.msi * Mozilla Firefox (en-GB) v35.0 Assigned \LANIP\Utils\Software\GPO\firefox-35.0.1-en-gb-msi * Synology Cloud Station v3.1 Assigned \LANIP\Utils\Software\GPO\synology-cloud-station-3.1.-3320.msi

Todos los GPO se colocan en objetos de directiva de grupo y luego se vinculan desde los GPO directamente bajo nuestro dominio. Otras configuraciones como las restricciones de IE de otra configuración de GPO de la misma manera se aplican al cliente correctamente.

No hay otros errores en AD, DHCP, DNS funcionan perfectamente, las máquinas obtienen IP y pueden resolver nombres a través de nslookup, así como hacer ping entre sí en IPv4 / IPv6.

La respuesta de Evan Anderson está bien, pero le falta un descargo de responsabilidad bastante importante:

Esto puede ralentizar significativamente los inicios de sesión fuera del dominio para computadoras portátiles y clientes inalámbricos.

Teniendo en cuenta que la solución sin este GPO es simplemente reiniciar dos veces, realmente no veo por qué alguien tomaría esa compensación.

Windows 2012 R2

En una Política de grupo aplicada a estas estaciones de trabajo, navegue hasta:

Configuración del equipo> Políticas> Plantillas administrativas> Sistema> Política de grupo

Habilite el tiempo de espera de procesamiento de la política de inicio Especificar Establecer la cantidad de tiempo de espera (en segundos): = 120