Wird die GPO-Softwareinstallation bereits installierte Anwendungen aus einer anderen Richtlinie erneut installieren?

Ich möchte unsere neueste AV-Suite über eine GPO-Softwareinstallationsrichtlinie installieren. (Wie im folgenden Screenclip.)

Leider wurde meine Anfrage zur Verwendung von DFS abgelehnt und ich muss ein Gruppenrichtlinienobjekt für jeden Standort in unserer Umgebung erstellen (jeder Standort ist ein eigenes Subnetz). Das Problem, das ich habe, ist, dass viele Benutzer zwischen Websites wechseln. Wenn sie also zu einer anderen Website wechseln, erhalten sie das neue Gruppenrichtlinienobjekt und fallen aus dem Bereich des vorherigen Gruppenrichtlinienobjekts heraus.

Ich kann keine konkrete Dokumentation darüber finden, ob die GPO-Softwareinstallation eine Anwendung erneut installiert, wenn sie bereits auf dem aktuellen PC vorhanden ist. Ich werde die Option verwenden, um die App zu verlassen, wenn der Computer aus dem Bereich fällt.

Bei meinen Recherchen habe ich festgestellt, dass das Gruppenrichtlinienobjekt nur angewendet wird, wenn sich die Version des Gruppenrichtlinienobjekts geändert hat. Das ist in Ordnung, aber was ist mit dem tatsächlichen MSI?

Ich habe zwei Szenarien gefunden, die von den Leuten vorgeschlagen, aber nicht gesichert werden können:

1. Das Gruppenrichtlinienobjekt ruft den Windows Installer-Dienst auf, der die Liste der installierten Programme überprüft und nur installiert, wenn die aktuelle MSI-Version nicht vorhanden ist.

2. Die GPO-Installation behält ihren eigenen APP-Cache mit einer eigenen Softwareliste bei und installiert die App, wenn sie nicht in dieser Liste enthalten ist, auch wenn sie bereits installiert ist.

Kann jemand die richtigen Informationen für mich bestätigen?

BEARBEITEN: Vielen Dank für die Antworten. Ich kenne andere alternative Möglichkeiten zum Bereitstellen von Software. Ich bin jedoch auf der Suche nach einer konkreten Antwort darauf, ob bei einer GPO-Bereitstellung ein Paket erneut installiert wird, wenn es bereits auf der Workstation vorhanden ist.

Wenn ich dies in der Vergangenheit tun musste, habe ich das Gruppenrichtlinienobjekt für die Softwareinstallation vermieden, da es begrenzt ist und so viele Probleme verursacht, wie sie lösen.

BEARBEITEN: Als Reaktion auf Ihre Bearbeitung, JA, können und werden GPOs für die Softwareinstallation bereits installierte Software neu installieren. (Welches ist eines der Probleme, die sie verursachen - bei weitem nicht das einzige.) Wenn Sie sich in Ihrem Szenario für die Verwendung des Gruppenrichtlinienobjekts für die Softwareinstallation entscheiden, müssen Sie einige Arbeiten ausführen, um dies zu verhindern, z der Vorschlag in Gregs Antwort .

Wenn ich zum Installieren von Software Gruppenrichtlinienobjekte verwenden musste, habe ich in der Vergangenheit ein Gruppenrichtlinienobjekt verwendet, mit dem eine Skriptinstallation gestartet wird, mit der überprüft wird, ob das Objekt noch nicht installiert ist. Siehe Beispiel unten, für PC * Miler26 Installation Schauder zu einem Bündel von XP - Maschinen.

Der Screenshot zeigt das Gruppenrichtlinienobjekt für das Startskript, das auf einen Speicherort in unserer Unternehmens-DFS zeigt (den ich redigiert habe), und das Skript selbst ist aufgrund der Einschränkungen in unserer Umgebung eine Bat-Datei - mit XP-Computern und WMI, auf denen häufig Fehler auftreten Unsere Kunden, das ist das einzige, was zuverlässig funktioniert.

echo off
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)

REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed.  So install it.
:Install
\\[Our DFS software share]\PCMiler26\Network\setup.exe /s

REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on.  No installation.

