GPO软件安装会通过其他策略重新安装已安装的应用程序吗？

我希望通过GPO软件安装策略安装最新的AV套件。（如下面的屏幕剪辑所示。）

在此处输入图片说明

不幸的是，我使用DFS的请求已被拒绝，我需要为环境中的每个站点（每个站点都是其自己的子网）创建一个GPO。我的问题是，许多用户在站点之间旅行，因此，当他们移至另一个站点时，他们将获得新的GPO并超出了先前GPO的范围。

我找不到任何有关GPO软件安装是否会在当前PC上重新安装该应用程序的具体文档。当计算机超出范围时，我将使用该选项离开应用程序。

根据我的研究，我发现GPO仅在GPO版本已更改的情况下才适用，这很好，但是实际的MSI呢？

我发现人们提出了两种但不能支持的方案：

GPO调用Windows Installer服务，该服务检查已安装的程序列表，并且仅当当前MSI版本不存在时才安装。
GPO安装会使用其自己的软件列表来保留其自己的APP缓存，如果该应用程序不在该列表中，即使已经安装了该应用程序，也会安装该应用程序。

谁能为我确认正确的信息？

编辑：感谢您的答复，我知道其他部署软件的方法，但是我要解决的是关于GPO部署是否将重新安装软件包（如果工作站上已经存在）的具体答案。

windows active-directory group-policy

— mhouston100
source

“我们通过GPO使用ADSI的最新AV套件”？请详细说明

— Mathias R. Jessen 2014年

我们正在将Symantec Enterprise Protection换成Tren-Micro OfficeScan。我们需要部署客户端（这也将卸载SEP客户端）。

— mhouston100

Technet文档中提到了Active Directory软件安装，用于与GPO一起部署软件。我将其删除，以保存任何进一步的清晰度问题。

— mhouston100 2014年

@ mhouston100响应您的编辑，是，软件安装GPO可以并且将重新安装已经安装的软件。在您的情况下，这是您必须采取的一些措施来防止的，例如Greg的答案中的建议。

— HopelessN00b 2014年

我只是想提醒您：至少通过版本7，趋势科技生成的MSI太糟糕了，由于这些机器，我有大量的计算机最终处于“半安装”状态。我也想同意w / HoplelessN00b-该软件一定会尝试重新安装。

— 埃文·安德森

Answers:

过去，当我不得不这样做时，我避免了“软件安装GPO”，因为它们是有限的，并且会引起许多解决的问题。

编辑：响应您的编辑，是，软件安装GPO可以并且将重新安装已经安装的软件。（这是它们引起的问题之一，尽管远不是唯一的。）在您的方案中，如果选择使用“软件安装GPO”，则必须采取一些措施来防止这种情况，例如格雷格的回答中的建议。

当我不得不使用GPO来安装软件时，我过去的做法是使用GPO，它可以启动脚本化安装，该脚本检查以确保尚未安装该东西。请参阅以下示例，以将PC * Miler26 颤抖器安装到一堆XP机器上。

屏幕截图显示了启动脚本GPO指向公司DFS上的某个位置（我已编辑），并且由于环境的限制，该脚本本身是bat文件-XP计算机和WMI经常被破坏我们的客户，这是唯一可靠的方法。

在此处输入图片说明

echo off
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)

REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed.  So install it.
:Install
\\[Our DFS software share]\PCMiler26\Network\setup.exe /s

REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on.  No installation.

:End

— 绝望的N00b
source

感谢您的回复。我们已经使用登录和GPO脚本已有一段时间了，但是我一直在寻找一种不同的，更易于管理的方法。如果我们使用DFS，这个问题将不存在，但这是不可能的。您是否了解有关交叉GPO安装的确定效果的任何信息或文档？

— mhouston100 2014年

@ mhouston100没有文档，对不起。我完全避免了它，因为它给我带来的问题比解决的问题多。如果无法通过SCCM部署某些内容，请按照我的帖子中的说明进行操作，并跳过我在软件安装GPO“功能”中经常遇到的麻烦。

— HopelessN00b 2014年

我一直在努力争取SCCM，但不幸的是，这笔费用对我们公司而言实在是太高了。我会继续寻找，我不认为这次GPO部署不会解决这个问题。

— mhouston100 2014年

如果它是其他GPO，则可能会尝试重新安装。如果确实完成，则重新安装取决于软件包。软件安装GPO有很多限制，并不是部署应用程序的最灵活的方法。仅当您没有像BigFix或SCCM这样的真正部署解决方案时，才应使用它。

您可以通过创建过滤器来指定组策略首选项，以查找用于指示是否已安装该应用程序的标记，来解决此问题。例如，如果ntrtscan服务不存在。

请注意底部的示例。您将为不存在的服务创建项目级定位过滤器。

— 格雷格·阿斯克（Greg Askew）
source

项目级定位的良好链接，我认为这将是我们解决个别问题的方法。但是，对于重新安装机制的工作方式，它仍然没有提供任何具体的答案，如果可以肯定地尝试重新安装（如果该应用已经存在），请尝试再次安装。

— mhouston100

我知道这有点老，但是我一直在寻找与此相关的东西，并认为我也将分享我的经验。

这取决于您如何分配应用程序。同样，GPO Applied应用程序也很糟糕。在我的测试中，我已经通过计算机将其分配了（2012 R2域为Win7计算机，已通过卡巴斯基MSI测试）。

为了进行测试，我制作了一个GPO副本，该副本部署了MSI，并将其应用于先前链接的OU。我运行了gpupdate / force，没有提示您重新启动计算机（这意味着未对计算机应用任何更改）。要确认已应用GPO，请运行gpresult / R并确认已应用Copy_of_GPO。为了再次检查GPO如何对待安装程序，我查看了注册表中的内容。“ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ AppMgmt \”（感谢通过组策略分配软件-客户端如何知道（如果未安装该软件包））COPY_of_GPO的GPO GUID显示在GPO中。产品ID的一个实例位于AppMgmt下，并保留了初始GPO GUID作为其源GPO。

哪里不好说您然后取消链接任何一个GPO。由于不再应用MSI的GPO，因此将删除MSI。即使另一个GPO分配了它。此问题很重要，因为显然在应用其设置之前会先枚举所应用的GPOS（这就是为什么如果您为多个具有多个GPO的程序同时安装的原因）。如果处理并删除了应用软件的GPO，则会创建（失败）竞争条件。GPO GUID存在，但其中包含的PKG GUID不存在。

对于AV来说，情况甚至更糟，它可能会与Windows安装/卸载有关。实际上，卡巴斯基甚至还有一个独立的卸载程序来删除自己的客户端。AV不喜欢消失。

如果MSI设置不正确，这将变得更加复杂。

TL：DR请勿通过GPO使用分配的应用程序，尤其是对于AV。

额外阅读：https : //msdn.microsoft.com/zh-cn/library/cc782152%28v=ws.10%29.aspx

— Ijustpressbuttons
source