Windows 7 Déploiement des postes de travail en entreprise.pdf

Windows 7  Déploiement des postes de travail en entreprise

Olivier BAT­ Freddy ELMALEH ­ Guillaume DESFARGES  

Résumé Ce livre sur le déploiement de Windows 7 s’adresse aux administrateurs système des petites et moyennes entreprises ainsi qu’aux ingénieurs chargés des postes de travail des grands comptes. Il a été conçu pour permettre au lecteur d’appréhender les nouveaux outils de déploiement proposés par Microsoft (Windows Deployment Services, Microsoft Deployment Toolkit et Windows Automated Installation Kit) et de les adapter à son environnement et à ses contraintes. Après une présentation de la gestion d’un projet de déploiement qui propose un guide sur le choix de la méthode de déploiement, l’ouvrage présente les différents composants nécessaires au déploiement de Windows 7 sur des postes de travail en entreprise. En suivant le fil conducteur de l’automatisation du déploiement, les auteurs détaillent et illustrent avec des manipulations les différentes méthodes pour installer Windows 7. Le livre présente également la gestion des mises à jour de sécurité du parc avec Windows Server Update Services et consacre un chapitre aux déploiements de Windows 7 dans les grands comptes avec System Center Configuration Manager 2007. Le dernier chapitre présente deux études de cas. Les titres des chapitres : Gérer un projet de déploiement - Choisir une solution de déploiement - Windows Deployment Services - Windows Automated Installation Kit Microsoft Deployment Toolkit - Déploiement de systèmes d’exploitation avec SCCM 2007 - Distribuer des mises à jour avec WSUS - Etudes de cas

L'auteur Oliver Bat Après plusieurs années passées comme Ingénieur Système et Réseau, Oliver Bat s'est spécialisé dans l'architecture et la maîtrise d'oeuvre du poste de travail jusqu'à créer sa société Aeon IT, spécialisée dans l'écosystème du poste de travail. Freddy Elmaleh Consultant freelance, Architecte Systèmes et Chef de projet, Expert Active Directory et Sécurité, Freddy Elmaleh est le fondateur de la société de services Active IT. Il intervient au sein de nombreuses grandes entreprises. Il est reconnu Microsoft MVP (Most Valuable Professional) sur Windows Server - Directory Services depuis plusieurs années. Guillaume Desfarges Architecte Système et Réseau depuis quelques années, Guillaume Desfarges intervient auprès de grands comptes, notamment dans le cadre de projets de migration et ou de virtualisation. Il est reconnu Microsoft MVP (Most Valuable Professional) Setup and Deployment depuis plusieurs années.

Ce livre numérique a été conçu et est diffusé dans le respect des droits d’auteur. Toutes les marques citées ont été déposées par leur éditeur respectif. La loi du 11 Mars 1957 n’autorisant aux termes des alinéas 2 et 3 de l’article 41, d’une part, que les “copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective”, et, d’autre part, que les analyses et les courtes citations dans un but d’exemple et d’illustration, “toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l’auteur ou de ses ayants droit ou ayant cause, est illicite” (alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal. Copyright Editions ENI

1

Introduction  Comme dans d’autres types de projets informatiques, le succès d’un projet de déploiement dépend en grande partie  de sa gestion, et finalement assez peu de la technique. Dès lors que celle­ci est maîtrisée, la différence entre le succès  et l’échec se fera sur la capacité du chef de projet à planifier, gérer, coordonner et communiquer.  Loin d’être exhaustif en matière de gestion de projet (des ouvrages entiers y sont consacrés), ce chapitre présente ce  qu’est un poste de travail, comment appréhender un déploiement, comment organiser son déroulement, et quel bilan  en dresser. 

2

Cycle de vie du poste de travail  Généralement considéré comme le parent pauvre du système d’information dans les petites et moyennes entreprises, le  poste de travail des grandes entreprises dispose souvent d’un service d’études et d’architecture dédié. Cette différence  de point de vue et de traitement s’explique par la prise de conscience, dans les grands comptes, qu’il s’agit du point de  délivrance  des  services  aux  utilisateurs  et  qu’à  ce  titre,  il  doit  être  traité  avec  une  attention  particulière.  En  effet,  un  poste  de  travail  en  entreprise  ne  se  résume  pas  à  un  ordinateur  et  quelques  logiciels  :  il  s’agit  en  réalité  d’un  environnement  de  travail  complet  qui  doit  s’intégrer  à  l’écosystème  informatique  de  l’entreprise,  et  grâce  auquel  le  collaborateur va pouvoir exercer son activité dans les meilleures conditions.  De la conception au support, en passant par sa mise en œ uvre et son déploiement, la vie du poste de travail suit un  cycle répétitif dont le moteur est souvent l’innovation constante de l’industrie informatique. 

Cycle de vie du poste de travail 

1. Conception  À  l’heure  où  de  nombreuses  entreprises  choisissent  de  se  recentrer  sur  leur  cœ ur  de  métier  en  externalisant  les  services "non­critiques", le poste de travail doit apporter une valeur ajoutée à son utilisateur, et non être une source  de problèmes, de perte de temps, et in fine, de baisse de la productivité. Pour que le poste réponde aux besoins de  ses  utilisateurs,  sa  conception  ne  doit  pas  être  traitée  seule,  de  manière  isolée,  mais  doit  prendre  en  compte  le  système d’information de l’entreprise, celui de ses partenaires et de ses clients.  Quels  sont  les  métiers  des  utilisateurs  ?  Sont­ils  nomades  ?  Quel  est  leur  niveau  de  compétence  en  informatique  ?  Avec  qui  l’entreprise  échange­t­elle  ?  Etes­vous  sûr  que  vos  commerciaux  pourront  emporter  en  déplacement  leurs  dossiers  clients  ?  La  population  administrative  est­elle formée à la nouvelle version du système d’exploitation  ?  Vos  partenaires  peuvent­ils  lire  les  fichiers  que  vous  leur  envoyez  dans  tel  format  récent  ?  Ce  ne  sont  que  quelques  exemples de questions auxquelles il vous faudra apporter une réponse pour être sûr de fournir le service attendu par  vos utilisateurs.  Nous  voyons  ici  que  la  conception  d’un  poste  de  travail  ne  se  résume  pas  à  choisir  indépendamment  le  matériel,  le  système  d’exploitation  et  les  applications.  Encore  faut­il  que  ces  choix  soient  cohérents  et  poursuivent  un  même  objectif. Il vous faudra également impliquer dans cette phase de conception des utilisateurs représentatifs des métiers  rencontrés dans l’entreprise, pour garantir l’adéquation de ce que vous concevrez avec leur réalité. 

