Будет ли установка ПО GPO переустанавливать уже установленные приложения из другой политики?

9

Я ищу, чтобы установить наш последний комплект AV через политику установки программного обеспечения GPO. (Как в скриншоте ниже.)

введите описание изображения здесь

К сожалению, мой запрос на использование DFS был отклонен, и мне нужно создать объект групповой политики для каждого сайта в нашей среде (каждый сайт имеет свою собственную подсеть). У меня проблема в том, что многие пользователи перемещаются между сайтами, поэтому при переходе на другой сайт они получают новый объект групповой политики и выходят за рамки предыдущего объекта групповой политики.

Я не могу найти какую-либо конкретную документацию относительно того, будет ли установка программного обеспечения GPO переустанавливать приложение, если оно уже существует на текущем ПК. Я буду использовать опцию, чтобы выйти из приложения, когда компьютер выходит из области видимости.

Исходя из моих исследований, я обнаружил, что объект групповой политики будет применяться только в том случае, если изменилась версия объекта групповой политики, что хорошо, но как насчет реального MSI?

Я нашел два сценария, которые люди выдвигают, но не могут сделать резервную копию:

  1. Объект групповой политики вызывает службу установщика Windows, которая проверяет список установленных программ и устанавливает только в том случае, если текущей версии MSI нет.

  2. Установка GPO сохраняет свой собственный кэш приложения с собственным списком программного обеспечения и устанавливает приложение, если его нет в этом списке, даже если оно уже установлено.

Кто-нибудь может подтвердить правильную информацию для меня?

РЕДАКТИРОВАТЬ: Спасибо за ответы, ребята, я знаю о других альтернативных способах развертывания программного обеспечения, однако мне нужен конкретный ответ о том, будет ли развертывание GPO переустанавливать пакет, если он уже существует на рабочей станции.

windows active-directory group-policy mhouston100
источник
"наш последний AV-пакет с ADSI через GPO"? Уточните пожалуйста
Матиас Р. Ессен
Мы заменяем Symantec Enterprise Protection на Tren-Micro OfficeScan. Нам нужно развернуть клиент (который также удалит клиент SEP).
mhouston100
Установка программного обеспечения Active Directory, она упоминается в документации Technet для развертывания программного обеспечения с объектами GPO. Я просто уберу это, сохранит любые дальнейшие проблемы ясности.
mhouston100
1
@ mhouston100 В ответ на ваше изменение, ДА, объекты групповой политики установки программного обеспечения могут и будут переустанавливать уже установленное программное обеспечение. В вашем сценарии это то, что вы должны будете приложить к работе, чтобы предотвратить, например, предложение в ответе Грега .
HopelessN00b
Я просто хочу, чтобы вы были предупреждены: по крайней мере, начиная с версии 7, сгенерированные Trend Micro MSI ужасны, и из-за них значительное количество машин оказалось в «наполовину установленном» состоянии. Я также хочу согласиться с HoplelessN00b - программа наверняка попытается переустановить.
Эван Андерсон

Ответы:

4

Когда мне приходилось делать это в прошлом, я избегал GPO Software Install, потому что они ограничены и вызывают столько проблем, сколько решают.

РЕДАКТИРОВАТЬ: В ответ на ваши изменения, ДА, GPO установки программного обеспечения могут и будут переустановить программное обеспечение, которое уже установлено. (Это одна из проблем, которые они вызывают, хотя далеко не единственная.) В вашем сценарии, если вы решите использовать GPO для установки программного обеспечения, вам нужно будет что-то предпринять, чтобы предотвратить это, например: предложение в ответе Грега .

Когда мне приходилось использовать объекты групповой политики для установки программного обеспечения, то, как я делал это в прошлом, - это использование объекта групповой политики, который запускает установку по сценарию, которая проверяет, что объект еще не установлен. Смотрите пример ниже, для установки PC * Miler26 содрогнуться в кучу машин XP.

На снимке экрана показано, что объект групповой политики сценария запуска указывает на местоположение в нашей корпоративной DFS (которое я отредактировал), а сам сценарий является файлом bat из-за ограничений в нашей среде - на машинах с XP и WMI часто ломаются на наши клиенты - это единственное, что работает надежно.

введите описание изображения здесь

echo off
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)

REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed.  So install it.
:Install
\\[Our DFS software share]\PCMiler26\Network\setup.exe /s

REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on.  No installation.

