Будет ли установка программного обеспечения GPO повторно устанавливать уже установленные приложения из другой политики?
Я хочу установить наш последний пакет AV с помощью политики установки программного обеспечения GPO. (Как в скриншоте ниже.)
К сожалению, мой запрос на использование DFS был отклонен, и мне нужно создать объект групповой политики для каждого сайта в нашей среде (каждый сайт представляет собой свою собственную подсеть). У меня проблема в том, что многие пользователи путешествуют между сайтами, поэтому при переходе на другой сайт они получат новый объект групповой политики и выпадут из области действия предыдущего объекта групповой политики.
Я не могу найти какой-либо конкретной документации относительно того, будет ли установка программного обеспечения GPO переустановить приложение, если оно уже существует на текущем ПК. Я воспользуюсь возможностью покинуть приложение, когда компьютер выйдет из поля зрения.
Из своего исследования я обнаружил, что GPO будет применяться только в том случае, если версия GPO изменилась, и это нормально, но как насчет фактического MSI?
Я нашел два сценария, которые люди выдвигают, но не могут вернуться:
Объект групповой политики вызывает службу установщика Windows, которая проверяет список установленных программ и устанавливает, только если текущей версии MSI нет.
Программа установки GPO хранит свой собственный кеш приложения со своим списком программного обеспечения и устанавливает приложение, если его нет в этом списке, даже если оно уже установлено.
Может ли кто-нибудь подтвердить правильность информации для меня?
РЕДАКТИРОВАТЬ: Спасибо за ответы, ребята, я знаю о других альтернативных способах развертывания программного обеспечения, однако то, что мне нужно, - это конкретный ответ относительно того, переустанавливает ли развертывание GPO пакет, если он уже существует на рабочей станции.
Если это другой объект групповой политики, он может попытаться переустановить. Если он действительно завершится, переустановка зависит от пакета. Установка программного обеспечения Объекты групповой политики имеют множество ограничений и не являются самым гибким методом развертывания приложений. Вам следует использовать его только в том случае, если у вас нет реального решения для развертывания, такого как BigFix или SCCM.
Вы можете обойти это, создав фильтр, чтобы указать предпочтение групповой политики для поиска тега, который будет указывать, установлено ли приложение. Например, если служба ntrtscan не существует.
Больше информации здесь:
http://evilgpo.blogspot.com/2012/05/inverting-wmi-filters.html
Обратите внимание на пример внизу. Вы должны создать фильтр таргетинга на уровне элемента для несуществующей услуги.
Когда мне приходилось делать это в прошлом, я избегал использования объекта групповой политики установки программного обеспечения, потому что он ограничен и вызывает столько же проблем, сколько решает.
РЕДАКТИРОВАТЬ: В ответ на ваше изменение, ДА, объекты групповой политики установки программного обеспечения могут и будут переустанавливать программное обеспечение, которое уже установлено. (Это одна из проблем, которые они вызывают, но далеко не единственная.) В вашем сценарии, если вы решите использовать объект групповой политики установки программного обеспечения, вам придется приложить определенные усилия, чтобы предотвратить это, например предложение в ответе Грега.
Когда мне приходилось использовать объекты групповой политики для установки программного обеспечения, в прошлом я использовал объект групповой политики, который запускает установку по сценарию, которая проверяет, не установлена ли эта вещь еще. См. Пример ниже для установки на ПК * Miler26 содрогаться к кучке машин XP.
На снимке экрана показан объект групповой политики сценария запуска, указывающий на место в нашей корпоративной DFS (которое я отредактировал), а сам сценарий представляет собой файл bat из-за ограничений в нашей среде - машины XP и WMI часто ломаются. наши клиенты, это единственное, что работает надежно.
echo off
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)
REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed. So install it.
:Install
\\[Our DFS software share]\PCMiler26\Network\setup.exe /s
REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on. No installation.
:End
Я знаю, что это немного устарело, но я искал кое-что, связанное с этим, и подумал, что тоже поделюсь своим опытом.
Это зависит от того, как вы назначаете приложения. Также приложения GPO Applied в большинстве своем плохи. В своем тестировании я назначил его через компьютеры (от домена 2012 R2 до компьютера Win7, протестировано с помощью Kaspersky MSI).
Для проверки я сделал копию объекта групповой политики, который развернул MSI, и применил его к ранее связанному подразделению. Я запустил gpupdate / force, и мне не было предложено перезагрузить компьютер (что означает, что к компьютеру не были применены никакие изменения). Чтобы подтвердить применение GPO, запустите gpresult / R и подтвердите, что Copy_of_GPO применено bieng. Чтобы дважды проверить, как объект групповой политики обращается с установщиком, я просмотрел то, что было сказано в реестре. «HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ AppMgmt \» (благодаря Назначение программного обеспечения через групповую политику - как клиент узнает, установлен ли пакет или нет) GUID объекта групповой политики COPY_of_GPO появился в объектах групповой политики. Единственный экземпляр Product ID находился в AppMgmt и содержал исходный GUID GPO в качестве исходного GPO.
Где это плохо; Предположим, вы затем отключили один из объектов групповой политики. Поскольку объект групповой политики, применяющий MSI, больше не применяется, этот MSI удаляется. Даже если это назначил другой GPO. Этот сбой имеет значение, потому что, очевидно, применяемые GPOS перечисляются до применения их настроек (вот почему, если вы назначаете нескольким программам несколько GPO, все они устанавливаются одновременно). Если объекты групповой политики, которые применяют программное обеспечение, обрабатываются и удаляются, создается (проигрышная) гонка. GUID GPO существует, а GUID PKG - нет.
Ситуация еще хуже с AV, у которого могут быть проблемы с установкой / удалением Windows. Фактически, у Kaspersky даже есть автономный деинсталлятор для удаления собственного клиента. AV не любит уходить.
Это еще больше усложняется из-за плохо настроенного MSI.
TL: DR Не используйте назначенные приложения через GPO, особенно с AV.
Дополнительное чтение: https://msdn.microsoft.com/en-us/library/cc782152%28v=ws.10%29.aspx