a. Faire un état des lieux  Vos utilisateurs sont les premiers clients de votre projet de déploiement. Leur implication dans les phases initiales  vous assurera deux choses : une vision subjective de ce qu’ils ressentent dans l’utilisation quotidienne de leur outil  de  travail  (dysfonctionnements,  adéquation  des  outils,  lenteur  perçue,  etc.)  et  une  adhésion  au  projet  grâce  au  sentiment de considération qu’ils retireront de leur participation (cette adhésion au projet vous sera particulièrement  utile lors du déploiement, lorsque vous viendrez bousculer leur environnement informatique).  Organisez avec des représentants des différents services concernés (informatique, support, utilisateurs, achats) une  réunion  de  présentation  du  projet,  de  ce  qui  le  motive  (opportunité,  fin  de  support  d’un  matériel  ou  d’un  logiciel  important, inadéquation avec l’évolution des métiers) et des objectifs que vous souhaitez atteindre.  Dressez un état des lieux de votre parc actuel : constitution et culture des populations utilisatrices, inventaire des  matériels  rencontrés,  contraintes  métier,  implantations  géographiques,  existence  de  collaborateurs  avec  un  handicap,  formats  des  échanges  de  fichiers  informatiques  avec  les  partenaires  ou  les  clients,  engagements  contractuels avec les fournisseurs, etc. Cet état des lieux peut également être complété, si cela est possible, d’une 

3

synthèse  des  problèmes  rencontrés  le  plus  fréquemment  par  le  support  informatique.  Si  des  éléments  ressortent  comme étant traitables au niveau du poste de travail, identifiez les actions à mener et prenez­les en compte lors de  la  conception.  Par  exemple,  si  un  utilitaire  provoque  régulièrement  un  plantage,  vérifiez  auprès  de  l’éditeur  la  disponibilité d’une version plus récente corrigeant le problème et prévoyez de l’inclure dans votre nouveau socle. 

b. Formuler une expression de besoin  Une  fois  l’état  des  lieux  réalisé,  formaliser  une  expression  de  besoin  va  permettre  de  collecter  les  demandes  des  utilisateurs et de préparer la définition du socle. Les besoins peuvent être répartis en trois catégories : le matériel,  les applications et les services.  Les besoins matériels évoluent avec le temps parce que de nouveaux usages sont rendus possibles par l’évolution  des  technologies.  Avec  la  démocratisation  de  l’informatique  dans  les  foyers,  les  besoins  en  matériel  sont  souvent  exprimés en fonction de ce dont les utilisateurs disposent chez eux : un écran plat plus grand, un ordinateur plus  rapide, une souris sans fil, une webcam, etc. Il paraît aujourd’hui dépassé de proposer un écran cathodique parce  que les écrans plats sont devenus la norme en usage domestique, les deux permettant pourtant, à diagonale égale,  de  remplir  les  mêmes  fonctions.  L’expression  de  besoin  synthétisera  donc,  pour  chaque  population,  les  besoins  matériels exprimés, sans critères techniques, mais avec des critères qualitatifs : poste fixe ou nomade ; ultraléger,  léger  ou  normal  ;  simple  ou  double  écran  ;  silencieux  ou  non  ;  importante  vitesse  de  calcul  requise  ;  présence  de  périphériques nécessaires au métier ; etc.  Une  attention  particulière  doit  être  portée  à  l’expression  de  besoin  en  terme  d’applications.  Il  faut  en  effet  bien  distinguer le besoin "réel" (un applicatif métier, un utilitaire de compression de fichiers, un traitement de texte, etc.)  du  besoin  "de  confort"  (logiciel  de  synchronisation  avec  le  baladeur  MP3  ou  le  téléphone  personnel,  lecteur  de  vidéos, navigateur Web alternatif, barre d’outils du navigateur Web, etc.). Il n’est pas rare, sur un parc informatique  non maîtrisé, de voir remonter dans les inventaires logiciels bon nombre d’applications personnelles, de jeux et de  sharewares  en  tous  genres  (quand  il  ne  s’agit  pas  de  logiciels  sans  licence).  Attendez­vous  à  ce  que  ce  type  de  besoin soit exprimé, les utilisateurs considérant que ces logiciels sont nécessaires parce qu’ils ont l’habitude de les  avoir sur leur poste. La définition du socle sera le moment de faire le tri.  Enfin, la partie services permettra de formaliser ce qu’attendent les utilisateurs en terme de support (horaires, suivi  des incidents, intervention sur site), de sauvegarde et de restauration (procédure, délai, conservation) ou encore de  gestion  de  la  demande  (formulation,  suivi,  historique).  Le  support  dispose­t­il  d’un  outil  permettant  de  prendre  la  main à distance sur le poste de l’utilisateur ? Un utilisateur peut­il obtenir la restauration d’un fichier supprimé sur  son poste ? Ces questions ne sont que quelques exemples montrant que cette partie ne doit pas être négligée car  elle  peut  avoir  un  impact  très  important  sur  la  définition  technique  de  votre  futur  poste  de  travail  ainsi  que  sur  la  qualité du service rendu, et donc sur la satisfaction de vos utilisateurs. 