:End
HopelessN00b
источник
Спасибо за ответ. Мы уже давно используем сценарии входа и GPO, но я искал другой, более управляемый подход. Проблема не существовала бы, если бы мы использовали DFS, но это не обсуждается. Вам известны какие-либо сведения или документы, касающиеся определенного эффекта перекрестной установки GPO?
mhouston100
@ mhouston100 Нет документации, извините. Я просто избежал этого, потому что это вызвало у меня больше проблем, чем решило. Если я не могу развернуть что-либо через SCCM, я делаю это, как в своем посте, и пропускаю головные боли, с которыми я всегда сталкивался при использовании «функции» GPO установки программного обеспечения.
HopelessN00b
Я так тяжело ловлю SCCM, но стоимость, к сожалению, крайне непомерна для нашей компании. Я продолжу искать, я не думаю, что развертывание GPO на этот раз покроет это ... извергает.
mhouston100
4

Если это другой объект групповой политики, он может попытаться переустановить. Если это действительно завершается, переустановка зависит от пакета. Установка программного обеспечения GPO имеет многочисленные ограничения и не является наиболее гибким способом развертывания приложений. Вы должны использовать его, только если у вас нет реального решения для развертывания, такого как BigFix или SCCM.

Вы можете обойти это, создав фильтр, чтобы указать предпочтение групповой политики для поиска тега, который будет указывать, установлено ли приложение. Например, если служба ntrtscan не существует.

Больше информации здесь:

http://evilgpo.blogspot.com/2012/05/inverting-wmi-filters.html

Обратите внимание на пример внизу. Вы бы создали фильтр таргетинга на уровне элементов для несуществующей службы.

Грег Аскью
источник
Хорошая ссылка для таргетинга на уровне предметов, я думаю, что именно так мы и решим эту проблему. Однако он по-прежнему не дает каких-либо конкретных ответов на вопрос о том, как работает механизм переустановки, и если он будет абсолютно без сомнения, попытаться установить снова, если приложение уже существует.
mhouston100
1

Я знаю, что это немного старо, но я изучал что-то, связанное с этим, и думал, что поделюсь своим опытом тоже.

Это зависит от того, как вы назначаете приложения. Также GPO Applied приложения в основном плохие. В моем тестировании я назначил его через компьютеры (домен 2012 R2 на компьютер с Win7, протестирован с помощью Kaspersky MSI).

Для тестирования я сделал копию объекта групповой политики, в котором был развернут MSI, и применил его к ранее связанному подразделению. Я запустил gpupdate / force и мне не было предложено перезагрузить компьютер (что означает, что на компьютер не было внесено никаких изменений). Чтобы подтвердить применение объекта групповой политики, запустил gpresult / R и подтвердил, что Copy_of_GPO был применен bieng. Чтобы дважды проверить, как GPO обрабатывает установщик, я посмотрел, что в реестре говорится. "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ AppMgmt \" (благодаря назначению программного обеспечения через групповую политику - как клиент узнает если пакет установлен или нет ) GUID GUO COPY_of_GPO обнаружен в объектах групповой политики. Один экземпляр Product ID находился в AppMgmt и содержал начальный GUID объекта групповой политики в качестве исходного объекта групповой политики.

Где это идет плохо; Допустим, вы отключили связь с одним из объектов групповой политики. Поскольку объект групповой политики, который применяет MSI, больше не применяется, MSI удаляется. Даже если другой объект групповой политики назначил его. Этот сбой имеет значение, потому что, по-видимому, применяемые GPOS перечисляются до применения их настроек (поэтому, если вы назначаете несколько программ с несколькими GPO, они все устанавливаются одновременно). Если объекты групповой политики, которые применяют программное обеспечение, обрабатываются и удаляются, создается (проигрышное) состояние гонки. GUID GUO существует, но GUID PKG, который он содержит, не существует.

Это становится еще хуже с AV, который может иметь проблемы с установкой / удалением Windows. На самом деле у Касперского даже есть отдельный деинсталлятор для удаления собственного клиента. А.В. не любит уходить.

Это становится еще сложнее с плохо настроенным MSI.

TL: DR Не используйте Назначенные приложения через GPO, особенно с AV.

Дополнительное чтение: https://msdn.microsoft.com/en-us/library/cc782152%28v=ws.10%29.aspx

Ijustpressbuttons
источник