Chcę zainstalować nasz najnowszy pakiet AV za pomocą zasad instalacji oprogramowania GPO. (Jak na poniższym klipie ekranowym.)
Niestety moja prośba o użycie DFS została odrzucona i będę musiał utworzyć obiekt zasad grupy dla każdej witryny w naszym środowisku (każda witryna jest własną podsiecią). Problemem jest to, że wielu użytkowników podróżuje między witrynami, więc przenosząc się do innej witryny, uzyskają nowy obiekt zasad grupy i nie będą działać w poprzednim obiekcie zasad grupy.
Nie mogę znaleźć żadnej konkretnej dokumentacji, czy instalacja oprogramowania GPO spowoduje ponowną instalację aplikacji, jeśli już istnieje na bieżącym komputerze. Będę korzystał z opcji opuszczenia aplikacji, gdy komputer nie będzie działał.
Z moich badań wynika, że GPO będzie miało zastosowanie tylko wtedy, gdy zmieni się wersja GPO, co jest w porządku, ale co z rzeczywistym MSI?
Znalazłem dwa scenariusze, które ludzie przedstawili, ale których nie mogę powtórzyć:
Obiekt zasad grupy wywołuje usługę Instalatora Windows, która sprawdza listę zainstalowanych programów i instaluje się tylko wtedy, gdy bieżącej wersji MSI nie ma.
Instalacja GPO zachowuje własną pamięć podręczną aplikacji ze swoją własną listą oprogramowania i zainstaluje aplikację, jeśli nie ma jej na liście, nawet jeśli jest już zainstalowana.
Czy ktoś może potwierdzić dla mnie prawidłowe informacje?
EDYCJA: Dzięki za odpowiedzi chłopaki, znam inne alternatywne sposoby wdrażania oprogramowania, jednak szukam konkretnej odpowiedzi na pytanie, czy wdrożenie GPO ponownie zainstaluje pakiet, jeśli już istnieje na stacji roboczej.
źródło
Odpowiedzi:
Kiedy musiałem to robić w przeszłości, unikałem GPO instalacji oprogramowania, ponieważ są one ograniczone i powodują tyle problemów, ile rozwiązują.
EDYCJA: W odpowiedzi na Twoją zmianę, TAK, obiekty GPO instalujące oprogramowanie mogą i będą ponownie instalować oprogramowanie, które już zostało zainstalowane. (Który jest jednym z problemów, które powodują - choć nie jedynym.) W twoim scenariuszu, jeśli zdecydujesz się użyć GPO instalacji oprogramowania, jest to coś, co trzeba będzie włożyć w pewne działania, aby temu zapobiec, takie jak sugestia zawarta w odpowiedzi Grega .
Kiedy musiałem używać obiektów zasad grupy do instalowania oprogramowania, w przeszłości robiłem to za pomocą obiektu zasad grupy, który uruchamia instalację skryptową, która sprawdza, czy dana rzecz nie jest jeszcze zainstalowana. Zobacz przykład poniżej, jak zainstalować dreszcz PC * Miler26 na wielu komputerach XP.
Zrzut ekranu pokazuje obiekt GPO skryptu uruchamiania wskazujący lokalizację w naszym korporacyjnym systemie plików DFS (który zredagowałem), a sam skrypt jest plikiem nietoperza ze względu na ograniczenia w naszym środowisku - z maszynami XP i WMI często przerywanym nasi klienci, to jedyna rzecz, która działa niezawodnie.
źródło
Jeśli jest to inny obiekt zasad grupy, może podjąć próbę ponownej instalacji. Jeśli rzeczywiście się zakończy, ponowna instalacja zależy od pakietu. Obiekty GPO instalacji oprogramowania mają wiele ograniczeń i nie są najbardziej elastyczną metodą wdrażania aplikacji. Powinieneś go używać tylko wtedy, gdy nie masz prawdziwego rozwiązania do wdrażania, takiego jak BigFix lub SCCM.
Można to obejść, tworząc filtr określający preferencje zasad grupy w celu wyszukania znacznika wskazującego, czy aplikacja jest zainstalowana. Na przykład, jeśli usługa ntrtscan nie istnieje.
Więcej informacji tutaj:
http://evilgpo.blogspot.com/2012/05/inverting-wmi-filters.html
Zwróć uwagę na przykład na dole. Utworzyłbyś filtr kierowania na poziomie przedmiotu dla usługi, która nie istnieje.
źródło
Wiem, że to trochę stare, ale szukałem czegoś z tym związanego i pomyślałem, że podzielę się również swoim doświadczeniem.
To zależy od sposobu przypisywania aplikacji. Również aplikacje stosowane w GPO są w większości złe. W moich testach przypisałem go za pomocą komputerów (domena R2 z 2012 r. Do komputera z systemem Win7, testowane przy pomocy Kaspersky MSI).
Aby przetestować, utworzyłem kopię obiektu zasad grupy, który wdrożył MSI, i zastosowałem go do poprzednio połączonej jednostki organizacyjnej. Uruchomiłem gpupdate / force i nie zostałem poproszony o ponowne uruchomienie komputera (co oznacza, że na komputerze nie zastosowano żadnych zmian). Aby potwierdzić zastosowany GPO, uruchomiłem gpresult / R i potwierdziłem, że Copy_of_GPO został zastosowany bieng. Aby dokładnie sprawdzić, w jaki sposób obiekt GPO traktuje instalatora, sprawdziłem, co zawiera rejestr. „HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ AppMgmt \” (dzięki przypisaniu oprogramowania przez zasady grupy - skąd klient wie jeśli pakiet jest zainstalowany czy nie ) GUID GPO COPY_of_GPO pojawił się w GPO. Pojedyncze wystąpienie identyfikatora produktu znajdowało się w AppMgmt i zawierało początkowy identyfikator GUO GPO, ponieważ jest to źródłowy obiekt GPO.
Gdzie to idzie źle; Powiedz, że następnie odłączysz jeden z obiektów zasad grupy. Ponieważ obiekt GPO, który stosuje MSI, nie jest już stosowany, MSI jest usuwany. Nawet jeśli inny GPO to przypisał. Ten czkawka ma znaczenie, ponieważ najwyraźniej stosowane GPOS są wyliczane przed zastosowaniem ich ustawień (dlatego przypisujesz wiele programów z wieloma obiektami GPO, wszystkie instalują się w tym samym czasie). Jeśli obiekty GPO, które stosują oprogramowanie, są przetwarzane i usuwane, tworzony jest (przegrywający) warunek wyścigu. Identyfikator GUID GPO istnieje, ale identyfikator GUID PKG, który zawiera, nie istnieje.
Jest jeszcze gorzej z AV, które mogą mieć problemy z instalacjami / odinstalowaniami systemu Windows. W rzeczywistości Kaspersky ma nawet samodzielny deinstalator do usuwania własnego klienta. AV nie lubi odchodzić.
To staje się jeszcze bardziej skomplikowane ze źle skonfigurowanym MSI.
TL: DR Nie używaj przypisanych aplikacji przez GPO, szczególnie z AV.
Dodatkowa lektura: https://msdn.microsoft.com/en-us/library/cc782152%28v=ws.10%29.aspx
źródło