c. Définir un socle  Une fois l’état des lieux réalisé et l’expression de besoin formalisée, reprenez ces éléments en statuant sur chaque  demande (acceptée, refusée, étude complémentaire nécessaire) et en arbitrant les besoins matériels. On retrouvera  dans la définition du socle la même structure que celle de l’expression de besoin.  Il  est  probable  que  vous  ayez  à  définir  au  moins  deux  plates­formes  matérielles,  la  première  pour  les  fixes,  et  la  seconde pour les nomades. Une troisième peut également s’avérer nécessaire pour les VIPs ou les itinérants ayant  besoin  d’une  configuration  "ultra­portable",  basée  généralement  sur  un  portable  d’un  poids  inférieur  à  1,5  kg  et  d’une taille réduite (écran inférieur à 14"). Gardez en tête les objectifs que vous vous êtes fixé : standardisation du  poste  de  travail  et  des  outils,  consolidation  des  fournisseurs,  mutualisation  de  l’expérience  du  support  entre  les  différents types de matériels. Selon vos rapports avec les fournisseurs et le volume potentiel de commande (en cas  de renouvellement du parc), négociez avec eux le prêt de matériel de test que vous qualifierez et testerez avant de  faire  votre  choix.  Le  matériel  retenu  devra  permettre  de  répondre  aux  besoins  actuels  mais  aussi  à  ceux  qui  ne  manqueront pas d’être exprimés pendant la durée d’amortissement du parc (de 3 à 5 ans selon les entreprises).  Le choix du système d’exploitation est loin d’être anodin. Si la tentation est grande de déployer la dernière version,  fraîchement  sortie,  l’expérience  montre  que,  jusqu’à  présent,  chaque  nouveau  système  d’exploitation  Microsoft  n’arrive  à  maturité  qu’après  le  premier  Service  Pack  (Windows  NT™  4.0  avait  même  été  jusqu’à  6).  Bien  que  cet  adage semble disparaître avec la sortie de Windows 7™, prenez également en compte dans le coût de votre projet  l’impact  qu’aura  ce  nouveau  système  sur  vos  utilisateurs  ainsi  que  les  coûts  de  formation  induits.  Le  choix  du  système d’exploitation aura également une influence majeure sur de nombreux points : compatibilité des matériels  et des applications héritées, disponibilité des pilotes de périphériques, support de la part des fournisseurs sur cette  version,  etc.  Enfin,  selon  votre  contrat  de  licence,  l’éditeur  peut  ou  non  vous  autoriser  à  installer  la  version  précédente.  Chaque  nouvelle  version  a  néanmoins  l’avantage  de  disposer  d’une  fin  de  support  plus  lointaine,  et  d’offrir  en  général  de  plus  en  plus  de  fonctionnalités.  Prêtez  également  une  attention  particulière  aux  pré­requis  matériels et à la configuration recommandée par l’éditeur.  La  question  des  applications  à  embarquer  dans  le  socle  se  pose  dans  les  mêmes  termes  que  pour  le  système  d’exploitation : la version prévue est­elle supportée sur cet OS ? Les partenaires de l’entreprise sauront­ils lire les  fichiers  produits  par  celle­ci  ?  D’autre  part,  n’embarquez  dans  le  socle  que  les  applications  communes  à  tous  les  utilisateurs  et  pour  lesquelles  vous  disposez  de  licences  en  suffisance.  Prévoyez  également  le  déploiement,  à  la  demande, des applications optionnelles spécifiques à chaque métier. 

4

Si une application n’est plus supportée sur le nouveau système d’exploitation que vous souhaitez mettre en  place,  il  est  probable  que  l’éditeur  vous  demande  la  souscription  d’un  contrat  de  maintenance  rétroactif  depuis la fin de votre dernier contrat pour vous fournir une version compatible.  La  définition  du  socle  contiendra  également  tout  le  paramétrage  du  matériel,  du  système  d’exploitation  et  des  applications embarquées. En voici quelques exemples :  ●

●

●

Configuration  matérielle  :  activation  des  fonctionnalités  de  sécurité  (mot  de  passe  de  démarrage,  mot  de  passe  d’accès  au  BIOS,  puce  Trusted  Platform  Management)  ;  activation  des  fonctionnalités  internes  (allumage par réseau, carte WiFi, carte 3G, module BlueTooth™) ; ordre de démarrage (réseau, disque dur,  média amovible)  Système  d’exploitation  :  langue  de  l’interface  utilisateur  et  du  système ;  claviers  disponibles  ;  paramètres  régionaux  ;  composants  Windows  installés  ;  apparence  de  l’environnement utilisateur ; modèle de gestion  de l’énergie ; restrictions de sécurité  Applications  :  applications  disponibles  en  standard  ;  packs  de  langues  supplémentaires  pour  ces  applications  ;  paramètres  fonctionnels  (mise  à  jour  automatique  activée,  aide  en  ligne,  notification  en  cas  d’erreur) ; paramétrage des profils de messagerie 

2. Mise en œuvre  Cette étape va consister à mettre en œ uvre le socle défini lors de la phase de conception. C’est également l’occasion  de prévoir les outils et procédures nécessaires aux fonctions de support et d’assistance utilisateur. 

