User installations are disabled by policy on the machine.

Recentemente trabalhei em um projeto de Remediação de Aplicativos para Windows 7, e me deparei com a mensagem de erro abaixo quando realizava a instalação de alguns MSI’s.

“User installations are disabled by policy on the machine.”

Pesquisando sobre o assunto, descobri que uma GPO “Prohibit User Installs” inibia a instalação do MSI. Esta GPO alterava a chave de registro abaixo:

key: HKLM\Software\Policies\Microsoft\Windows\Installer
Value: DisableUserInstalls
Type: REG_DWORD
Data: 1 (enable)

Solução 1:
Editar GPO de forma que o valor especificado na chave “DisableUserInstalls” seja 0 (disable).

Solução 2:
Alterar o contexto de instalação do MSI, adicionando parametro ALLUSERS = 1 na tabela do arquivo MSI.*

 

 

 

 

Figura ilustrativa
Importante: Este passo deve ser realizado com cuidado, pois adicionando o parametro acima na tabela do arquivo MSI estamos forçando o contexto de instalação de máquina para este MSI, e dependendo do aplicativo esta ação pode fazer com que o aplicativo não seja instalado corretamente.

Solução 3:
Antes de realizar a instalação do MSI, utilizando credenciais administrativas, alterar o valor da chave “DisableUserInstalls” para 0 (disable).

* Para editar a tabela de um arquivo MSI, utilize o aplicativo ORCA.

Desativando alteração automática de senha de conta de máquina

Este post será de grande utilidade para aqueles que utilizam máquinas virtuais (criadas no hyper-v, por exemplo) inseridas em um domínio (ADDS) e que vez ou outra precisem retornar para um snapshot antigo.

Eu particularmente já me deparei com este problema algumas vezes. No meu ambiente de VMs quando precisava efetuar um rollback de uma determinada VM, que havia sido inserida no domínio, eu percebia que ao retornar o snapshot não era mais possível realizar logon no domínio. Para contornar o problema, eu tinha que remover e reinserir o computador no domínio, e isto acontecia devido a senha da conta de máquina gravada no meu snapshot não ser mais a mesma senha de conta de máquina registrada no ADDS.

Existem duas maneiras de contornar este problema, ambas estão descritas no KB a seguir  http://support.microsoft.com/kb/154501/en-us

Dica:

No KB acima é demonstrado como alterar o comportamento do ADDS de forma que todas as contas de máquinas não alterem a senha de conta de máquina, ou ainda, é demonstrado como alterar o comportamento de um único computador, para que este não tenha sua senha de conta de máquina alterada no ADDS.

Faço aqui uma transcrição dos passos mencionados no KB, para alteração do comportamento de um único computador, acrescentando alguns passos, de forma que este computador manterá a sua senha de conta de máquina, independente da existência de GPO que force a alteração.

Importante:

• Antes de seguir com o passo-a-passo, devemos certificar que é possível efetuar logon no domínio ADDS a partir desta VM.
• Toda alteração realizada no Registro do Windows, deve ser realizada com extremo cuidado, alterar o registro do Windows de forma incorreta pode ocasionar mal funcionamento do sistema operacional.

 

1 – Iniciar o Editor do Registro, para isto clique em Iniciar, clique em Executar, digite regedit e clique em OK.

2 – Localize e clique na chave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3 – No menu Editar, selecione Novo e então clique em Valor DWORD.

4 – No campo Nome digite RefusePasswordChange e pressione ENTER.

5 – No menu Editar clique Modificar.

6 – No campo Dados do valor, digite o valor 1 e clique em OK

7 – Clique com botão direito na chave, em seguida clique em Permissões…  :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

8 – Na aba Segurança, clique no botão Avançadas

9 – Desmarque a opção “Incluir permissões herdáveis provenientes do pai deste objeto”

10 – Na janela “Segurança do Windows” que será exibida clique no botão Adicionar

11 – De volta a janela de “Configurações de Segurança“, na aba Permissões selecione a conta de SISTEMA e clique no botão Editar

12 – Na janela que será aberta, localize as permissões “Definir Valor” e “Excluir“, e marque o valor Negar para ambas.

