Cài đặt phần mềm GPO sẽ cài đặt lại các ứng dụng đã được cài đặt từ một chính sách khác?

Tôi đang tìm cách cài đặt bộ AV mới nhất của chúng tôi thông qua chính sách Cài đặt phần mềm GPO. (Như trong screenclip dưới đây.)

Thật không may, yêu cầu sử dụng DFS của tôi đã bị từ chối và tôi sẽ cần tạo GPO cho mỗi trang web trong môi trường của chúng tôi (mỗi trang web là mạng con riêng của nó). Vấn đề tôi gặp phải là rất nhiều người dùng di chuyển giữa các trang web, vì vậy khi họ chuyển sang một trang web khác, họ sẽ nhận được GPO mới và nằm ngoài phạm vi của GPO trước đó.

Tôi không thể tìm thấy bất kỳ tài liệu cụ thể nào về việc cài đặt phần mềm GPO sẽ cài đặt lại ứng dụng nếu nó đã tồn tại trên PC hiện tại. Tôi sẽ sử dụng tùy chọn rời khỏi ứng dụng khi máy tính rơi khỏi phạm vi.

Từ nghiên cứu của tôi, tôi thấy rằng GPO sẽ chỉ áp dụng nếu phiên bản GPO đã thay đổi, điều này tốt, nhưng còn MSI thực tế thì sao?

Tôi đã tìm thấy hai kịch bản mà mọi người đưa ra nhưng không thể sao lưu:

1. GPO gọi dịch vụ Windows Installer để kiểm tra danh sách các chương trình đã cài đặt và sẽ chỉ cài đặt nếu không có phiên bản MSI hiện tại.

2. Cài đặt GPO giữ bộ đệm APP riêng của nó với danh sách phần mềm của riêng nó và sẽ cài đặt ứng dụng nếu nó không nằm trong danh sách đó, ngay cả khi nó đã được cài đặt.

Bất cứ ai có thể xác nhận thông tin chính xác cho tôi?

EDIT: Cảm ơn các bạn đã trả lời, tôi biết các cách khác để triển khai phần mềm, tuy nhiên những gì tôi theo sau là một câu trả lời cụ thể về việc triển khai GPO sẽ cài đặt lại gói nếu nó đã tồn tại trên máy trạm.

Khi trước đây tôi phải làm điều này, tôi đã tránh GPO Cài đặt phần mềm vì chúng bị giới hạn và gây ra nhiều vấn đề như chúng giải quyết.

EDIT: Đáp lại chỉnh sửa của bạn, CÓ, GPO cài đặt phần mềm có thể và sẽ cài đặt lại phần mềm đã được cài đặt. (Tuy nhiên, đây là một trong những vấn đề họ gây ra - khác xa với vấn đề duy nhất.) Trong trường hợp của bạn, nếu bạn chọn sử dụng GPO Cài đặt phần mềm, đây là điều bạn sẽ phải đưa vào một số công việc để ngăn chặn, chẳng hạn như gợi ý trong câu trả lời của Greg .

Khi tôi phải sử dụng GPO để cài đặt phần mềm, cách tôi đã làm trước đây là sử dụng GPO để khởi động cài đặt theo kịch bản để kiểm tra để đảm bảo rằng mọi thứ chưa được cài đặt. Xem ví dụ dưới đây, để cài đặt PC * Miler26 rùng mình cho một loạt các máy XP.

Ảnh chụp màn hình cho thấy GPO kịch bản khởi động trỏ vào một vị trí trên DFS công ty của chúng tôi (mà tôi đã xử lý lại) và bản thân tập lệnh là một tập tin dơi, do những hạn chế trong môi trường của chúng tôi - với các máy XP và WMI thường xuyên bị hỏng khách hàng của chúng tôi, đó là điều duy nhất hoạt động đáng tin cậy.

echo off
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)

REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed.  So install it.
:Install
\\[Our DFS software share]\PCMiler26\Network\setup.exe /s

REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on.  No installation.

