A instalação do software GPO reinstalará os aplicativos já instalados de uma política diferente?

Estou procurando instalar nosso pacote AV mais recente por meio de uma política de instalação de software GPO. (Como no clipe de tela abaixo.)

Infelizmente, minha solicitação para usar o DFS foi negada e vou precisar criar um GPO para cada site em nosso ambiente (cada site é sua própria sub-rede). O problema que tenho é que muitos usuários viajam entre sites; assim, ao mudarem para outro site, eles obterão o novo GPO e ficarão fora de escopo no GPO anterior.

Não consigo encontrar nenhuma documentação concreta para saber se a instalação do software GPO reinstalará um aplicativo se ele já existir no PC atual. Usarei a opção para sair do aplicativo quando o computador estiver fora do escopo.

De minha pesquisa, descobri que o GPO só será aplicado se a versão do GPO tiver sido alterada, o que é bom, mas e o MSI real?

Encontrei dois cenários que as pessoas apresentam, mas que não conseguem fazer backup:

1. O GPO chama o serviço Windows Installer que verifica a lista de programas instalados e será instalado apenas se a versão atual do MSI não estiver lá.

2. A instalação do GPO mantém seu próprio cache de APP com sua própria lista de software e instalará o aplicativo se ele não estiver nessa lista, mesmo se já estiver instalado.

Alguém pode confirmar as informações corretas para mim?

EDIT: Obrigado pelas respostas, estou ciente de outras maneiras alternativas de implantar software, mas o que eu desejo é uma resposta concreta para saber se uma implantação de GPO reinstalará um pacote se ele já existir na estação de trabalho.

Quando tive que fazer isso no passado, evitei o GPO de instalação de software porque eles são limitados e causam tantos problemas quanto resolvem.

EDIT: Em resposta à sua edição, SIM, os GPOs de instalação de software podem e reinstalarão o software já instalado. (Qual é um dos problemas que eles causam - longe de ser o único.) No seu cenário, se você optar por usar o GPO de instalação de software, isso será algo que você precisará colocar em algum trabalho para evitar, como a sugestão na resposta de Greg .

Quando tive que usar GPOs para instalar software, a maneira como o fiz no passado é usar o GPO que inicia uma instalação com script que verifica se a coisa já não está instalada. Veja o exemplo abaixo, para instalar o PC * Miler26 shudder em várias máquinas XP.

A captura de tela mostra o GPO do script de inicialização apontando para um local no DFS corporativo (que redigimos) e o próprio script é um arquivo bastão, devido às limitações em nosso ambiente - com máquinas XP e WMI frequentemente quebrados nossos clientes, essa é a única coisa que funciona de maneira confiável.

echo off
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\ALK Technologies\PC*Miler 26.0"
if %errorlevel%==1 (goto Install) else (goto End)

REM If errorlevel returns a value of 1, it means the key is not present, thus the program is not installed.  So install it.
:Install
\\[Our DFS software share]\PCMiler26\Network\setup.exe /s

REM If errorlevel returns a value other than 1, the key is present, and the program is already installed, or something odd's going on.  No installation.

:End

Se for um GPO diferente, ele pode tentar reinstalar. Se ele realmente for concluído, a reinstalação depende do pacote. Os GPOs de instalação de software têm inúmeras limitações e não são o método mais flexível para implantar aplicativos. Você deve usá-lo apenas se não tiver uma solução de implementação real como BigFix ou SCCM.

Você pode solucionar isso criando um filtro para especificar uma preferência de diretiva de grupo para procurar uma marca que indique se o aplicativo está instalado. Por exemplo, se o serviço ntrtscan não existir.

Mais informações aqui:

http://evilgpo.blogspot.com/2012/05/inverting-wmi-filters.html

Observe o exemplo na parte inferior. Você criaria um filtro de segmentação no nível do item para um serviço que não existe.

Eu sei que isso é um pouco antigo, mas eu estava analisando algo relacionado a isso e pensei em compartilhar minha experiência também.

Depende de como você atribui aplicativos. Também os aplicativos aplicados por GPO são ruins. Nos meus testes, atribuí-o através de computadores (Domínio R2 2012 ao computador Win7, testado com o Kaspersky MSI).

Para testar, fiz uma cópia do GPO que implantou o MSI e o apliquei à UO vinculada anteriormente. Executei um gpupdate / force e não foi solicitado a reiniciar o computador (o que significa que nenhuma alteração foi aplicada ao computador). Para confirmar o GPO aplicado, execute gpresult / R e confirme que Copy_of_GPO foi aplicado bieng. Para verificar novamente como o GPO estava tratando o instalador, procurei o que o registro dizia. "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ AppMgmt \" (graças a Atribuir software através da diretiva de grupo - como o cliente sabe se o pacote estiver instalado ou não ) O GPO GUID de COPY_of_GPO apareceu nos GPOs. Uma única instância do Product ID estava no AppMgmt e mantinha o GID GUID inicial como GPO de origem.

Onde isso vai mal; Digamos que você desvincule um dos GPOs. Como o GPO que aplica o MSI não é mais aplicado, o MSI é removido. Mesmo que o outro GPO o tenha atribuído. Esse problema é importante porque, aparentemente, o GPOS aplicado é enumerado antes da aplicação das configurações (por isso, se você atribuir vários programas com vários GPOs, todos eles serão instalados ao mesmo tempo). Se os GPOs que aplicam um software forem processados ​​e removidos, uma condição de corrida (perdida) será criada. O GPO GUID existe, mas o PKG GUID que ele contém não existe.

Isso fica ainda pior com o AV, que pode ter problemas com as instalações / desinstalações do Windows. De fato, a Kaspersky tem até um desinstalador autônomo para remover seu próprio cliente. O AV não gosta de ir embora.

Isso fica ainda mais complicado com um MSI mal configurado.

TL: DR Não use aplicativos atribuídos via GPO, especialmente com o AV.

Leitura extra: https://msdn.microsoft.com/en-us/library/cc782152%28v=ws.10%29.aspx