:End

Wenn es sich um ein anderes Gruppenrichtlinienobjekt handelt, wird möglicherweise versucht, es neu zu installieren. Ob die Neuinstallation tatsächlich abgeschlossen ist, hängt vom Paket ab. Gruppenrichtlinienobjekte für die Softwareinstallation weisen zahlreiche Einschränkungen auf und sind nicht die flexibelste Methode zum Bereitstellen von Anwendungen. Sie sollten es nur verwenden, wenn Sie keine echte Bereitstellungslösung wie BigFix oder SCCM haben.

Sie können dies umgehen, indem Sie einen Filter erstellen, um eine Gruppenrichtlinieneinstellung anzugeben und nach einem Tag zu suchen, das angibt, ob die Anwendung installiert ist. Zum Beispiel, wenn der Dienst ntrtscan nicht vorhanden ist.

Mehr Infos hier:

http://evilgpo.blogspot.com/2012/05/inverting-wmi-filters.html

Beachten Sie das Beispiel unten. Sie würden einen Targeting-Filter auf Elementebene für einen Service erstellen, der nicht vorhanden ist.

Ich weiß, dass dies ein bisschen alt ist, aber ich habe mir etwas damit befasst und dachte, ich würde auch meine Erfahrungen teilen.

Dies hängt davon ab, wie Sie Anwendungen zuweisen. Auch GPO Applied-Anwendungen sind meistens schlecht. Bei meinen Tests habe ich es über Computer zugewiesen (2012 R2 Domain an Win7-Computer, getestet mit Kaspersky MSI).

Zum Testen habe ich eine Kopie des Gruppenrichtlinienobjekts erstellt, mit dem das MSI bereitgestellt wurde, und es auf die zuvor verknüpfte Organisationseinheit angewendet. Ich habe ein gpupdate / force ausgeführt und wurde nicht aufgefordert, den Computer neu zu starten (was bedeutet, dass keine Änderungen am Computer vorgenommen wurden). Um das angewendete Gruppenrichtlinienobjekt zu bestätigen, haben Sie gpresult / R ausgeführt und bestätigt, dass Copy_of_GPO bieng angewendet wurde. Um zu überprüfen, wie das Gruppenrichtlinienobjekt das Installationsprogramm behandelt hat, habe ich nachgeschlagen, was in der Registrierung angegeben ist. "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Aktuelle Version \ Gruppenrichtlinie \ AppMgmt \" (dank Zuweisen von Software über Gruppenrichtlinien - woher weiß der Client ? ob das Paket installiert ist oder nicht ) Die GPO-GUID von COPY_of_GPO wurde in GPOs angezeigt. Eine einzelne Instanz der Produkt-ID befand sich unter AppMgmt und enthielt die ursprüngliche Gruppenrichtlinienobjekt-GUID als Quell-Gruppenrichtlinienobjekt.

Wo das schlecht geht; Angenommen, Sie trennen eines der Gruppenrichtlinienobjekte. Da das Gruppenrichtlinienobjekt, das die MSI anwendet, nicht mehr angewendet wird, wird die MSI entfernt. Auch wenn das andere Gruppenrichtlinienobjekt es zugewiesen hat. Dieser Schluckauf ist wichtig, da anscheinend angewendete GPOS aufgelistet werden, bevor ihre Einstellungen angewendet werden (weshalb, wenn Sie mehrere Programme mit mehreren Gruppenrichtlinienobjekten zuweisen, alle gleichzeitig installiert werden). Wenn Gruppenrichtlinienobjekte, die eine Software anwenden, verarbeitet und entfernt werden, wird eine (verlorene) Rennbedingung erstellt. Die GPO-GUID ist vorhanden, die darin enthaltene PKG-GUID jedoch nicht.

Dies wird mit AV noch schlimmer, da Probleme bei der Installation / Deinstallation von Windows auftreten können. Kaspersky verfügt sogar über ein eigenständiges Deinstallationsprogramm zum Entfernen des eigenen Clients. AV geht nicht gerne weg.

Dies wird mit einem schlecht eingerichteten MSI noch komplizierter.

TL: DR Verwenden Sie keine zugewiesenen Anwendungen über das Gruppenrichtlinienobjekt, insbesondere nicht mit AV.

Zusätzliche Lektüre: https://msdn.microsoft.com/en-us/library/cc782152%28v=ws.10%29.aspx