13 – Clique em OK.

14 – Repita os passos de 11 a 13, e altere as permissões do grupo Administradores.

15 – Clique em OK, OK para confirmar as alterações e feche o Editor do Registro

16 – Crie um novo Snapshot com estas alterações de registro.

 

A partir de agora a conta de maquina não terá mais a sua senha alterada, nem mesmo por uma GPO, podemos então realizar rollback do snapshot sem que a conta de máquina perca o sincronismo de senha com o ADDS.

Error code: 4604EE8-14902204-0000180B

————————— Application Virtualization Error —————————

The Application Virtualization Client could not launch <APPNAME>.

The operation failed because you do not have sufficient permissions to stream from a file. Report the following error code to your System Administrator.

Error code: 4604EE8-14902204-0000180B

• Sintoma:

Mensagem de erro “4604EE8-14902204-0000180B” exibida quando iniciamos uma aplicação que foi instalada a partir de uma arquivo MSI (pacote app-v stand-alone).

• Motivo:

Devido a forma como o cliente do App-V está configurado na estação (uso através streaming) ocorre este erro quando tentamos utilizar a aplicação oriunda de um pacote de instalação (MSI) Stand-Alone.

• Solução 1:

Remover client do App-V e reinstalar utilizando opção de instalação customizada:

– selecionar a opção “Permitir Fluxo de Arquivos”

– desmarcar a opção “Requerer autorização do usuário mesmo quando em cache”

• Solução 2:

Remover client do App-V e reinstalar utilizando a linha de comando abaixo:

SETUP.exe /s /v”/qn ALLOWINDEPENDENTFILESTREAMING=TRUE REQUIREAUTHORIZATIONIFCACHED=FALSE SWICACHESIZE=10240 AUTOLOADTARGET=PREVUSED AUTOLOADONLOGIN=1 AUTOLOADONLAUNCH=1 AUTOLOADONREFRESH=0

• Solução 3:

1 – Edite as chaves de registro :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SoftGrid\4.5\Client\Configuration]

“AllowIndependentFileStreaming”=dword:00000001

“RequireAuthorizationIfCached”=dword:00000000

2 – Reinicie os serviços:

Application Virtualization Service Agent

Application Virtualization Client

 

IMPORTANTE:

1 – Em todas as soluções propostas, teremos efeito colateral:

Todas as aplicações (pacote app-v stand-alone) instaladas no computador não funcionarão mais, sendo necessário remover e reinstalar as mesmas.

2 – No momento da execução do pacote MSI (destas aplicações que desapareceram do menu iniciar) será exibido a opção de REPAIR e REMOVE, caso seja solicitado REPAIR, ocorrerá erro abaixo, portanto devemos utilizar a opção REMOVE em seguida executar MSI como uma nova instalação:

——————————————————————————————————

The Application Virtualization Client could not complete the operation.

The protocol specified in the OSD file is not supported. Report the following error code to your System Administrator.

Error code: 4604EE8-04300507-000D3002

Error code: 4604EE8-14200C2A-00000005

————————— Application Virtualization Error —————————

The Application Virtualization Client could not complete the operation.

Access is denied.

Error code: 4604EE8-14200C2A-00000005

—————————————————————————————————

• Sintoma:

No momento da instalação de um pacote (bolha) através de um MSI ocorre mensagem de erro acima.

• Motivo:

Processo SFTLIST.EXE não tem permissão para “CreateFile” no diretório onde se encontra o MSI de instalação.

• Solução:

Copiar pacote (bolha) para local onde a credencial utilizada para execução do MSI tenha permissão de escrita.

“Windows could not configure one or more system components. To install windows, restart the computer and then restart the installation”

Recentemente realizei um laboratório de distribuição do Windows 7 (Zero Touch Installation) via SCCM 2007, quando era adicionado a instalação do LanguagePack (pt-BR) na TaskSequence da fase PostInstall, ocorria o erro abaixo durante o processo de instalação:

“Windows could not configure one or more system components. To install windows, restart the computer and then restart the installation”

Causa: Insuficiência de memória na VM.

