NT Authority\系统和SDDL错误

Question

安装my companies软件包的客户在以管理员帐户身份运行时，以静默方式安装软件包没有问题。软件和服务均已正确安装并在安装后启动。但是，他们需要将此应用程序推送到特定组中的所有计算机。

他们使用的是SCCM (我不知道版本)，软件包是InstallShield .exe package .msi。

当他们尝试使用NT Authority\System用户将软件包推送到他们的测试设备时，安装在包含的第三方软件包完成后不久就会失败。错误日志显示为SDDL错误1943。知道为什么这会发生在NTA\System帐户上，而不是在给定计算机的本地管理员帐户上吗？

我们使用的静默安装字符串是setup.exe /s /v“/qn AgreeToLicense=Yes SetupType=Typical”

我不是一个开发人员，所以我不能直接访问软件中的任何代码，只是与客户一起工作的第三层技术支持。

Answer 1

我想我找到问题所在了。在安装过程中，.msi会将一个文件写入桌面，以便在安装时读取服务的配置设置。当我试图调用系统用户进行安装时，我已经将文件写入桌面(我相信客户也是这样做的)。就系统用户对本地用户桌面的读/写而言，这似乎确实是一个ACL问题。当文件被删除时，我收到错误1406，它不能写一个键的值。在桌面上，该文件也从未写入过本地桌面。当文件已经存在时(就像以前的安装一样)，我在最初的post中得到了错误。在这一点上，我继续测试这是一个ACL错误，并将我的发现通知开发人员。

Answer 2

听起来像是您的微星正在使用SDDL表在其安装或配置的某些资源(文件、目录、服务或注册表项)上指定MsiLockPermissionsEx字符串。SDDL字符串配置错误(如果从一个帐户但不能从另一个帐户工作，则不太可能)，或者目标目录/服务/注册表项上的ACL已损坏，这并非完全闻所未闻。

您可以尝试让客户将域帐户部署为计算机的本地管理员，然后将SCCM设置为使用此帐户运行包。我不推荐这样做，因为它本身就有固有的安全风险。

我担心这可能是您的开发人员(或创建MSI的人)需要与客户一起解决的问题，以找出哪些资源有问题并进行诊断。

抱歉，我不能再帮上忙了。