L'installazione del software GPO reinstalla le applicazioni già installate da una politica diversa?

Sto cercando di installare la nostra ultima suite AV attraverso una politica di installazione del software GPO. (Come nel seguente screenclip.)

inserisci qui la descrizione dell'immagine

Sfortunatamente la mia richiesta di utilizzare DFS è stata respinta e dovrò creare un oggetto Criteri di gruppo per ogni sito nel nostro ambiente (ogni sito è la sua sottorete). Il problema che ho è che molti utenti viaggiano tra i siti, quindi quando si spostano su un altro sito, ottengono il nuovo oggetto Criteri di gruppo e non rientrano nell'ambito dell'oggetto precedente.

Non riesco a trovare alcuna documentazione concreta sul fatto che l'installazione del software GPO reinstalli un'applicazione se esiste già sul PC corrente. Userò l'opzione per lasciare l'app quando il computer non rientra nell'ambito.

Dalla mia ricerca ho scoperto che l'oggetto Criteri di gruppo si applicherà solo se la versione dell'oggetto Criteri di gruppo è cambiata, il che va bene, ma per quanto riguarda l'MSI effettivo?

Ho trovato due scenari che la gente propone ma non può eseguire il backup:

L'oggetto Criteri di gruppo chiama il servizio Windows Installer che controlla l'elenco dei programmi installati e verrà installato solo se la versione MSI corrente non è presente.
L'installazione dell'oggetto Criteri di gruppo mantiene la propria cache APP con il proprio elenco di software e installerà l'app se non è in tale elenco, anche se è già installata.

Qualcuno può confermare le informazioni corrette per me?

EDIT: Grazie per le risposte ragazzi, sono a conoscenza di altri modi alternativi per distribuire il software, tuttavia quello che sto cercando è una risposta concreta sul fatto che una distribuzione di un oggetto Criteri di gruppo reinstallerà un pacchetto se esiste già sulla workstation.

windows active-directory group-policy

— mhouston100
fonte

"la nostra ultima suite AV con ADSI tramite un oggetto Criteri di gruppo"? Elaborate per favore

— Mathias R. Jessen,

Stiamo scambiando Symantec Enterprise Protection per Tren-Micro OfficeScan. Dobbiamo distribuire il client (che disinstallerà anche il client SEP).

— mhouston100,

Installazione del software Active Directory, è menzionato nella documentazione Technet per la distribuzione di software con oggetti Criteri di gruppo. Lo rimuoverò, risparmierò ulteriori problemi di chiarezza.

— mhouston100,

@ mhouston100 In risposta alla modifica, SÌ, gli oggetti Criteri di gruppo per l'installazione del software possono e reinstalleranno il software già installato. Nel tuo scenario, questo è qualcosa che dovrai fare un po 'di lavoro per prevenire, come il suggerimento nella risposta di Greg .

— HopelessN00b,

Voglio solo che tu sia avvisato: almeno attraverso la versione 7, gli MSI generati da Trend Micro sono terribili e ho avuto un numero significativo di macchine finite in uno stato "semi-installato" a causa loro. Voglio anche concordare con HoplelessN00b - Il software tenterà sicuramente di reinstallare.

— Evan Anderson,

Risposte:

Quando in passato ho dovuto farlo, ho evitato l'oggetto Criteri di gruppo per l'installazione del software perché sono limitati e causano tutti i problemi che risolvono.

EDIT: in risposta alla modifica, SÌ, gli oggetti Criteri di gruppo per l'installazione del software possono e reinstalleranno il software già installato. (Che è uno dei problemi che causano - tutt'altro che l'unico.) Nel tuo scenario, se decidi di utilizzare l'oggetto Criteri di gruppo Software Installation, questo è qualcosa che dovrai impegnarti per prevenire, come il suggerimento nella risposta di Greg .

Quando ho dovuto usare gli oggetti Criteri di gruppo per installare il software, il modo in cui l'ho fatto in passato è usare l'oggetto Criteri di gruppo che dà il via a un'installazione con script che verifica che l'oggetto non sia già installato. Vedere l'esempio di seguito, per l'installazione di PC * Miler26 brivido a un gruppo di macchine di XP.

Lo screenshot mostra l'oggetto Criteri di gruppo di avvio che punta in una posizione sul nostro DFS aziendale (che ho redatto) e lo script stesso è un file bat, a causa delle limitazioni nel nostro ambiente - con macchine XP e WMI spesso interrotto i nostri clienti, questa è l'unica cosa che funziona in modo affidabile.

inserisci qui la descrizione dell'immagine

echo off
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)

REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed.  So install it.
:Install
\\[Our DFS software share]\PCMiler26\Network\setup.exe /s

REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on.  No installation.

