L'installation du logiciel GPO réinstallera-t-elle les applications déjà installées à partir d'une stratégie différente?

9

Je cherche à installer notre dernière suite AV via une politique d'installation du logiciel GPO. (Comme dans le clip d'écran ci-dessous.)

entrez la description de l'image ici

Malheureusement, ma demande d'utilisation de DFS a été refusée et je devrai créer un objet de stratégie de groupe pour chaque site de notre environnement (chaque site est son propre sous-réseau). Le problème que j'ai, c'est que beaucoup d'utilisateurs voyagent entre les sites, donc lorsqu'ils se déplacent vers un autre site, ils obtiendront le nouvel objet de stratégie de groupe et tomberont hors de portée de l'ancien objet de stratégie de groupe.

Je ne trouve aucune documentation concrète indiquant si l'installation du logiciel GPO réinstallera une application si elle existe déjà sur le PC actuel. J'utiliserai l'option de quitter l'application lorsque l'ordinateur ne sera plus accessible.

D'après mes recherches, j'ai découvert que le GPO ne s'appliquera que si la version du GPO a changé, ce qui est bien, mais qu'en est-il du MSI réel?

J'ai trouvé deux scénarios que les gens proposent mais ne peuvent pas sauvegarder:

  1. L’objet de stratégie de groupe appelle le service Windows Installer qui vérifie la liste des programmes installés et s’installera uniquement si la version MSI actuelle n’est pas là.

  2. L'installation de GPO conserve son propre cache APP avec sa propre liste de logiciels et installera l'application si elle ne figure pas dans cette liste, même si elle est déjà installée.

Quelqu'un peut-il confirmer les informations correctes pour moi?

EDIT: Merci pour les réponses, je connais d'autres façons alternatives de déployer un logiciel, mais ce que je recherche, c'est une réponse concrète pour savoir si un déploiement GPO réinstalle un package s'il existe déjà sur le poste de travail.

windows active-directory group-policy mhouston100
la source
"notre dernière suite AV avec ADSI via un GPO"? Veuillez
Mathias R. Jessen
Nous échangeons Symantec Enterprise Protection pour Tren-Micro OfficeScan. Nous devons déployer le client (qui désinstallera également le client SEP).
mhouston100
Les installations de logiciels Active Directory sont mentionnées dans la documentation de Technet pour le déploiement de logiciels avec des GPO. Je vais juste le supprimer, enregistre tout autre problème de clarté.
mhouston100
1
@ mhouston100 En réponse à votre modification, OUI, les objets de stratégie de groupe d'installation de logiciel peuvent réinstaller et réinstalleront le logiciel déjà installé. Dans votre scénario, c'est quelque chose que vous devrez mettre en œuvre pour éviter, comme la suggestion dans la réponse de Greg .
HopelessN00b
Je veux juste que vous soyez prévenu: grâce à la version 7, au moins, les MSI générés par Trend Micro sont terribles et j'ai eu un nombre important de machines se retrouvant dans un état "semi-installé" à cause d'eux. Je veux également être d'accord avec HoplelessN00b - Le logiciel tentera assurément de réinstaller.
Evan Anderson

Réponses:

4

Lorsque j'ai dû le faire dans le passé, j'ai évité le GPO d'installation de logiciels car ils sont limités et causent autant de problèmes qu'ils résolvent.

MODIFIER: En réponse à votre modification, OUI, les objets de stratégie de groupe d'installation de logiciel peuvent et vont réinstaller le logiciel déjà installé. (Ce qui est l'un des problèmes qu'ils provoquent - loin d'être le seul, cependant.) Dans votre scénario, si vous choisissez d'utiliser le GPO d'installation de logiciels, c'est quelque chose que vous devrez mettre en œuvre pour éviter, comme la suggestion dans la réponse de Greg .

Lorsque j'ai dû utiliser des objets de stratégie de groupe pour installer des logiciels, la façon dont je l'ai fait dans le passé est d'utiliser un objet de stratégie de groupe qui démarre une installation scriptée qui vérifie que la chose n'est pas déjà installée. Voir exemple ci - dessous, pour l' installation de PC * Miler26 frisson à tout un tas de machines XP.

La capture d'écran montre le GPO de script de démarrage pointant vers un emplacement sur notre DFS d'entreprise (que j'ai expurgé) et le script lui-même est un fichier bat, en raison des limites de notre environnement - avec les machines XP et WMI étant fréquemment cassé nos clients, c'est la seule chose qui fonctionne de manière fiable.

entrez la description de l'image ici

echo off
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)

REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed.  So install it.
:Install
\\[Our DFS software share]\PCMiler26\Network\setup.exe /s

REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on.  No installation.

