Ich habe mal ein Problem bei der Ausführung eines ClientPush Accountes entdeckt, der vor allem in gehärteten Umgebungen vorkommt. Der ClientPush Account wurde auf den Clients nicht ausgeführt obwohl alle Grenzen und Begrenzungsgruppen eingetragen waren. Ich konnte auch mit der Admin$ Freigabe auf die Clients zugreifen. Trotzdem konnte der Client nicht installiert werden.
In dem LogFile ccmsetup.log auf dem Client findet Ihr folgenden Eintrag:
Problem: Der wichtige Eintrag ist „Unable to get Win32_OperationSystem object from WMI on remote machine“
Ursache: Die Ursache ist eine Sicherheitsrichtlinie auf dem Client, die den „NTLM traffic“ blockiert. Ist dieser blockiert, geht keine Clientinstallation mit dem ClientPushAccount.
Lösung: Ihr könnt die Richtlinie auf den Clients per GPO anpassen. Dazu geht Ihr:
Computerkonfiguration–>Windows-Einstellungen–>Sicherheitseinstellungen–>Lokale Richtlinien–>Sicherheitsoptionen–>Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr Standardwert: Alle Konten verweigern
Hier müsst Ihr die entsprechenden Konten zulassen.
Sollte bei Euch nur NTLM v2 zugelassen sein, dann wird auch keine ClientPushInstallation mit einem Benutzerkonto gehen, da dieses zwingend NTLM v1 benötigt. Ihr müsst dann mit dem SCCM-Serverkonto die ClientPush Installations ausführen lassen.