a. Packaging des applications  Le  packaging  des  applications  consiste  à  utiliser  une  technologie  standard  et  automatisable  pour  les  installer,  garantissant ainsi la reproductibilité de l’installation sur tous les postes de travail, ou lors des évolutions du socle. Il  existe  de  nombreuses  façons  d’installer  une  application,  pouvant  aller  de  la  simple  copie  de  fichiers  pour  les  plus  simples  à  de  véritables  programmes  très  avancés  pour  les  plus  complexes.  Cependant,  la  plupart  des  éditeurs  ne  développent  pas  eux­mêmes  le  "moteur"  du  logiciel  d’installation,  mais  font  appel  à  des  produits  spécialisés,  Microsoft Windows Installer et Acresso InstallShield étant les deux plus connus. Sauf cas particulier, il est en général  possible  d’utiliser  le  programme  d’installation  tel  qu’il  est  fourni  par  l’éditeur  pour  réaliser  une  installation  automatisée grâce à certains paramètres standard.  L’installation  automatisée  d’une  application  fournie  sous  forme  d’un  fichier  Windows  Installer  (extension  ".msi")  se  fait, par exemple, grâce au paramètre /qb (automatisé) ou /qn (silencieux), comme le montre la ligne de commande  ci­dessous :  msiexec.exe /i mon_application.msi /qn Il  est  également  possible  de  créer  un  fichier  de  transformation  (extension  ".mst")  qui  contiendra  les  réponses  apportées normalement par l’opérateur aux questions posées par l’assistant d’installation. La création d’un tel fichier  nécessite  un  outil  de  manipulation  des  packages  Windows  Installer  tel  que  InstEd,  Wise  for  Windows  Installer  ou  Acresso AdminStudio.  Les  programmes  d’installation utilisant le moteur InstallShield s’automatisent en deux étapes : tout d’abord  par  la  réalisation d’un fichier de réponse à l’aide des paramètres -r et -f1, comme indiqué ci­dessous :  setup.exe -r -f1c:\mesreponses.iss Puis par sa réutilisation lors des futures installations avec les paramètres -s et -f1 :  setup.exe -s -f1c:\mesreponses.iss Lorsqu’ils existent, l’utilisation des paramètres d’installation automatique prévus par l’éditeur doit rester la solution  privilégiée. Cependant, si les possibilités offertes ne répondent pas à vos besoins, vous pouvez envisager d’extraire  du  programme  d’installation d’origine  les  fichiers  sources,  et  de  recréer  un  package  ex nihilo.  Enfin,  la  méthode  du  snapshot, qui consiste à faire un différentiel entre l’état d’un poste de travail avant et après installation du logiciel, et  à enregistrer le contenu dans un nouveau programme d’installation, doit rester le dernier recours, tant les packages  générés  peuvent  inclure  des  éléments  non  souhaités.  Malgré  le  perfectionnement  des  ateliers  de  packaging,  ces  deux dernières solutions présentent de nombreux risques et vous feront perdre dans la plupart des cas le support  de  l’éditeur  en  cas  de  problème.  À  noter  que  celui­ci  fournit  dans  certains  cas  un  kit  de  création  de  fichiers  de  réponse,  dont  l’utilisation est obligatoire pour déployer automatiquement le produit tout en conservant le support,  c’est le cas notamment de Microsoft Office 2007 ou d’Adobe Reader 9. 

5

La  taille  et  la  complexité  de  l’application  ainsi  que  le  support  ou  non  de  l’éditeur  en  cas  de  repackaging  détermineront la méthodologie à adopter. Si toutefois vous choisissez de créer vous­même ou de faire créer par une  société  de  services  un  package  d’installation,  ayez  bien  en  tête  que  cela  nécessite  de  très  bonnes  compétences  dans  de  nombreux  domaines  (ingénierie  des  systèmes  d’exploitation,  programmation,  scripting,  moteurs  d’installation) et que les bons packageurs se paient le prix fort.  Si certaines applications s’avéraient incompatibles entre elles ou avec le socle, il peut être intéressant d’envisager  leur virtualisation, avec des technologies comme Citrix XenApp ou Microsoft App­V (cf. chapitre Choisir une solution de  déploiement ­ Apport des solutions de virtualisation).  Le  site  http://www.appdeploy.com  est  une  source  de  référence  concernant  le  packaging  et  l’installation  automatisée d’applications. 

b. Prototypage  Lors du prototypage vous allez pour la première fois mettre en œ uvre les différents éléments sélectionnés lors de la  définition  du  socle  :  matériel,  périphériques,  système  d’exploitation et applications. C’est  également  le  moment  de  finaliser  la  façon  dont  votre  nouveau  poste  de  travail  va  s’inscrire  dans  son  futur  écosystème,  le  système  d’information  de  l’entreprise  :  quels  outils  vont  être  utilisés  pour  créer  le  poste  ?  Comment  celui­ci  va­t­il  être  déployé ? Comment la distribution des applications ou des mises à jour se fera­t­elle ?  Le  chapitre  Choisir  une  solution  de  déploiement  vous  présentera  les  avantages  et  inconvénients  des  différentes  possibilités offertes par les outils Microsoft, et vous aidera ainsi à déterminer la solution la plus appropriée à votre  projet. Selon la solution retenue, la phase de prototypage sera plus ou moins longue à mettre en œ uvre, mais sera  constituée de trois étapes majeures :  ●

●

●

La création d’un environnement de conception du socle, composé des outils d’automatisation de l’installation  du  système  d’exploitation  (MDT  ­  Microsoft  Deployment  Toolkit  et  WAIK­Windows  Automated  Installation  Kit,  dans le cas de Microsoft Windows 7) ainsi que de l’environnement de packaging des applications. Il va vous  permettre  de  personnaliser  entièrement  le  système  d’exploitation  à  déployer,  d’en  choisir  les  composants  activés, d’en définir les fonctionnalités, d’y inclure les éléments obligatoires ainsi que de générer les livrables  pour la plate­forme de déploiement.  La  mise  en  place  d’une  plate­forme  de  test  de  l’infrastructure  de  déploiement  concerne,  si  besoin  est,  l’installation  des  serveurs  qui  seront  utilisés  pour  fournir  à  vos  postes  de  travail  leur  nouveau  socle,  et  éventuellement les applications optionnelles à installer. Dans le cadre de cet ouvrage, il s’agira de Windows  Deployment Services (WDS) et System Center Configuration Manager (SCCM).  La plate­forme de test de l’infrastructure de support couvrira les besoins de maintenance et d’exploitation de  vos  postes  de  travail,  notamment  à  travers  les  serveurs  de  distribution  des  mises  à  jour  du  système  d’exploitation  et  des  applications  Microsoft  (Windows  Server  Update  Services)  ainsi  que  de  celles  de  l’antivirus. 