:End

— HopelessN00b
fonte

Grazie per la risposta. Usiamo gli script di login e GPO da un po 'di tempo, ma stavo cercando un approccio diverso e più gestito. Il problema non esisterebbe se usassimo DFS ma questo è fuori dal tavolo. Sei a conoscenza di informazioni o documenti riguardanti l'effetto definito delle installazioni incrociate di oggetti Criteri di gruppo?

— mhouston100,

@ mhouston100 Nessuna documentazione, scusa. L'ho appena evitato del tutto poiché mi ha causato più problemi di quanti ne risolva. Se non riesco a distribuire qualcosa tramite SCCM, lo faccio come nel mio post e evito i mal di testa che ho sempre incontrato con la "funzione" di GPO di installazione del software.

— HopelessN00b,

Sto pescando così duramente per ottenere SCCM, ma il costo è estremamente proibitivo per la nostra azienda purtroppo. Continuerò a cercare, non credo che la distribuzione degli oggetti Criteri di gruppo coprirà questa volta ... vomitando.

— mhouston100,

Se si tratta di un oggetto Criteri di gruppo diverso, potrebbe tentare di reinstallare. Se in realtà completa la reinstallazione dipende dal pacchetto. Gli oggetti Criteri di gruppo per l'installazione del software presentano numerosi limiti e non sono il metodo più flessibile per distribuire le applicazioni. Dovresti usarlo solo se non hai una vera soluzione di distribuzione come BigFix o SCCM.

È possibile aggirare il problema creando un filtro per specificare una preferenza di criteri di gruppo per cercare un tag che indichi se l'applicazione è installata. Ad esempio, se il servizio ntrtscan non esiste.

Maggiori informazioni qui:

http://evilgpo.blogspot.com/2012/05/inverting-wmi-filters.html

Nota l'esempio in fondo. Dovresti creare un filtro di targeting a livello di articolo per un servizio che non esiste.

— Greg Askew
fonte

Buon collegamento per il targeting a livello di elemento, penso che sarà il modo in cui andremo a risolvere il problema individuale. Tuttavia non fornisce ancora risposte concrete alla domanda su come funziona il meccanismo di reinstallazione e se tenterà senza dubbio di nuovo di installare nuovamente se l'app esiste già.

— mhouston100,

So che questo è un po 'vecchio, ma stavo cercando qualcosa in relazione a questo e ho pensato di condividere anche la mia esperienza.

Dipende da come si assegnano le applicazioni. Anche le applicazioni applicate all'oggetto Criteri di gruppo sono per lo più pessime. Nei miei test, l'ho assegnato tramite computer (dominio 2012 R2 a computer Win7, testato con Kaspersky MSI).

Per provare, ho creato una copia dell'oggetto Criteri di gruppo che ha distribuito l'MSI e l'ho applicato all'unità organizzativa precedentemente collegata. Ho eseguito gpupdate / force e non è stato richiesto di riavviare il computer (il che significa che non sono state applicate modifiche al computer). Per confermare l'oggetto Criteri di gruppo applicato, ha eseguito gpresult / R e confermato che Copia_of_GPO è stato applicato bieng. Per ricontrollare come l'oggetto Criteri di gruppo stava trattando il programma di installazione, ho cercato cosa diceva il registro. "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ AppMgmt \" (grazie all'assegnazione del software tramite i criteri di gruppo - come fa il cliente a sapere se il pacchetto è installato o meno ) Il GUID dell'oggetto Criteri di gruppo di COPY_of_GPO è stato visualizzato negli oggetti Criteri di gruppo. Una singola istanza di ID prodotto era in AppMgmt e conteneva il GUID dell'oggetto Criteri di gruppo iniziale come oggetto Criteri di gruppo di origine.

Dove questo va a male; Supponiamo quindi di scollegare uno degli oggetti Criteri di gruppo. Poiché l'oggetto Criteri di gruppo che applica l'MSI non viene più applicato, l'MSI viene rimosso. Anche se l'altro oggetto Criteri di gruppo lo ha assegnato. Questo singhiozzo è importante perché apparentemente i GPOS applicati vengono enumerati prima che vengano applicate le loro impostazioni (motivo per cui se si assegnano più programmi con più oggetti Criteri di gruppo si installano tutti contemporaneamente). Se gli oggetti Criteri di gruppo che applicano un software vengono elaborati e rimossi, viene creata una condizione di competizione (perdente). Il GUID dell'oggetto Criteri di gruppo esiste ma il GUID PKG che contiene non lo è.

Ciò peggiora ulteriormente con AV, che può avere problemi con le installazioni / disinstallazioni di Windows. In effetti, Kaspersky ha persino un programma di disinstallazione autonomo per la rimozione del proprio client. All'AV non piace andare via.

Ciò è ancora più complicato da un MSI mal configurato.

TL: DR Non utilizzare le applicazioni assegnate tramite GPO, in particolare con AV.

Letture extra: https://msdn.microsoft.com/en-us/library/cc782152%28v=ws.10%29.aspx

— Ijustpressbuttons
fonte