GPO 소프트웨어 설치 정책을 통해 최신 AV 제품군을 설치하려고합니다. (아래 스크린 샷과 같이)
불행히도 DFS 사용 요청이 거부되었으며 환경의 각 사이트에 대해 GPO를 만들어야합니다 (각 사이트는 자체 서브넷 임). 내가 가진 문제는 많은 사용자가 사이트 간을 이동하므로 다른 사이트로 이동하면 새 GPO를 받고 이전 GPO의 범위를 벗어난다는 것입니다.
현재 PC에 응용 프로그램이 이미 존재하는 경우 GPO 소프트웨어 설치로 응용 프로그램을 다시 설치할지 여부에 대한 구체적인 설명서를 찾을 수 없습니다. 컴퓨터가 범위를 벗어나면 앱을 종료하는 옵션을 사용합니다.
내 연구에서 GPO 버전이 변경된 경우에만 GPO가 적용된다는 것을 알았습니다. 그러나 실제 MSI는 어떻습니까?
사람들이 제시했지만 백업 할 수없는 두 가지 시나리오를 발견했습니다.
-
GPO는 설치된 프로그램 목록을 확인하는 Windows Installer 서비스를 호출하며 현재 MSI 버전이없는 경우에만 설치됩니다.
-
GPO 설치는 자체 소프트웨어 목록과 함께 자체 APP 캐시를 유지하며, 앱이 이미 설치되어 있어도 해당 목록에 없으면 앱을 설치합니다.
누구든지 올바른 정보를 확인할 수 있습니까?
편집 : 응답자들에게 감사드립니다. 소프트웨어를 배포하는 다른 대체 방법을 알고 있습니다. 그러나 GPO 배포가 이미 패키지가 워크 스테이션에 존재하는 경우 패키지를 다시 설치할지 여부에 대한 구체적인 대답입니다.
답변
과거에이 작업을 수행해야했을 때 소프트웨어 설치 GPO는 제한되어 있고 해결해야 할 문제가 많기 때문에 피했습니다.
편집 : 편집에 대한 응답으로 그렇습니다. 소프트웨어 설치 GPO는 이미 설치된 소프트웨어를 다시 설치할 수 있습니다. (단, 하나의 문제와는 거리가 먼 문제 중 하나입니다.) 시나리오에서 소프트웨어 설치 GPO를 사용하기로 선택한 경우이를 방지하기 위해 몇 가지 작업을해야합니다. 그렉의 대답에 대한 제안 .
소프트웨어를 설치하기 위해 GPO를 사용해야했던 경우, 과거에 소프트웨어를 설치 한 것은 스크립트 설치를 시작하는 GPO를 사용하여 설치되지 않았는지 확인하는 것입니다. 여러 XP 시스템에 PC * Miler26 shudder 를 설치하려면 아래 예를 참조하십시오 .
스크린 샷은 회사 DFS의 위치를 가리키는 시작 스크립트 GPO를 보여줍니다 (내가 수정 한) 스크립트 자체는 환경의 제한으로 인해 XP 파일과 WMI가 자주 손상되는 박쥐 파일입니다. 우리의 고객은 그것이 안정적으로 작동하는 유일한 것입니다.
echo off
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)
REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed. So install it.
:Install
\\[Our DFS software share]\PCMiler26\Network\setup.exe /s
REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on. No installation.
:End
답변
다른 GPO 인 경우 다시 설치하려고 할 수 있습니다. 실제로 재설치가 완료되면 패키지에 따라 다릅니다. 소프트웨어 설치 GPO에는 여러 가지 제한이 있으며 응용 프로그램을 배포하는 가장 유연한 방법은 아닙니다. BigFix 또는 SCCM과 같은 실제 배치 솔루션이없는 경우에만 사용해야합니다.
응용 프로그램이 설치되어 있는지 여부를 나타내는 태그를 찾도록 그룹 정책 기본 설정을 지정하는 필터를 만들어이 문제를 해결할 수 있습니다. 예를 들어, ntrtscan 서비스가 존재하지 않는 경우.
여기에 더 많은 정보가 있습니다 :
http://evilgpo.blogspot.com/2012/05/inverting-wmi-filters.html
하단의 예를 참고하십시오. 존재하지 않는 서비스에 대한 항목 레벨 타겟팅 필터를 작성합니다.
답변
나는 이것이 조금 오래되었다는 것을 알고 있지만 이것과 관련된 것을 찾고 있었고 내 경험을 공유 할 것이라고 생각했습니다.
응용 프로그램을 할당하는 방법에 따라 다릅니다. 또한 GPO Applied 응용 프로그램은 대부분 불량합니다. 내 테스트에서 컴퓨터를 통해 컴퓨터 (카스퍼 스키 MSI로 테스트 한 2012 R2 도메인에서 Win7 컴퓨터로)를 할당했습니다.
테스트를 위해 MSI를 배포 한 GPO를 만들어 이전에 연결된 OU에 적용했습니다. gpupdate / force를 실행했는데 컴퓨터를 다시 시작하라는 메시지가 표시되지 않았습니다 (컴퓨터에 변경 사항이 적용되지 않음). 적용된 GPO를 확인하려면 gpresult / R을 실행하고 Copy_of_GPO가 bieng 적용되었는지 확인하십시오. GPO가 설치 프로그램을 처리하는 방식을 다시 확인하기 위해 레지스트리에서 “HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ AppMgmt \”에 나오는 내용을 찾아 보았습니다. 그룹 정책을 통해 소프트웨어 할당 덕분에 클라이언트는 어떻게 알 수 있습니까 패키지가 설치되었거나 설치되지 않은 경우 ) COPY_of_GPO의 GPO GUID가 GPO에 표시되었습니다. 제품 ID의 단일 인스턴스가 AppMgmt하에 있었고 소스 GPO로서 초기 GPO GUID를 보유했습니다.
이것이 나빠지는 곳; 그런 다음 GPO 중 하나의 연결을 해제하십시오. MSI를 적용하는 GPO가 더 이상 적용되지 않으므로 MSI가 제거됩니다. 다른 GPO가 할당 한 경우에도 마찬가지입니다. 이 문제는 설정이 적용되기 전에 적용되는 GPOS가 열거되기 때문에 중요합니다 (따라서 여러 GPO가있는 여러 프로그램을 할당하면 모두 동시에 설치됩니다). 소프트웨어를 적용하는 GPO가 처리 및 제거되면 (손실) 경쟁 조건이 생성됩니다. GPO GUID는 존재하지만 포함 된 PKG GUID는 존재하지 않습니다.
AV의 경우 Windows 설치 / 제거에 문제가 발생할 수 있습니다. 실제로 카스퍼 스키에는 자체 클라이언트 제거를위한 독립형 설치 제거 프로그램도 있습니다. AV는 떠나고 싶지 않습니다.
이것은 MSI 설정이 잘못되어 더욱 복잡해집니다.
TL : DR GPO를 통해, 특히 AV에서 할당 된 응용 프로그램을 사용하지 마십시오.
추가 자료 :
https://msdn.microsoft.com/en-us/library/cc782152%28v=ws.10%29.aspx