Solução: Adicionar mais memória na VM deixando a mesma com 1GB de RAM, desta forma o processo de distribuição funcionará adequadamente.

 

Script PING

Provavelmente você já se deparou com uma lista gigantesca de IPs os quais você desejava realizar PING de forma automática, segue script e arquivo xls que automatizam este trabalho.

 

DOWNLOAD

1 – Após realizar o download, descompacte o arquivo .rar em uma pasta qualquer.

2 – Abra/Edit a planilha “Ping.xls” :

• Na coluna 1 “Estação”, digite todos os IPs que deseja consultar, salve e encerre o Excel.

3 – Execute o script “Ping Script.vbs” (o arquivo XLS deve estar na mesma pasta que o script).

Observe que a planilha será aberta novamente, e o resultado do PING será exibido na coluna 2 “Status”, teremos duas alternativas:

• OK = teste de ping retornou resposta.
• PING Sem resposta = teste de ping não retornou resposta.

Escopo: Implantação de Mecanismo de SHUTDOWN (Force) através do SMS 2003 e SCCM 2007

A Solução

1 – Criação de arquivos VBS / INI / HTA que possibilitam a realização de processo de SHUTDOWN (download files)

Arquivos envolvidos no processo:

• Gerencia-Shutdown.vbs = finalidade de gerenciamento do horário que será permitido a execução do processo de Shutdown (Force);

Obs.: Este vbs controla o horário de execução dos arquivos Shutdown_wxp_w7.hta ou Shutdown_w2k.hta

• Shutdown_wxp_w7.hta = janela de front-end do processo de Shutdown, aquilo que o usuário irá visualizar (Windowns XP e 7);
• Shutdown_w2k.hta = janela de front-end do processo de Shutdown, aquilo que o usuário irá visualizar (Windowns 2000);
• Grava_log_Cancel.vbs = finalidade gravação de logs de controle, para auditar os computadores estão cancelando o processo de Shutdown;
• Grava_log_Desligado.vbs = finalidade gravação de logs de controle, para auditar os computadores que estão sendo desligados pelo processo de Shutdown;
• Shutdown.ini = defini o path onde se localiza os arquivos VBS / HTA e o local onde as logs de controle serão criadas/gravadas, além de definir as variáveis de tempo relacionadas a execução do script de shutdown;
• iniBASE.vbs = vbs que realiza leitura do arquivo Shutdown.ini;
• LogoPrincipal_menor.gif e RodapePrincipal.gif = imagens que formam a janela de front-end visualizada pelo usuário.

DOWNLOAD

2 – Após realizar o download, descompacte os arquivos no servidor SMS/SCCM. (Ex.: \\servidorsccm\packagesource)

3 – Edite o arquivo Shutdown.ini e especifique:

• Path dos arquivos VBS e HTA
• Path onde as LOGS de controle serão armazenadas (Obs.: o usuário deve ter acesso de escrita / leitura neste caminho)
• Especifique o horário permitido para a execução do arquivo HTA
• Especifique a quantidade de tempo que será aguardado antes do inicio do Shutdown.

3 – Criação de Collection, Pacote, Programa e Advertisement no SMS/SCCM.

• Na console do SMS/SCCM, crie uma COLLECTION chamada SHUTDOWN, adicione os computadores que deseja incluir no processo de shutdown (force).
• Crie um PACKAGE chamado SHUTDOWN, e defina o “Data Source” (local onde descompactou os arquivos VBS / HTA / INI)
• Crie o PROGRAM e especifique o “Command Line” = gerencia-shutdown.vbs
• Crie o ADVERTISEMENT diário para este PACKAGE/PROGRAM, especifique a COLLECTION SHUTDOWN e defina o horário. (Obs.: o horário para execução deste ADVERTISEMENT deve ser o mesmo horário da variável HrInício especificada no arquivo Shutdown.ini)
• Defina o Distribution Point