Czy instalacja oprogramowania GPO spowoduje ponowną instalację już zainstalowanych aplikacji z innych zasad?

9

Chcę zainstalować nasz najnowszy pakiet AV za pomocą zasad instalacji oprogramowania GPO. (Jak na poniższym klipie ekranowym.)

wprowadź opis zdjęcia tutaj

Niestety moja prośba o użycie DFS została odrzucona i będę musiał utworzyć obiekt zasad grupy dla każdej witryny w naszym środowisku (każda witryna jest własną podsiecią). Problemem jest to, że wielu użytkowników podróżuje między witrynami, więc przenosząc się do innej witryny, uzyskają nowy obiekt zasad grupy i nie będą działać w poprzednim obiekcie zasad grupy.

Nie mogę znaleźć żadnej konkretnej dokumentacji, czy instalacja oprogramowania GPO spowoduje ponowną instalację aplikacji, jeśli już istnieje na bieżącym komputerze. Będę korzystał z opcji opuszczenia aplikacji, gdy komputer nie będzie działał.

Z moich badań wynika, że ​​GPO będzie miało zastosowanie tylko wtedy, gdy zmieni się wersja GPO, co jest w porządku, ale co z rzeczywistym MSI?

Znalazłem dwa scenariusze, które ludzie przedstawili, ale których nie mogę powtórzyć:

  1. Obiekt zasad grupy wywołuje usługę Instalatora Windows, która sprawdza listę zainstalowanych programów i instaluje się tylko wtedy, gdy bieżącej wersji MSI nie ma.

  2. Instalacja GPO zachowuje własną pamięć podręczną aplikacji ze swoją własną listą oprogramowania i zainstaluje aplikację, jeśli nie ma jej na liście, nawet jeśli jest już zainstalowana.

Czy ktoś może potwierdzić dla mnie prawidłowe informacje?

EDYCJA: Dzięki za odpowiedzi chłopaki, znam inne alternatywne sposoby wdrażania oprogramowania, jednak szukam konkretnej odpowiedzi na pytanie, czy wdrożenie GPO ponownie zainstaluje pakiet, jeśli już istnieje na stacji roboczej.

windows active-directory group-policy mhouston100
źródło
„nasz najnowszy pakiet AV z ADSI poprzez GPO”? Proszę opracować
Mathias R. Jessen
Zamieniamy program Symantec Enterprise Protection na Tren-Micro OfficeScan. Musimy wdrożyć klienta (który również odinstaluje klienta SEP).
mhouston100,
Instalacja oprogramowania usługi Active Directory jest wspomniana w dokumentacji Technet dotyczącej wdrażania oprogramowania z obiektami GPO. Po prostu go usunę, oszczędzając wszelkie dalsze problemy z przejrzystością.
mhouston100,
1
@ mhouston100 W odpowiedzi na Twoją zmianę, TAK, obiekty GPO instalujące oprogramowanie mogą i będą ponownie instalować oprogramowanie, które już zostało zainstalowane. W twoim scenariuszu jest to coś, co musisz włożyć w pracę, aby temu zapobiec, na przykład sugestia w odpowiedzi Grega .
HopelessN00b,
Chcę tylko, abyś został ostrzeżony: przynajmniej w wersji 7 MSI generowane przez Trend Micro są okropne i z tego powodu miałem znaczną liczbę komputerów w stanie „w połowie zainstalowanym”. Chcę również zgodzić się na w / HoplelessN00b - Oprogramowanie z pewnością spróbuje ponownie zainstalować.
Evan Anderson

Odpowiedzi:

4

Kiedy musiałem to robić w przeszłości, unikałem GPO instalacji oprogramowania, ponieważ są one ograniczone i powodują tyle problemów, ile rozwiązują.

EDYCJA: W odpowiedzi na Twoją zmianę, TAK, obiekty GPO instalujące oprogramowanie mogą i będą ponownie instalować oprogramowanie, które już zostało zainstalowane. (Który jest jednym z problemów, które powodują - choć nie jedynym.) W twoim scenariuszu, jeśli zdecydujesz się użyć GPO instalacji oprogramowania, jest to coś, co trzeba będzie włożyć w pewne działania, aby temu zapobiec, takie jak sugestia zawarta w odpowiedzi Grega .

Kiedy musiałem używać obiektów zasad grupy do instalowania oprogramowania, w przeszłości robiłem to za pomocą obiektu zasad grupy, który uruchamia instalację skryptową, która sprawdza, czy dana rzecz nie jest jeszcze zainstalowana. Zobacz przykład poniżej, jak zainstalować dreszcz PC * Miler26 na wielu komputerach XP.

Zrzut ekranu pokazuje obiekt GPO skryptu uruchamiania wskazujący lokalizację w naszym korporacyjnym systemie plików DFS (który zredagowałem), a sam skrypt jest plikiem nietoperza ze względu na ograniczenia w naszym środowisku - z maszynami XP i WMI często przerywanym nasi klienci, to jedyna rzecz, która działa niezawodnie.

wprowadź opis zdjęcia tutaj

echo off
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)

REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed.  So install it.
:Install
\\[Our DFS software share]\PCMiler26\Network\setup.exe /s

REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on.  No installation.

