Каталог приложений SCCM не будет устанавливать приложения, если он запущен как пользователь, отличный от того, который вошел в систему
Мы поигрались с каталогом приложений SCCM и натолкнулись на интересную причуду. Мой менеджер поручил мне внедрить каталог так, чтобы программное обеспечение, которое находится где-то между "одноразовой установкой" и "необходимой для всей рабочей группы", указывало на спектр того, сколько людей нужно, чтобы оно было опубликовано в Каталоге приложений. Наши специалисты службы поддержки могут использовать каталог приложений для развертывания такого рода программного обеспечения для выбора пользователей, которым это необходимо в зависимости от ситуации.
Мы практикуем разделение учетных записей, например, наша справочная служба Rockstar Emmet Brickowski имеет две учетные записи пользователей Active Directory. Его обычный непривилегированный аккаунт, CONTOSO\ebrickowski он должен использовать для всей своей обычной работы, и когда приглашение UAC поднимает свою уродливую голову, он имеет привилегированную учетную запись (CONTOSO\ebrickowski-adm) который является членом команды BUILTIN\Administrators на всех наших рабочих станциях.
Когда пользователь Joe вызывает справочную службу, Эммет дистанционно или физически обращается за помощью к пользователю (наша культура ориентирована на личное время клиента), он входит в каталог приложений со своими привилегированными CONTOSO\ebrickowski-adm и видит множество программного обеспечения, которое он может установить стандартным способом для нашего пользователя.
За исключением случаев, когда Эммет нажимает кнопку "Установить", он получает это:
Теперь я не могу найти ничего в журналах на стороне клиента для того, что произошло. Ничего в AppIntentEval.log, AppDiscovery.log, AppEnforce.log журналы и тому ConfigMgrSoftwareCatalog.log который должен записать действие каталога приложений, не существует.
Если мы развернем приложение в Коллекции пользователей, содержащей наших обычных пользователей, и они будут использовать ту же учетную запись, что они войдут в Windows, чтобы войти в каталог приложений того же приложения, которое ранее не удалось установить. Это заставляет меня поверить, что вы не можете использовать отдельную учетную запись для каталога приложений в качестве текущего сеанса Windows. Что отчасти облом.
- Может ли кто-нибудь проверить, требуется ли вам использовать ту же учетную запись для доступа к каталогу приложений, который вы используете в своей сессии Windows?
- Какие журналы, если таковые имеются, я должен изучить, чтобы исследовать дальше?
- Есть ли другой или лучший способ достичь желаемой цели - использовать каталог приложений в качестве магазина программного обеспечения, к которому обращаются технические специалисты?
2 ответа
Это сделано специально, только пользователи, вошедшие в систему, могут устанавливать приложения через каталог приложений. Попытка "подделать" каталог приложений путем входа в него с другим идентификатором не будет работать.
Правильный способ сделать это - либо объявить программы всем пользователям, либо, поскольку это может запутаться, сделать так, чтобы ваши технические специалисты Rockstar вошли в компьютер под своей учетной записью администратора, либо лично, либо удаленно, с новым SCCM RC. Новый позволяет техническим специалистам получить доступ к экрану входа, а старый - нет.
Примечание: вы слегка противоречите тому, что MS пытается сделать с помощью каталога приложений, он предназначен для пользователей, чтобы устанавливать приложения, которые им нужны, чтобы минимизировать работу службы поддержки, поэтому с небольшим изяществом вы должны быть в состоянии избежать бедствий, но я полностью понимаю, почему вы хотите сделать это таким образом, я просто хотел упомянуть об этом, чтобы вы знали, почему это боль.
Так как в любом случае задействован технический специалист, почему бы просто не нанять технического специалиста для развертывания желаемого приложения для этого пользователя с консоли SCCM?
Если вы хотите сделать его более интерактивным для конечного пользователя, технический специалист может временно добавить конечного пользователя в коллекцию пользователей "все приложения", пока они обращаются к каталогу, и выяснить, что он хочет установить. Затем, как только конечные пользователи установят приложения, вы можете вывести их из этой коллекции и, возможно, развернуть приложения, которые они только что установили, для своего пользователя через какую-то другую коллекцию.