ESET Remote Administrator - Result Code: 5 (Access is denied.)

[Retif]

На сервер с Windows server 2008 R2 установлены ESET Remote Administrator Server 4.0.138.0 и ESET Remote Administrator Console 4.0.138.0.

Добавлен package ESET Nod32 Antivirus Business Edition 4.2.71.2 x64.

При попытке удаленной установки (указываются логин и пароль администратора домена) происходит ошибка, получаю вот такие логи:

***
Diagnostics user context:                                                                          ***\***
Operating System:                                                                                      Windows Server 2008 R2 Enterprise
Operating System Version:                                                                       6.1

Push installation simulation steps:
Setting IPC$ Connection:                                                                          Result Code: 0 (The operation completed successfully.)
Remote Registry Connecting (OS Info):                                                 Result Code: 0 (The operation completed successfully.)
Remote Registry Opening (OS Info):                                                       Result Code: 0 (The operation completed successfully.)
Remote Registry Reading (OS Info):                                                       Result Code: 0 (The operation completed successfully.)
Remote Registry Connecting (ESET Security Product Info):              Result Code: 0 (The operation completed successfully.)
Remote Registry Opening (ESET Security Product Info):                    Result Code: 5 (Access is denied.)
Setting ADMIN$ Connection:                                                                     Result Code: 0 (The operation completed successfully.)
Copying ESET Installer:                                                                             Result Code: 0 (The operation completed successfully.)
Setting IPC$ Connection:                                                                          Result Code: 0 (The operation completed successfully.)
Registering ESET Installer as a Service:                                               Result Code: 5 (Access is denied.)
Diagnostics conclusion:                                                                            Result Code: 1603 (Fatal error during installation.)

На удаленном компьютере фаервол выключен, служба Remote Registry запущена, простой общий доступ отключен, админские шары admin$, c$ доступны.
Если на сервере с ESET Remote Administrator Server службу «ESET Remote Administrator Server» запускать от администратора домена, то ошибки нет и установка проходит нормально.
Если от Local System (по дефолту), то есть ошибка. Если от специально созданной учетной записи с правами пользователя (или локального администратора) то опять получаем ошибку.
Вопрос, что делать, из под администратора домена службу «ESET Remote Administrator Server» запускать не устраивает.

Такая проблема происходит при установке на любой компьютер домена.

Отсылал эту проблема в официальную поддержку ESET, ответ получил очень странный:


ТП

Здравствуйте.

1. Данная ситуация описана в документации "ESET Remote Administrator 4".

"Внимание! В последних версиях ОС Microsoft Windows (Windows Vista, Windows Server 2008 и Windows 7)
используются политики безопасности, ограничивающие разрешения учетной записи локального
пользователя, то есть пользователь может быть не в состоянии выполнять определенные действия с сетью.
Если служба ERA работает в учетной записи локального пользователя, в некоторых конфигурациях сети могут
возникнуть проблемы с запуском установки (например, при удаленной установке из домена в рабочей группе).
В системах Windows Vista, Windows Server 2008 или Windows 7 рекомендуется запускать службу ERA с
достаточными разрешениями доступа к сети. В сценарии расширенной установки можно указать учетную
запись, от имени которой должна выполняться служба ЭРА."


2. Вы можете использовать иные варианты удаленной установки пакета ESET описанные в документации, например: “4.3 Установка в корпоративной среде. 4.3 Установка в корпоративной среде
При развертывании программ в больших сетях важно использовать средство, способное выполнять
удаленную установку программ на всех компьютерах в сети.
Установка с использование групповой политики”

Я:

Добрый вечер.

Я не вижу здесь ответа на свой вопрос. Какие именно «достаточные разрешения доступа к сети» должны быть у учетной записи для запуска службы ERA? Рабочей группы никакой нет, всё происходит в домене.

Вариант установки MSI-пакета через групповые политики не интересует.

ТП

Здравствуйте.

1. В первом пункте ответа Вам дана вырезка из документации к пакету "ESET Remote Administrator 4".

Под данными словами подразумевается то что, при установке пакета ESET в домене служба ERA должна быть запущена из-под учетной записи администратора домена.

2. Вы можете использовать иные варианты удаленной установки пакета ESET описанные в документации.

Понять, что это подразумевается, мой разум не в состоянии. Если кто знает, как решить проблему без предоставления учетной записи службы ERA прав администратора домена, пишите тут.

[Halvelven]

Может, сначала дать права, а потом отобрать?

[Retif]

Halvelven, куда дать, какие права и т.п. Выражайся яснее.

[shs]

1. Данная ситуация описана в документации "ESET Remote Administrator 4".

"Внимание! В последних версиях ОС Microsoft Windows (Windows Vista, Windows Server 2008 и Windows 7)
используются политики безопасности, ограничивающие разрешения учетной записи локального
пользователя, то есть пользователь может быть не в состоянии выполнять определенные действия с сетью.
Если служба ERA работает в учетной записи локального пользователя, в некоторых конфигурациях сети могут
возникнуть проблемы с запуском установки (например, при удаленной установке из домена в рабочей группе).
В системах Windows Vista, Windows Server 2008 или Windows 7 рекомендуется запускать службу ERA с
достаточными разрешениями доступа к сети. В сценарии расширенной установки можно указать учетную
запись, от имени которой должна выполняться служба ЭРА."

Не вижу ничего про требование запуска из-под доменного админа. Есть требовани запуска из-под нелокальной учетки. Ну так пусть стартует из-под доменной учетки. В чем проблема?

[Retif]

Если от специально созданной учетной записи с правами пользователя (или локального администратора) то опять получаем ошибку.

shs, зато вот здесь оно есть:

For Windows Vista, Windows 7 and Windows Server 2008 operating systems, verify the following:

-User Account Control (UAC) should be disabled.
 -On machines where UAC is not or cannot be disabled, the ESET Remote Administrator service should be run with Domain Administrator permissions.
 -To set Domain Administrator permissions for ERA, navigate to Start  Control Panel  Administrative Tools  Services. Select ESET Remote Administrator Server service from the list and click the Log On tab.

http://kb.eset.com/esetkb/index?page=content&id=SOLN82
Пункт 10 

[shs]

Ну, чтож очтается только поздравить ESET с замечательным продуктом 

[Stierlitz]

Shurikz, а чем не устраивает запуск от админа?


У нас консоль касперского стоит. Логично что установка должна происходить от пользователя имеющего права администратора на клиентском компьютере.
Клиент устанавливается от имени того пользователя, от которого запущена служба консоли на сервере.

Соответственно какие права могуть быть у локальной службы или локального пользователя сервера на клиентском компьютере?

[Retif]

Логично что установка должна происходить от пользователя имеющего права администратора на клиентском компьютере.

Логично. Имя пользователя и парлоль доменного админа мы задаем в процессе PUSH-установки. Какое к нему имеет отношения служба ERA, непонятно.

[DedMagarbI4]

Shurikz, ну как варик создаем еще одного админа домена, закускаем установку из под него, после установки ограничиваем в правах. как то такю 

[Halvelven]

Halvelven, куда дать, какие права и т.п. Выражайся яснее.

Гм. Дай учетке ESET права доменного админа, поставь все куда надо и отбери обратно.