¿La instalación de software de GPO volverá a instalar aplicaciones ya instaladas desde una política diferente?

9

Estoy buscando instalar nuestro último paquete AV a través de una política de instalación de software GPO. (Como en el siguiente clip de pantalla).

ingrese la descripción de la imagen aquí

Desafortunadamente, mi solicitud para usar DFS ha sido denegada y necesitaré crear un GPO para cada sitio en nuestro entorno (cada sitio es su propia subred). El problema que tengo es que muchos usuarios viajan entre sitios, por lo que a medida que se mudan a otro sitio, obtendrán el nuevo GPO y quedarán fuera del alcance del GPO anterior.

No puedo encontrar ninguna documentación concreta sobre si la instalación del software GPO volverá a instalar una aplicación si ya existe en la PC actual. Usaré la opción para salir de la aplicación cuando la computadora quede fuera de alcance.

De mi investigación descubrí que el GPO solo se aplicará si la versión del GPO ha cambiado, lo cual está bien, pero ¿qué pasa con el MSI real?

He encontrado dos escenarios que la gente presenta pero que no puede respaldar:

  1. El GPO llama al servicio de Windows Installer que verifica la lista de programas instalados y se instalará solo si la versión actual de MSI no está allí.

  2. La instalación de GPO mantiene su propia caché de aplicaciones con su propia lista de software, e instalará la aplicación si no está en esa lista, incluso si ya está instalada.

¿Alguien puede confirmar la información correcta para mí?

EDITAR: Gracias por las respuestas, estoy al tanto de otras formas alternativas de implementar software, sin embargo, lo que busco es una respuesta concreta sobre si una implementación de GPO volverá a instalar un paquete si ya existe en la estación de trabajo.

windows active-directory group-policy mhouston100
fuente
¿"nuestra última suite AV con ADSI a través de un GPO"? Elaborate please
Mathias R. Jessen
Estamos intercambiando Symantec Enterprise Protection por Tren-Micro OfficeScan. Necesitamos implementar el cliente (que también desinstalará el cliente SEP).
mhouston100
Instalación de software de Active Directory, se menciona en la documentación de Technet para implementar software con GPO. Solo lo eliminaré, guarda cualquier otro problema de claridad.
mhouston100
1
@ mhouston100 En respuesta a su edición, SÍ, los GPO de instalación de software pueden y reinstalarán el software que ya está instalado. En su escenario, esto es algo que tendrá que poner un poco de trabajo para prevenir, como la sugerencia en la respuesta de Greg .
HopelessN00b
Solo quiero que esté advertido: al menos a través de la versión 7, los MSI generados por Trend Micro son terribles y he tenido un número significativo de máquinas que terminan en un estado "medio instalado" debido a ellas. También quiero estar de acuerdo con HoplelessN00b: el software seguramente intentará reinstalarse.
Evan Anderson

Respuestas:

4

Cuando tuve que hacer esto en el pasado, evité el Software Install GPO porque son limitados y causan tantos problemas como se resuelven.

EDITAR: en respuesta a su edición, SÍ, los GPO de instalación de software pueden y reinstalarán el software que ya está instalado. (Cuál es uno de los problemas que causan, sin embargo, lejos de ser el único). En su situación, si elige usar el GPO de instalación de software, esto es algo que tendrá que trabajar para evitarlo, como la sugerencia en la respuesta de Greg .

Cuando he tenido que usar GPO para instalar software, la forma en que lo hice en el pasado es usar GPO que inicia una instalación con script que verifica para asegurarse de que la cosa ya no esté instalada. Consulte el siguiente ejemplo, para la instalación de PC * Miler26 estremecimiento a un montón de máquinas de XP.

La captura de pantalla muestra el script de inicio GPO apuntando a una ubicación en nuestro DFS corporativo (que he redactado) y el script en sí es un archivo bat, debido a las limitaciones en nuestro entorno, con máquinas XP y WMI que se rompe con frecuencia nuestros clientes, eso es lo único que funciona de manera confiable.

ingrese la descripción de la imagen aquí

echo off
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)

REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed.  So install it.
:Install
\\[Our DFS software share]\PCMiler26\Network\setup.exe /s

REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on.  No installation.

