NT Authority \ System＆SDDL Error

Question

私の会社のソフトウェアパッケージをインストールしている顧客は、管理アカウントとして実行しているときにパッケージをサイレントモードでインストールしても問題ありません。ソフトウェアとサービスの両方が正しくインストールされ、インストール後に起動されます。ただし、特定のグループのすべてのコンピュータにこのアプリケーションをプッシュする必要があります。

彼らはSCCMを使用しています（バージョンはわかりません）。ソフトウェアパッケージはInstallShield .exeパッケージ化.msiです。

NT Authority \ Systemユーザーを使用してパッケージをテストデバイスにプッシュしようとすると、付属のサードパーティ製ソフトウェアパッケージが完了した後すぐにインストールが失敗します。エラーログには、SDDLエラー1943が表示されます。これはNTA \ Systemアカウントで発生し、特定のマシンのローカル管理者アカウントでは発生しません。

我々が使用しているサイレントインストール文字列があるます。setup.exe/s/v「/ QN AgreeToLicense =はいSETUPTYPE =典型的な」私はdevのではないので、私は、内のコードへの直接アクセスを持っていけない

ソフトウェア、単に顧客と協力している第3層技術サポートです。

Answer 1

MSIのようなサウンドは、MsiLockPermissionsExテーブルを使用して、インストールまたは構成（ファイル、ディレクトリ、サービスまたはレジストリエントリ）の一部のリソースでSDDL文字列を指定しています。 SDDL文字列が誤って設定されている（あるアカウントからは動作するが、別のアカウントでは機能しない場合はそうでない）か、ターゲットディレクトリ/サービス/レジストリキーのACLが壊れている。

ドメインアカウントをローカル管理者としてコンピュータに展開してから、このアカウントでパッケージを実行するようSCCMを設定することができます。私はそれがそれ自身の固有のセキュリティリスクを運ぶので、これをお勧めしません。

これは、開発者（またはMSIを作成した人）が、どのリソースに欠陥があり、診断を進めるかを見つけるために顧客と協力する必要があるかもしれません。

私はそれ以上の助けができませんでした。

Answer 2

私はこの問題を発見したと思います。インストール中、.msiは、インストールされているサービスの構成設定を読み込むために、デスクトップにファイルを書き込みます。私はインストールのためにシステムユーザを呼び出そうとしたときに、既にデスクトップに書き込まれたファイルを持っていました（そして私も確信していました）。これは、ローカルユーザのデスクトップへのシステムユーザの読み書きに関連して、ACLの問題のようです。ファイルが削除されると、キーの値を書き込めないというエラー1406が発生しました。デスクトップを見ると、そのファイルはローカルデスクトップに書き込まれたこともありませんでした。ファイルがすでに存在していたとき（以前のインストールの場合など）、元の投稿にエラーが表示されます。この時点で、私はACLエラーとしてこれをテストし、開発者に私の調査結果を通知します。