NT Authority \ System 및 SDDL 오류

Question

내 회사 소프트웨어 패키지를 설치하는 고객은 관리자 계정으로 실행할 때 패키지를 자동 설치하는 데 아무런 문제가 없습니다. 소프트웨어와 서비스가 올바르게 설치되고 설치 후부터 시작됩니다. 그러나 - 그들은 특정 그룹의 모든 컴퓨터에이 응용 프로그램을 푸시해야합니다.

그들은 SCCM을 사용하고 있습니다 (버전은 모르겠습니다). 소프트웨어 패키지는 InstallShield .exe 패키지 .msi입니다.

NT Authority \ System 사용자가 패키지를 테스트 장치에 밀어 넣으려고하면 포함 된 타사 소프트웨어 패키지가 완료된 직후 설치가 실패합니다. 오류 로그에 SDDL 오류 1943이 표시됩니다.이 문제는 NTA \ System 계정에서 발생하며 특정 시스템에 대한 로컬 관리자 계정에서는 발생하지 않습니다.

우리가 사용하고있는 자동 설치 문자열은 setup.exe를/S/V "/ QN AgreeToLicense = 예 SetupType = 일반"내가 dev에 아니에요, 그래서 어떤 코드에 직접 액세스 할 필요 없다

소프트웨어, 고객과 협력하는 단순히 3 단계 기술 지원

Answer 1

MSI와 같은 사운드는 MsiLockPermissionsEx 테이블을 사용하여 일부 리소스에서 설치 또는 구성 (파일, 디렉터리, 서비스 또는 레지스트리 항목)의 SDDL 문자열을 지정합니다. SDDL 문자열이 잘못 구성되었거나 (하나의 계정에서 작동하지만 다른 계정에서는 작동하지 않을 수 있음) 대상 디렉토리/서비스/레지스트리 키의 ACL이 손상된 것입니다. 이는 전례가 없습니다.

고객이 컴퓨터에 로컬 관리자로 도메인 계정을 배포하고이 계정으로 패키지를 실행하도록 SCCM을 설정하도록 유도 할 수 있습니다. 나는 고유 한 보안 위험을 가지고 있기 때문에 이것을 추천하지는 않을 것입니다.

귀하의 개발자 (또는 MSI를 만든 사람)가 고객과 협력하여 결함이있는 리소스를 찾아 진단을 진행해야 할 수도 있습니다.

죄송합니다. 도움이되지 못해 죄송합니다.

Answer 2

나는이 문제를 발견했다고 생각한다. 설치하는 동안 .msi는 설치 될 서비스의 구성 설정을 읽을 파일을 바탕 화면에 씁니다. 나는 설치를 위해 시스템 사용자를 호출하려고 할 때 이미 데스크탑에 쓰여진 파일 (그리고 나는 고객도 그렇게했다고 확신한다)을 가지고 있었다. 이것은 로컬 사용자 데스크탑에 대한 시스템 사용자 읽기/쓰기와 관련하여 ACL 문제 인 것 같습니다. 파일이 삭제되면 1406 오류가 발생하여 키 값을 쓸 수 없습니다. 바탕 화면을 보면 파일도 로컬 데스크톱에 기록 된 적이 없었습니다. 파일이 이미 있었을 때 (이전 설치와 같이) 원본 게시물에 오류가 나타납니다. 이 시점에서 나는 ACL 오류로 이것을 테스트하고 devs에게 내 결과를 통지합니다.