:End
Beznadziejny
źródło
Dzięki za odpowiedzi. Od dłuższego czasu używamy skryptów logowania i GPO, ale szukałem innego, bardziej zarządzanego podejścia. Problem nie istniałby, gdybyśmy użyli DFS, ale to nie wchodzi w grę. Czy znasz jakieś informacje lub dokumenty dotyczące określonego efektu instalacji między GPO?
mhouston100,
@ mhouston100 Brak dokumentacji, przepraszam. Właśnie tego całkowicie uniknąłem, ponieważ przysporzyło mi to więcej problemów niż rozwiązuje. Jeśli nie mogę wdrożyć czegoś za pośrednictwem SCCM, robię to tak, jak w moim poście i pomijam bóle głowy, które zawsze napotykałem przy „funkcji” GPO instalacji oprogramowania.
HopelessN00b
Tak ciężko łowię, aby zdobyć SCCM, ale koszt jest dla naszej firmy wyjątkowo wygórowany. Będę szukał, nie sądzę, że tym razem wdrożenie GPO obejmie to ... wyrzucanie.
mhouston100,
4

Jeśli jest to inny obiekt zasad grupy, może podjąć próbę ponownej instalacji. Jeśli rzeczywiście się zakończy, ponowna instalacja zależy od pakietu. Obiekty GPO instalacji oprogramowania mają wiele ograniczeń i nie są najbardziej elastyczną metodą wdrażania aplikacji. Powinieneś go używać tylko wtedy, gdy nie masz prawdziwego rozwiązania do wdrażania, takiego jak BigFix lub SCCM.

Można to obejść, tworząc filtr określający preferencje zasad grupy w celu wyszukania znacznika wskazującego, czy aplikacja jest zainstalowana. Na przykład, jeśli usługa ntrtscan nie istnieje.

Więcej informacji tutaj:

http://evilgpo.blogspot.com/2012/05/inverting-wmi-filters.html

Zwróć uwagę na przykład na dole. Utworzyłbyś filtr kierowania na poziomie przedmiotu dla usługi, która nie istnieje.

Greg Askew
źródło
Dobry link do kierowania na poziomie przedmiotu, myślę, że tak właśnie rozwiążemy indywidualny problem. Jednak nadal nie zapewnia żadnych konkretnych odpowiedzi na pytanie, jak działa mechanizm ponownej instalacji i czy absolutnie bez wątpienia spróbuje zainstalować ponownie, jeśli aplikacja już istnieje.
mhouston100,
1

Wiem, że to trochę stare, ale szukałem czegoś z tym związanego i pomyślałem, że podzielę się również swoim doświadczeniem.

To zależy od sposobu przypisywania aplikacji. Również aplikacje stosowane w GPO są w większości złe. W moich testach przypisałem go za pomocą komputerów (domena R2 z 2012 r. Do komputera z systemem Win7, testowane przy pomocy Kaspersky MSI).

Aby przetestować, utworzyłem kopię obiektu zasad grupy, który wdrożył MSI, i zastosowałem go do poprzednio połączonej jednostki organizacyjnej. Uruchomiłem gpupdate / force i nie zostałem poproszony o ponowne uruchomienie komputera (co oznacza, że ​​na komputerze nie zastosowano żadnych zmian). Aby potwierdzić zastosowany GPO, uruchomiłem gpresult / R i potwierdziłem, że Copy_of_GPO został zastosowany bieng. Aby dokładnie sprawdzić, w jaki sposób obiekt GPO traktuje instalatora, sprawdziłem, co zawiera rejestr. „HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ AppMgmt \” (dzięki przypisaniu oprogramowania przez zasady grupy - skąd klient wie jeśli pakiet jest zainstalowany czy nie ) GUID GPO COPY_of_GPO pojawił się w GPO. Pojedyncze wystąpienie identyfikatora produktu znajdowało się w AppMgmt i zawierało początkowy identyfikator GUO GPO, ponieważ jest to źródłowy obiekt GPO.

Gdzie to idzie źle; Powiedz, że następnie odłączysz jeden z obiektów zasad grupy. Ponieważ obiekt GPO, który stosuje MSI, nie jest już stosowany, MSI jest usuwany. Nawet jeśli inny GPO to przypisał. Ten czkawka ma znaczenie, ponieważ najwyraźniej stosowane GPOS są wyliczane przed zastosowaniem ich ustawień (dlatego przypisujesz wiele programów z wieloma obiektami GPO, wszystkie instalują się w tym samym czasie). Jeśli obiekty GPO, które stosują oprogramowanie, są przetwarzane i usuwane, tworzony jest (przegrywający) warunek wyścigu. Identyfikator GUID GPO istnieje, ale identyfikator GUID PKG, który zawiera, nie istnieje.

Jest jeszcze gorzej z AV, które mogą mieć problemy z instalacjami / odinstalowaniami systemu Windows. W rzeczywistości Kaspersky ma nawet samodzielny deinstalator do usuwania własnego klienta. AV nie lubi odchodzić.

To staje się jeszcze bardziej skomplikowane ze źle skonfigurowanym MSI.

TL: DR Nie używaj przypisanych aplikacji przez GPO, szczególnie z AV.

Dodatkowa lektura: https://msdn.microsoft.com/en-us/library/cc782152%28v=ws.10%29.aspx

Ijustpressbuttons
źródło