Bien  que  déconseillé  pour  des  questions  de  support  et  d’évolutivité,  il  peut  également  s’avérer  nécessaire  de  développer  des  outils  spécifiques  pour  réaliser  des  tâches  particulières  à  votre  organisation,  lors  du  déploiement  d’un poste de travail : mise à jour d’un workflow, envoi d’un mail de notification, etc. Ces outils seront développés et  testés lors du prototypage.  Consultez  la  documentation  du  Microsoft  Deployment  Toolkit  pour  connaître  les  possibilités  d’extension  du  système de déploiement (écrans et scripts personnalisés, Web Services, etc.) 

c. Homologation  Après la réalisation d’un prototype incluant le matériel, le système d’exploitation cible et les applications retenues,  deux phases d’homologation seront nécessaires.  La  première  homologation,  dite  "technique",  concerne  la  reconnaissance,  la  stabilité  et  le  bon  fonctionnement  du  matériel  avec  les  pilotes  retenus,  ainsi  que  la  compatibilité  des  applications  entre  elles  et  avec  le  système  d’exploitation.  La seconde, dite "fonctionnelle", se place d’un point de vue services et permet de s’assurer que toutes les fonctions  des  logiciels  sont  opérationnelles,  que  les  procédures  nécessaires  au  support  se  déroulent  correctement,  que  l’environnement utilisateur est celui défini lors de la conception, que les restrictions de sécurité sont appliquées et ne  peuvent pas être contournées, etc.  Chaque  phase  d’homologation  doit  être  préparée  à  l’aide  d’un  plan  de  test  et  faire  l’objet  d’un  bilan,  précisant  si  celle­ci  s’est  déroulée  conformément  au  plan  de  test,  et  dans  le  cas  contraire,  les  anomalies  relevées.  Tandis  que 

6

l’homologation technique pourra se faire avec la maîtrise d’œ uvre, réalisatrice du projet, l’homologation fonctionnelle  se fera avec la maîtrise d’ouvrage, décisionnaire sur le projet. En cas d’absence d’une maîtrise d’ouvrage définie, les  utilisateurs experts sur chaque application pourront s’y substituer.  En cas d’anomalies relevées pendant les homologations, le projet devra repartir dans un cycle itératif conception →  prototypage → homologation, jusqu’à ce que les réserves soient levées et les bilans positifs. 

3. Déploiement  Selon la taille de l’entreprise, le déploiement s’étalera de quelques semaines à plusieurs mois, voire plusieurs années  si l’entreprise attend le renouvellement du matériel pour déployer son nouveau poste de travail. La durée des phases  dépendra  là  encore  de  la  taille  des  populations  concernées.  Mais,  quel  que  soit  le  planning,  on  retrouvera  généralement trois phases majeures : pré­pilote, pilote, et déploiement de masse. 

a. Pré­pilote  Le  pré­pilote  concerne  une  population  restreinte  à  fortes  compétences  techniques  et  faisant  preuve  d’une  bonne  autonomie  face  à  l’outil  informatique.  En  un  mot,  des  utilisateurs  à  même  d’accepter  les  dysfonctionnements  éventuels,  d’y  trouver  un  contournement,  et  de  vous  remonter  les  problèmes  avec  précision.  L’ensemble  de  l’écosystème autour du déploiement n’est pas nécessairement opérationnel lors de cette phase (système régulier de  gestion des incidents, prise de contrôle à distance, télédistribution, etc.)  Le personnel du service informatique, les développeurs et les maîtres d’œ uvre techniques sont de bons candidats à  cette phase. Celle­ci permet également d’avoir un premier ressenti de la part des utilisateurs finaux si ceux­ci n’ont  pas participé aux homologations.  Taille suggérée : trois à dix utilisateurs maximum dans une PME, moins d’une cinquantaine dans un grand compte. 

b. Pilote  La  phase  pilote  va  consister  au  déploiement  du  nouveau  poste  sur  un  échantillon  réduit  de  la  population,  mais  suffisamment  représentatif  des  utilisateurs  types  et  des  cultures  rencontrées  dans  l’entreprise.  Les  participants  n’ont pas nécessairement de compétences informatiques particulières, ils sont juste utilisateurs finaux d’un outil mis  à  leur  disposition.  Le  pilote  est  l’occasion  de  tester  en  situation  réelle  et  éventuellement  d’affiner  les  outils  de  support aux utilisateurs.  Quelques utilisateurs volontaires exerçant chacun une fonction particulière dans l’entreprise, si possible utilisant des  outils différents, pourront constituer une bonne population pour un pilote opérationnel.  Taille suggérée : une trentaine d’utilisateurs maximum dans une PME, moins de trois cents dans un grand compte. 

c. Déploiement de masse  Comme son nom l’indique, le déploiement de masse consiste en la généralisation du déploiement sur l’ensemble de  l’entreprise.  Selon  la  structure,  l’organisation  et  l’implantation  de  celle­ci,  plusieurs  scénarios  de  déploiement  sont  possibles  :  par  entité  (service,  direction,  département,  business  unit),  par  métier  (développeurs,  commerciaux,  administratifs), par site géographique, par site réseau, par culture, etc. A ce stade, tous les outils et les procédures  de  support  aux  utilisateurs  doivent  être  opérationnels,  et  les  opérateurs  chargés  de  ce  support  formés  aux  nouveaux outils.  Le déploiement généralisé peut également se faire à l’occasion du renouvellement du matériel, mais prendra dans ce  cas beaucoup plus longtemps (annuel, bisannuel, trisannuel, etc.). D’un point de vue logistique, et à condition que la  population  ne  soit  pas  trop  importante,  il  est  également  possible  de  procéder  à  un  déploiement  généralisé  par  la  constitution d’un fond de roulement de quelques postes, sur lesquels le nouveau master est installé, puis de fournir  ces postes aux utilisateurs en échange de l’ancien, afin de reconstituer le fond de roulement. 

4. Support  Une fois le dernier utilisateur équipé, le socle nouvellement déployé va entrer dans une phase de support qui durera  jusqu’à  ce  qu’un  autre  socle  vienne  le  remplacer  (à  l’occasion  de  la  sortie  d’un  nouveau  système  d’exploitation,  du  renouvellement du matériel, d’un déménagement, etc.).  Durant  cette  phase  qui  peut  durer  plusieurs  années,  vous  devrez  suivre  les  annonces  faites  par  les  éditeurs  des  logiciels inclus dans le socle, ainsi que celles de l’éditeur du système d’exploitation. Ces annonces peuvent concerner  la  sortie  de  correctifs  de  sécurité,  de  mises  à  jour  mineures  pour  corriger  des  bugs,  de  mises  à  jour  majeures  pour  supporter une nouvelle technologie ou un nouveau matériel, etc. 