:End

Nếu đó là một GPO khác, nó có thể cố gắng cài đặt lại. Nếu nó thực sự hoàn thành việc cài đặt lại phụ thuộc vào gói. Cài đặt phần mềm GPO có nhiều hạn chế và không phải là phương pháp linh hoạt nhất để triển khai các ứng dụng. Bạn chỉ nên sử dụng nó nếu bạn không có giải pháp triển khai thực sự như BigFix hoặc SCCM.

Bạn có thể giải quyết vấn đề này bằng cách tạo bộ lọc để chỉ định Tùy chọn chính sách nhóm để tìm kiếm một thẻ cho biết nếu ứng dụng được cài đặt. Ví dụ: nếu dịch vụ ntrtscan không tồn tại.

Thêm thông tin ở đây:

http://evilgpo.blogspot.com/2012/05/inverting-wmi-filters.html

Lưu ý ví dụ ở phía dưới. Bạn sẽ tạo bộ lọc nhắm mục tiêu cấp mục cho một dịch vụ không tồn tại.

Tôi biết điều này hơi cũ, nhưng tôi đã xem xét một cái gì đó liên quan đến điều này và nghĩ rằng tôi cũng chia sẻ kinh nghiệm của mình.

Nó phụ thuộc vào cách bạn chỉ định ứng dụng. Ngoài ra các ứng dụng GPO chủ yếu là xấu. Trong thử nghiệm của mình, tôi đã chỉ định nó qua máy tính (Tên miền 2012 R2 cho máy tính Win7, được thử nghiệm với Kaspersky MSI).

Để kiểm tra, tôi đã tạo một bản sao GPO đã triển khai MSI và áp dụng nó cho OU được liên kết trước đó. Tôi đã chạy một gpupdate / lực lượng và không được nhắc khởi động lại máy tính (có nghĩa là không có thay đổi nào được áp dụng cho máy tính). Để xác nhận GPO được áp dụng, hãy chạy gpresult / R và xác nhận Copy_of_GPO đã được áp dụng. Để kiểm tra kỹ xem GPO đã xử lý trình cài đặt như thế nào, tôi đã tra cứu xem sổ đăng ký đã nói gì. "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ AppMgmt \" (nhờ phần mềm Gán nếu gói được cài đặt hay không ) HƯỚNG DẪN GPO của COPY_of_GPO xuất hiện trong GPO. Một phiên bản ID sản phẩm duy nhất nằm dưới AppMgmt và giữ GPO GUID ban đầu với tư cách là GPO nguồn.

Trường hợp này xấu đi; Nói rằng sau đó bạn hủy liên kết một trong các GPO. Vì GPO áp dụng MSI không còn được áp dụng, MSI sẽ bị xóa. Ngay cả khi GPO khác chỉ định nó. Nấc này có vấn đề vì rõ ràng GPOS được áp dụng được liệt kê trước khi cài đặt của chúng được áp dụng (đó là lý do tại sao nếu bạn chỉ định nhiều chương trình có nhiều GPO thì tất cả đều cài đặt cùng một lúc). Nếu các GPO áp dụng một phần mềm được xử lý và loại bỏ, một điều kiện chủng tộc (thua) sẽ được tạo. GPO GUID tồn tại nhưng PKG GUID mà nó không chứa.

Điều này thậm chí còn tồi tệ hơn với AV có thể có vấn đề với cài đặt / gỡ cài đặt windows. Trên thực tế, Kaspersky thậm chí còn có một trình gỡ cài đặt độc lập để xóa ứng dụng khách của chính họ. AV không muốn đi xa.

Điều này thậm chí còn được kết hợp nhiều hơn với một MSI thiết lập kém.

TL: DR Không sử dụng Ứng dụng được gán qua GPO, đặc biệt là với AV.

Đọc thêm: https://msdn.microsoft.com/en-us/l Library / cc782152% 28v = ws.10% 29.aspx