[zero55]

Проще это реализовать на основе групп.

[Raistlin]

А подробнее?

[zero55]

Создаете набор нужных групп, включаете в них учетки компьютеров.
Создаете набор GPO и привязываете его к группам.

Желательно в стартап скрипты запихать некий скрипт который бы проверял наличие установленного приложения при логине (т.е. при перезагрузке) и в случае если приложение не установлено то ставил бы его.

[Raistlin]

GPO, насколько мне известно, можно привязать к OU, но не к группе.

Цитата zero55:

Желательно в стартап скрипты запихать некий скрипт который бы проверял наличие установленного приложения при логине »

Если вы про машинную часть GPO, то в этом нет нужды, раз установка через software deployment. Если про пользовательскую - решение не очень красивое: при каждом логине проверять на установленность 10-15 приложений.

[zero55]

По умолчанию оно действует на OU, но если прописать группу то будет действовать и на нее (почитайте про Group policy Security Filtering).

То что можно поставить через software deployment не всегда отрабатывает.
Например вам нужно поставить жутко лохматое приложение которое имеет собственный сетап или вообще его не имеет.

Вот и приходится для установки такого По использовать отдельный объект GPO который навязывает скрипт который проверяет ПК на наличие определенных условий и при их отсутствии запускает некий набор действий.

PS я таким методом проверяю наличие и работоспособность SCCm-агента и антивируса.

[Raistlin]

Security Filtering - это для фильтрации, как следует из названия. Чтобы на некоторые объекты, находящиеся в этом OU или ниже по иерархии, GPO не действовало. Но GPO все равно вешается на OU. Привязать GPO к группе - нельзя. By design.

И я недаром написал - интересует именно software deployment. На моей практике пока не встречалось приложений, которые через software deployment ставятся неправильно. Я даже предположу, что такого не может быть в принципе. А вот как получить msi-файл - другой вопрос. Вернее, вопрос с таким, например, ответом: AppDeploy Repackager.

[zero55]

Цитата Raistlin:

Привязать GPO к группе - нельзя. By design. »

Вы пробовали?
На уровне верхнего OU создаете политику, настраиваете фильтрацию.
В результате политика действует на все ПК из этого OU с учетом фильтрации по группам.

Вы представляете контору у которой для настройки и установки софта 1500 политик?
Я - да. т.к. недавно был в гостях и у них довольно легкая структура юнитов.

Относительно правильности установки msi я не буду спорить, но вы попробуйте упаковать в него SAP-клиента или еще какого нибудь монстра

[Raistlin]

И что? Вы привязали политику к самому верхнему OU. И отфильтровали по группе. Но это не значит, что вы привязали политику к группе. У меня, кстати, так и сделано - в частности, для всех приложений, где нет "пользовательской" части установки.
Затем. Фильтрация-то действует, но - см. мой первый пост. Как быть с пользовательской частью установки?

[zero55]

Да к группе не привязаны но они на нее действуют.
Посмотрите gpresult /v

С пользовательской установкой сложнее т.е. лучше ее не использовать, ну или только в тех случаях когда что то работает напрямую из профиля и т.п.

PS вы SCCM не рассматривали? Для больших сетях самое то (хотя в 2007 все работает несколько странно... ), для маленьких можно использовать SCCM Essential.
В версии 2012 есть много нового.