7

Bien  qu’il  puisse  sembler  intéressant  d’utiliser  la  fonctionnalité  de  mise  à  jour  automatique  proposée  par  certains  logiciels  (lecteurs  multimédias,  visualiseurs  de  documents,  plug­ins de navigateurs), celle­ci  présente  le  risque  d’une  diffusion non maîtrisée sur vos postes de travail d’une mise à jour incompatible avec vos applications métier. Il en est  de  même  pour  la  fonctionnalité  de  mise  à  jour  automatique  native  de  Windows,  permettant  de  mettre  à  jour  les  postes  de  travail  dès  que  Microsoft  diffuse  une  mise  à  jour  de  sécurité,  un  patch  ou  une  mise  à  jour  de  pilote  de  périphérique.  Si  l’activation  sur  les  postes  de  travail  de  la  mise  à  jour  automatique  directement  depuis  le  site  de  Microsoft  est  recommandée  à  domicile  ou  sur  les  parcs  informatiques  restreints,  l’utilisation  d’un  serveur  Microsoft  Windows  Server  Update  Services  (WSUS)  est  à  privilégier  en  moyenne  et  grande  entreprise.  Cet  outil  gratuit  de  Microsoft  va  remplir  deux  rôles  :  il  va  servir  de  serveur  cache  pour  le  téléchargement  des  mises  à  jour,  afin  de  les  diffuser aux postes de travail internes au lieu que ceux­ci aillent les chercher directement sur le site de Microsoft, et il  va  permettre  de  définir  des  politiques  d’homologation  et  de  diffusion  des  mises  à  jour  en  fonction  des  populations  d’ordinateurs ciblés, de leur criticité, de leur nature, du système d’exploitation, etc. (cf. chapitre Distribuer des mises à  jour avec WSUS).  L’évolution  des  composants  de  votre  socle  poste  de  travail  va  probablement  vous  amener  à  en  gérer  plusieurs  versions dans le temps. Avant d’inclure un nouveau composant ou de le faire évoluer, la généralisation systématique  de  celui­ci  sur  le  parc  existant  est  une  stratégie  qui  vous  permettra  d’éviter  les  incohérences  entre  les  postes  de  travail équipés de l’ancienne version et les postes sur lesquels la nouvelle version du socle est déployée. D’autre part,  astreignez­vous  au  même  cycle  d’homologation  pendant  la  phase  de  support  que  lors  de  la  conception  initiale  du  socle. 

8

Préparation du projet  Comme dans tout projet, la préparation est primordiale et garantira un bon déroulement de la mise en œ uvre. Au­delà  de la préparation purement technique du socle, de nombreux aspects sont à organiser autour du déploiement : quelle  sera  la  logistique  mise  en  œ uvre,  quels  sont  les  rôles  et  les  périmètres,  quels  sont  les  contacts,  quelles  sont  les  contraintes humaines et matérielles, qui fait la communication, etc. 

1. Ressources matérielles  Si  vous  envisagez  un  déploiement  par  renouvellement  du  parc,  la  préparation  des  ressources  matérielles  est  particulièrement importante. À titre d’exemple, voici quelques questions auxquelles répondre concernant les aspects  logistiques d’un déploiement :  ●

●

●

Quel est le délai de livraison du matériel une fois la commande passée ?  Le  matériel  sera­t­il livré en une fois ou en plusieurs lots ? Quelles sont les dates exactes de livraison ? Le  fabricant garantit­il ces dates ?  Dispose­t­on d’un local de préparation des postes suffisamment équipé en tables, en multiprises, en câbles  réseau, etc. ? 

●

Où le matériel sera­t­il livré ? Qui en effectue la réception ? 

●

Un nombre important de postes représente plusieurs palettes à stocker, le local est­il assez grand ? 

●

Compte tenu de la valeur du matériel neuf, le local de stock est­il sécurisé ? Qui en a l’accès ? 

●

●

Comment  transporter  le  matériel  de  son  site  de  livraison  jusqu’au  local  de  préparation  puis  jusqu’à  l’utilisateur ?  Quels sont les horaires d’accès aux sites ? 

D’autre part, lorsque la phase de conception a duré plusieurs mois, il arrive parfois que le constructeur du matériel ait  opéré de légères modifications sur le matériel, tout en conservant la même référence sur son catalogue (modification  d’une puce WiFi, d’une version de firmware, etc.). Avant de lancer la commande de l’ensemble du matériel, faites­vous  livrer un exemplaire de poste sur lequel vous ferez un ultime test de votre socle.  Enfin,  si  vous  financez  votre  matériel  via  une  société  de  leasing,  assurez­vous  de  l’état  de  la  relation  commerciale  entre  le  fabricant  et  cette  société  :  état  de  l’encours,  règlement  des  factures,  contentieux,  etc.  Un  problème  survenant entre le fabricant et la société de leasing aura forcément un impact sur votre planning, mieux vaut prendre  les devants. 

2. Ressources humaines  L’aspect  humain  est  primordial  dans  tout  projet,  qu’il  soit  informatique  ou  d’une  autre  nature.  À  ce  titre,  la  connaissance des intervenants par tous les acteurs du projet est importante pour assurer un déploiement fluide et  garantir la satisfaction des utilisateurs.  Établissez  une  liste  de  contacts  à  laquelle  tous  les  membres  du  projet  pourront  se  référer  en  cas  de  besoin,  en  précisant les rôles de chacun : opérateurs et techniciens chargés du déploiement, chef(s) de projet, homologateurs,  utilisateurs  pilotes,  fournisseurs  et  transporteurs,  techniciens  et  responsable  du  support,  sponsor  du  projet  au  niveau de la direction, etc.  Selon l’activité de l’entreprise, il est parfois nécessaire de procéder aux déploiements en dehors des heures ouvrées  notamment lorsque les utilisateurs ne peuvent interrompre leur travail (salles de marché, industrie, surveillance). Si  tel  est  le  cas,  l’organisation  du  déploiement  va  s’en  trouver  profondément  affectée  et  vous  devrez  solliciter  le  personnel du service informatique pendant des plages horaires auxquelles il n’est pas nécessairement habitué (soirs,  nuits, week­end). Même si le volontariat est la solution privilégiée pour déterminer qui participera aux déploiements,  le  service  des  ressources  humaines  de  l’entreprise  doit  dans  tous  les  cas  être  informé  des  contraintes  du  projet,  prévenir  les  organismes  nécessaires,  et  donner  des  réponses  claires  aux  questions  que  vont  se  poser  les  techniciens  :  rémunération  particulière  pour  le  travail  en  heures  supplémentaires  ou  non  ouvrées,  récupération  éventuelle, etc. 

