A instalação do software GPO irá reinstalar os aplicativos já instalados de uma política diferente?

Navegue suas respostas
9

Estou procurando instalar o nosso pacote antivírus mais recente por meio de uma política de instalação de software de GPO. (Como no screenclip abaixo.)

Infelizmente, minha solicitação para usar o DFS foi negada e eu precisarei criar um GPO para cada site em nosso ambiente (cada site é sua própria sub-rede). O problema que tenho é que muitos usuários viajam entre sites, de modo que, ao se mudarem para outro site, receberão o novo GPO e ficarão fora do escopo do GPO anterior.

Não consigo encontrar nenhuma documentação concreta sobre se a instalação do software GPO irá reinstalar um aplicativo, se ele já existir no PC atual. Eu estarei usando a opção de deixar o aplicativo quando o computador ficar fora do escopo.

Da minha pesquisa, descobri que o GPO só será aplicado se a versão do GPO tiver sido alterada, o que é bom, mas e o MSI real?

Encontrei dois cenários que as pessoas apresentam, mas não podem fazer backup:

  1. O GPO chama o serviço Windows Installer que verifica a lista de programas instalados e só instala se a versão atual do MSI não estiver lá.

  2. A instalação do GPO mantém seu próprio cache do APP com sua própria lista de softwares e instalará o aplicativo se ele não estiver nessa lista, mesmo que já esteja instalado.

Alguém pode confirmar as informações corretas para mim?

EDIT: Obrigado pelas respostas, estou ciente de outras formas alternativas de implantar o software, mas o que eu estou procurando é uma resposta concreta se uma implantação de GPO irá reinstalar um pacote se já existe na estação de trabalho.

    
por mhouston100 19.01.2014 / 23:47

3 respostas

4

Quando tive que fazer isso no passado, evitei o GPO de instalação de software porque eles são limitados e causam tantos problemas quanto resolvem.

EDIT: Em resposta à sua edição, SIM, os GPOs de instalação de software podem e reinstalarão o software que já está instalado. (Esse é um dos problemas que eles causam - longe de ser o único.) Em seu cenário, se você optar por usar o GPO de Instalação de Software, isso é algo que você terá que colocar em algum trabalho para evitar, como a sugestão na resposta de Greg .

Quando precisei usar GPOs para instalar software, a maneira como fiz isso no passado é usar o GPO que inicia uma instalação por script, que verifica se a coisa ainda não está instalada. Veja o exemplo abaixo, para instalar o PC * Miler26 shudder em várias máquinas XP.

A captura de tela mostra o script de inicialização GPO apontando para um local em nosso DFS corporativo (que eu editei) e o próprio script é um arquivo bat, devido às limitações em nosso ambiente - com máquinas XP e WMI sendo frequentemente quebrados em nossos clientes, essa é a única coisa que funciona de forma confiável. 

echooffregquery"HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)

REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed.  So install it.
:Install
\[Our DFS software share]\PCMiler26\Network\setup.exe /s

REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on.  No installation.

:End
    
por 20.01.2014 / 18:13
4

Se for um GPO diferente, ele poderá tentar reinstalar. Se ele realmente conclui a reinstalação depende do pacote. Instalação de software Os GPOs têm inúmeras limitações e não são o método mais flexível para implantar aplicativos. Você só deve usá-lo se não tiver uma solução de implantação real como o BigFix ou o SCCM.

Você pode solucionar isso criando um filtro para especificar uma Preferência de Diretiva de Grupo para procurar uma tag que indique se o aplicativo está instalado. Por exemplo, se o serviço ntrtscan não existir.

Mais informações aqui:

link

Observe o exemplo na parte inferior. Você criaria um filtro de segmentação no nível do item para um serviço que não existe.

    
por 20.01.2014 / 03:07
1

Eu sei que isso é um pouco antigo, mas eu estava procurando por algo relacionado a isso e pensei em compartilhar minha experiência também.

Depende de como você atribui aplicativos. Além disso, os aplicativos aplicados ao GPO são ruins. Nos meus testes, eu o atribuímos por meio de computadores (computador do domínio 2012 R2 para Win7, testado com o Kaspersky MSI).

Para testar, fiz uma cópia do GPO que implantou o MSI e o apliquei à UO vinculada anteriormente. Eu executei um gpupdate / force e não fui solicitado a reiniciar o computador (o que significa que nenhuma alteração foi aplicada ao computador). Para confirmar o GPO aplicado, execute gpresult / R e confirmou que Copy_of_GPO foi aplicado bi. Para verificar novamente como o GPO estava tratando o instalador, observei o que o registro dizia. "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Diretiva de Grupo \ AppMgmt \" (graças a Atribuindo software através da política de grupo - como o cliente sabe se o pacote está instalado ou não ? O GUID do GPO de COPY_of_GPO apareceu nos GPOs. Uma única instância do ID do produto estava sob AppMgmt e mantinha o GUID inicial do GPO como o GPO de origem.

Onde isso vai mal; Digamos que você desmarque um dos GPOs. Como o GPO que aplica o MSI não é mais aplicado, o MSI é removido. Mesmo que o outro GPO tenha atribuído isso. Esse problema é importante porque aparentemente o GPOS aplicado é enumerado antes de suas configurações serem aplicadas (por isso, se você atribuir vários programas com vários GPOs, todos eles serão instalados ao mesmo tempo). Se os GPOs que aplicam um software forem processados e removidos, uma condição de corrida (perdida) será criada. O GUID do GPO existe, mas o GUID PKG que ele contém não possui.

Isso fica ainda pior com AV, que pode ter problemas com o Windows instala / desinstala. Na verdade, o Kaspersky ainda tem um desinstalador independente para a remoção de seu próprio cliente. AV não gosta de ir embora.

Isso fica ainda mais complicado com um MSI mal configurado.

TL: DR Não use Aplicativos Designados via GPO, especialmente com AV.

Leitura Extra: link

    
por 08.12.2015 / 00:49

Tags

Como limitar as portas de tuning reversas do SSH? A porta do meu switch Cisco está ruim?