:End
HopelessN00b
la source
Merci pour la réponse. Nous utilisons les scripts de connexion et de GPO depuis un certain temps, mais je cherchais une approche différente et plus gérée. Le problème n'existerait pas si nous utilisions DFS, mais cela n'est pas envisageable. Connaissez-vous des informations ou des documents concernant l'effet définitif des installations multi-GPO?
mhouston100
@ mhouston100 Aucune documentation, désolé. Je viens de l'éviter complètement car cela m'a causé plus de problèmes qu'il n'en résout. Si je ne peux pas déployer quelque chose via SCCM, je le fais comme dans mon article, et je saute les maux de tête que j'ai toujours rencontrés avec la "fonctionnalité" GPO d'installation de logiciels.
HopelessN00b
Je pêche si fort pour obtenir du SCCM mais le coût est extrêmement prohibitif pour notre entreprise, malheureusement. Je vais continuer à chercher, je ne pense pas que le déploiement de GPO va le couvrir cette fois ... crachant.
mhouston100
4

S'il s'agit d'un autre objet de stratégie de groupe, il peut tenter de réinstaller. S'il se termine, la réinstallation dépend du package. Les GPO d'installation de logiciels ont de nombreuses limitations et ne sont pas la méthode la plus flexible pour déployer des applications. Vous ne devez l'utiliser que si vous ne disposez pas d'une véritable solution de déploiement comme BigFix ou SCCM.

Vous pouvez contourner cela en créant un filtre pour spécifier une préférence de stratégie de groupe pour rechercher une balise qui indiquerait si l'application est installée. Par exemple, si le service ntrtscan n'existe pas.

Plus d'infos ici:

http://evilgpo.blogspot.com/2012/05/inverting-wmi-filters.html

Notez l'exemple en bas. Vous devez créer un filtre de ciblage au niveau de l'élément pour un service qui n'existe pas.

Greg Askew
la source
Bon lien pour le ciblage au niveau de l'élément, je pense que ce sera la façon dont nous allons résoudre le problème individuel. Cependant, il ne fournit toujours pas de réponses concrètes à la question de savoir comment fonctionne le mécanisme de réinstallation et s'il tentera sans aucun doute de réinstaller si l'application existe déjà.
mhouston100
1

Je sais que c'est un peu vieux, mais je cherchais quelque chose en rapport avec cela et j'ai pensé partager mon expérience aussi.

Cela dépend de la façon dont vous affectez les applications. Les applications appliquées par GPO sont également généralement mauvaises. Lors de mes tests, je l'ai attribué via des ordinateurs (2012 R2 Domain to Win7 computer, testé avec Kaspersky MSI).

Pour tester, j'ai fait une copie de l'objet de stratégie de groupe qui a déployé le MSI et l'ai appliqué à l'unité d'organisation précédemment liée. J'ai exécuté un gpupdate / force et je n'ai pas été invité à redémarrer l'ordinateur (ce qui signifie qu'aucune modification n'a été appliquée à l'ordinateur). Pour confirmer le GPO appliqué, a exécuté gpresult / R et a confirmé que Copy_of_GPO était bieng appliqué. Vérifier comment le GPO soignait le programme d' installation, j'ai regardé ce que le registre a dit dans « HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policy Group \ AppMgmt \ » (grâce à. Attribution d'un logiciel par stratégie de groupe - Comment savoir client si le package est installé ou non ) Le GUID du GPO de COPY_of_GPO est apparu dans les GPO. Une seule instance de Product ID se trouvait sous AppMgmt et contenait le GUID GPO initial comme GPO source.

Où cela va mal; Supposons que vous dissociez ensuite l'un des GPO. Étant donné que le GPO qui applique le MSI n'est plus appliqué, le MSI est supprimé. Même si l'autre GPO l'a affecté. Ce hoquet est important car apparemment les GPOS qui sont appliqués sont énumérés avant que leurs paramètres ne soient appliqués (c'est pourquoi si vous attribuez plusieurs programmes avec plusieurs GPO, ils s'installent tous en même temps). Si les objets de stratégie de groupe qui appliquent un logiciel sont traités et supprimés, une condition de concurrence critique (perdante) est créée. Le GPO GUID existe mais le PKG GUID qu'il contient n'en existe pas.

Cela devient encore pire avec AV qui peut avoir des problèmes avec les installations / désinstallations de Windows. En fait, Kaspersky a même un programme de désinstallation autonome pour la suppression de leur propre client. AV n'aime pas s'en aller.

Cela devient encore plus compliqué avec un MSI mal configuré.

TL: DR N'utilisez pas les applications attribuées via GPO, en particulier avec AV.

Lecture supplémentaire: https://msdn.microsoft.com/en-us/library/cc782152%28v=ws.10%29.aspx

Ijustpressbuttons
la source