9

3. Phasage  Une fois le socle défini et validé, les aspects matériels et humains organisés, encore faut­il établir un calendrier pour  le déploiement. Étalé de plusieurs semaines à plusieurs mois (voire plusieurs années dans les environnements très  vastes),  celui­ci  devra  prendre  en  compte  les  contraintes  évoquées  plus  haut,  mais  également  la  stratégie  de  l’entreprise ainsi que les aspects budgétaires.  Établissez  un  macro­planning  depuis  la  conception  jusqu’à  la  fin  du  support  en  fonction  des  éléments  clés  puis  détaillez ce planning pour chaque phase.  Ce macro­planning pourra s’exprimer en unités assez grandes, telles que le trimestre ou le semestre, mais également  contenir  des  dates  clés  plus  précises  (sortie  d’un  produit,  fin  de  support  de  la  part  d’un  éditeur,  déménagement,  acquisition  d’une  société,  contrainte  légale).  Il  donne  une  vue  générale  du  projet  et  permet  d’en  percevoir  rapidement les jalons.  Le planning détaillé utilisera plutôt comme échelle le numéro de semaine dans l’année, voire même le jour unitaire. Il  prend en compte les contraintes humaines et matérielles (vacances, travaux, livraisons, jours fériés, etc.) et permet  de suivre la progression du projet et de contrôler le respect des délais annoncés.  Si  vous  êtes  familiers  avec  eux,  les  logiciels  de  gestion  de  projet  du  type  Microsoft  Project  peuvent  vous  aider  à  planifier  votre  projet  de  déploiement.  Dans  le  cas  contraire,  un  tableau  de  type  Microsoft  Excel  pourra  également  convenir et vous évitera de perdre du temps sur les diagrammes de Gantt recalculés automatiquement, les plannings  de ressources, les erreurs de surallocation, etc. 

4. Communication et formation  Le remplacement d’un poste de travail par un autre, s’il peut sembler anodin vu du service informatique, pourra être  vécu  comme  un  bouleversement  important  par  l’utilisateur.  Dès  que  les  bruits  de  couloir  vont  commencer  à  se  répandre au sujet d’un projet imminent de changement des postes de travail, les interrogations et les questions vont  alimenter  les  conversations  autour  de  la  machine  à  café.  De  l’utilisateur  débutant  qui  va  vous  demander  s’il  retrouvera ses documents si vous lui changez son écran, à celui qui vous donnera son avis argumenté concernant la  version  de  Windows  que  vous  allez  déployer,  chacun  ressent  différemment  ce  type  de  projet,  à  la  lumière  de  ses  connaissances en informatique.  Comme dans tout projet, une communication maîtrisée permet, à défaut de le garantir, de mettre toutes les chances  de  réussite  de  votre  côté.  A  tous  les  stades  du  projet,  les  informations  doivent  circuler  entre  les  utilisateurs,  les  équipes en charge du projet et la direction : les difficultés éprouvées par les utilisateurs du nouveau socle doivent  être remontées au support, les problèmes rencontrés par les techniciens doivent être corrigés par l’équipe en charge  de la conception, la direction doit être tenue informée de l’avancement et des risques identifiés.  Mais  avant  de  démarrer  les  phases  opérationnelles,  vous  devrez  communiquer  avec  vos  utilisateurs  pour  collecter  leurs  besoins  et  leurs  attentes,  définir  avec  eux  leur  nouvel  outil  de  travail,  en  un  mot,  les  impliquer  dans  le  processus de conception. Cette implication d’utilisateurs sélectionnés vous sera utile au moment du déploiement et  des premières difficultés rencontrées : ces utilisateurs pourront être les relais nécessaires pour expliquer, former et  justifier les choix effectués. D’autre part, un appui de la part des directions fonctionnelles est extrêmement important  et permettra à tous les utilisateurs finaux de sentir que ce projet n’est pas "encore un projet de la DSI" mais bien un  projet  qui  s’inscrit  dans  la  stratégie  de  l’entreprise.  Le  service  ou  la  personne  habituellement  en  charge  de  la  communication  dans  l’entreprise  devra  véhiculer  les  messages  importants  tout  au  long  du  projet  :  présentation  du  projet  (objectifs,  dates  clés,  équipes  en  charge),  déploiement  (annonces  aux  populations  concernées)  et  support  (chiffres clés, résumé).  En amont du déploiement et selon le degré de changement qu’il va provoquer, réfléchissez également à la mise en  place de formations au nouveau poste de travail. Elles peuvent être internes ou externes, collectives ou individuelles,  obligatoires  ou  optionnelles,  mais  dans  tous  les  cas,  elles  permettront  de  rassurer  les  utilisateurs  les  moins  expérimentés, de satisfaire la curiosité des technophiles et vous éviteront le reproche d’avoir imposé unilatéralement  et  sans  ménagement  un  outil  de  travail  inadapté.  L’utilisation  de  mini­quizz  et  de  fiches  de  retour  à  l’issue  de  ces  formations vous permettra d’en mesurer la qualité et la perception par les utilisateurs. D’autre  part,  la  diffusion  de  triptyques  ou  de  plaquettes  résumant  les  informations  essentielles  du  nouveau  poste  de  travail  (raccourcis  clavier,  nouvelles  façons  de  faire,  nouvelles  icônes,  nouveaux  services,  nouveaux  contacts)  rassurera  les  utilisateurs  débutants.  Enfin, un sponsor par la direction à l’origine du projet (généralement la DSI ou équivalent) vous assurera un budget  et  vous  facilitera  la  communication  avec  les  comités  de  direction,  mais  vous  demandera  en  retour  un  travail  de  reporting  conséquent  pour  faire  connaître  aux  "payeurs"  l’avancée  des  déploiements,  les  risques  de  dérives  s’ils  existent, les difficultés rencontrées, les budgets consommés, etc. 