:End
HopelessN00b
fuente
Gracias por la respuesta. Hemos estado usando scripts de inicio de sesión y GPO durante bastante tiempo, pero estaba buscando un enfoque diferente y más administrado. El problema no existiría si usáramos DFS pero eso está fuera de la mesa. ¿Conoce alguna información o documento sobre el efecto definitivo de las instalaciones cruzadas de GPO?
mhouston100
@ mhouston100 Sin documentación, lo siento. Lo he evitado por completo ya que me ha causado más problemas de los que resuelve. Si no puedo implementar algo a través de SCCM, lo hago como en mi publicación y me salteo los dolores de cabeza que siempre me he encontrado con la "característica" de instalación de software de GPO.
HopelessN00b
Me cuesta mucho obtener SCCM, pero lamentablemente el costo es extremadamente prohibitivo para nuestra empresa. Seguiré buscando, no creo que el despliegue de GPO lo cubra esta vez ... vomitando.
mhouston100
4

Si es un GPO diferente, puede intentar reinstalarlo. Si realmente se completa, la reinstalación depende del paquete. Instalación de software Los GPO tienen numerosas limitaciones y no son el método más flexible para implementar aplicaciones. Solo debe usarlo si no tiene una solución de implementación real como BigFix o SCCM.

Puede solucionar esto creando un filtro para especificar una preferencia de directiva de grupo para buscar una etiqueta que indique si la aplicación está instalada. Por ejemplo, si el servicio ntrtscan no existe.

Más información aquí:

http://evilgpo.blogspot.com/2012/05/inverting-wmi-filters.html

Tenga en cuenta el ejemplo en la parte inferior. Crearía un filtro de orientación a nivel de elemento para un servicio que no existe.

Greg Askew
fuente
Buen enlace para la orientación a nivel de elemento, creo que esa será la forma en que iremos resolviendo el problema individual. Sin embargo, todavía no proporciona ninguna respuesta concreta a la pregunta de cómo funciona el mecanismo de reinstalación y si, sin lugar a dudas, intentará instalar nuevamente si la aplicación ya existe.
mhouston100
1

Sé que esto es un poco viejo, pero estaba buscando algo relacionado con esto y pensé que también compartiría mi experiencia.

Depende de cómo asigne las aplicaciones. Además, las aplicaciones aplicadas de GPO son en su mayoría malas. En mis pruebas, lo asigné a través de computadoras (2012 R2 Domain a la computadora Win7, probado con Kaspersky MSI).

Para probar, hice una copia del GPO que implementó el MSI y lo apliqué a la unidad organizativa vinculada anteriormente. Ejecuté un gpupdate / force y no se me solicitó reiniciar la computadora (lo que significa que no se aplicaron cambios a la computadora). Para confirmar que el GPO se aplicó, ejecutó gpresult / R y confirmó que Copy_of_GPO se aplicó bieng. Comprobar cómo el GPO estaba tratando el instalador, miré hacia arriba lo que dijo el Registro en "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ AppMgmt \" (gracias a. Asignación de software a través de la política del grupo - ¿Cómo sabe el cliente si el paquete está instalado o no ) El GUID de GPO de COPY_of_GPO apareció en los GPO. Una sola instancia de ID de producto estaba bajo AppMgmt y contenía el GUID de GPO inicial como su GPO de origen.

Donde esto va mal; Digamos que luego desvincula cualquiera de los GPO. Como el GPO que aplica el MSI ya no se aplica, se elimina el MSI. Incluso si el otro GPO lo asignó. Este inconveniente es importante porque aparentemente los GPOS que se aplican se enumeran antes de que se apliquen sus configuraciones (es por eso que si asigna múltiples programas con múltiples GPO, todos se instalan al mismo tiempo). Si los GPO que aplican un software se procesan y eliminan, se crea una condición de carrera (perdida). El GUID de GPO existe pero el GUID de PKG que contiene no.

Esto empeora aún más con AV, que puede tener problemas con las instalaciones / desinstalaciones de Windows. De hecho, Kaspersky incluso tiene un desinstalador independiente para eliminar su propio cliente. A AV no le gusta irse.

Esto se complica aún más con un MSI mal configurado.

TL: DR No utilice aplicaciones asignadas a través de GPO, especialmente con AV.

Lectura adicional: https://msdn.microsoft.com/en-us/library/cc782152%28v=ws.10%29.aspx

Solo presiono botones
fuente