10

Suivi du déploiement  Deux  types  de  suivi  doivent  être  faits  lors  d’un  projet  de  déploiement.  Le  premier  concerne  l’avancement,  le  respect  des plannings, le nombre de machines délivrées, l’occupation des ressources, etc. Le deuxième est relatif à la gestion  des incidents liés au projet et doit être traité avec une vigilance particulière. 

1. Mesure de l’avancement  L’avancement d’un  projet  peut  se  mesurer  à  l’aide d’une multitude de critères : jours­homme  consommés,  sommes  dépensées par rapport au budget alloué, nombre de taches réalisées, jalons franchis, etc. Dans le cas d’un projet de  déploiement, l’indicateur le plus pertinent est peut­être celui du nombre de nouveaux postes déployés par rapport au  nombre total d’anciens postes à remplacer.  Mais pour connaître cet indicateur, encore faut­il en maîtriser les composantes : combien de machines neuves ont été  livrées au stock, combien sont en cours de préparation, combien sont hors service, combien d’utilisateurs n’ont pas  été  disponibles  lors  du  rendez­vous  pour  le  remplacement,  etc.  La  connaissance  de  ces  éléments  sous­jacents  implique  que  toutes  les  équipes  du  projet  tiennent  à  jour  leurs  propres  indicateurs,  et  vous  les  remontent  régulièrement (quotidiennement ou au moins de manière hebdomadaire). L’utilisation de fiches pour la réception du  matériel (sauf si cela est déjà géré par une application interne de stock ou d’immobilisations), pour la préparation des  postes (nom de l’utilisateur final, applications particulières installées, particularités de la configuration) ainsi que pour  la  réception  (PV  de  recette  signé  par  l’utilisateur),  vous  permettra  d’avoir  un  suivi  de  l’avancement  des  différentes  étapes de votre déploiement.  Compilés, ces chiffres donneront une vue détaillée du projet, et permettront également de connaître les causes d’une  éventuelle dérive. La tenue d’un comité de pilotage hebdomadaire composé des chefs d’équipes et du chef de projet  peut également permettre d’identifier rapidement les risques et de trouver un moyen de les adresser : absences de  techniciens, fermeture temporaire de sites, grèves, problèmes d’approvisionnement, etc. 

2. Organisation de la remontée d’incidents  Lorsque le déploiement commencera, toutes les équipes devront être prêtes à traiter les premiers incidents (qui ne  manqueront pas d’arriver), et éventuellement à corriger les problèmes qui n’auraient pas été identifiés lors du pilote  et de l’homologation. Afin d’identifier les problèmes à temps et de les traiter au plus tôt, la remontée d’incidents doit  être  organisée  et  intégrée  à  tous  les  niveaux  d’intervention  :  techniciens  chargés  du  déploiement,  personnel  du  support, ingénieurs systèmes ayant conçu le socle, maîtrise d’ouvrage l’ayant défini, etc.  Même  si  l’entreprise  est  équipée  d’un  système  de  gestion  des  incidents  ou  des  demandes  dans  lequel  chaque  utilisateur  peut  ouvrir  un  ticket,  il  peut  être  intéressant,  pendant  la  phase  de  déploiement  mais  également  à  long  terme,  de  mettre  en  place  des  utilisateurs  référents  (appelés  parfois  "correspondants  informatiques").  Contacts  privilégiés  entre  la  DSI  et  les  directions  fonctionnelles,  généralement  à  l’aise  avec  l’outil  technologique,  ces  utilisateurs vous permettront d’avoir un point de centralisation des incidents communs à plusieurs utilisateurs, mais  également  d’obtenir  des  informations  plus  précises  sur  le  problème  rencontré,  la  procédure  de  reproduction,  l’éventuel contournement trouvé, etc. De préférence intégrés aux phases pilotes, ces utilisateurs pourront servir de  relais pour redescendre l’information lorsqu’une solution aux problèmes aura été trouvée.  Une fois les incidents remontés au niveau du service informatique ou du groupe de projet, encore faut­il qu’ils soient  traités.  Un  comité  de  projet,  regroupant  par  exemple  le  chef  de  projet,  le  responsable  du  support,  la  maîtrise  d’ouvrage  et  la  maîtrise  d’œ uvre,  peut  se  réunir  régulièrement  pour  faire  le  point  sur  les  incidents  spécifiques  au  déploiement, détecter au plus tôt ceux nécessitant un traitement particulier ou une modification du socle, mettre en  place et suivre les actions correctives nécessaires.  La création de catégories spécifiques au projet dans le système de gestion des demandes ou des incidents permettra  de suivre de manière plus précise ceux liés au projet, mais également de produire des statistiques précises lors du  bilan de projet. 

11

Bilan de projet  Une réunion de fin de projet au cours de laquelle sera présenté le bilan de projet permet d’en tirer les enseignements,  de  faire  le  point  sur  les  succès  et  les  échecs,  mais  aussi  d’ouvrir  vers  les  évolutions  à  prévoir  et  d’autres  projets  connexes.  Les critères potentiels d’évaluation du succès ou de l’échec d’un projet de déploiement sont nombreux, et pas toujours  objectifs. Selon le point de vue du sondé, l’opinion sur le bilan du projet pourra aller du succès complet (les coûts de  gestion  ont  été  réduits,  ce  qui  réjouit  la  direction  financière  et  la  DSI)  au  mécontentement  le  plus  total  (pour  l’utilisateur qui ne peut plus installer son logiciel ou son fond d’écran favori).  Néanmoins, certains critères peuvent permettre de tendre vers une évaluation la plus objective possible, et de dresser  ainsi un bilan réaliste du projet. Parmi eux, figure la satisfaction utilisateur, les indicateurs de coûts et les statistiques  sur les incidents générés par le projet. 

1. Satisfaction utilisateur  La satisfaction est par essence quelque chose de subjectif, dont toute tentative d’évaluation objective se heurte à la  perception que chacun a d’un fait, d’une difficulté, d’un changement ou d’un doute. Cependant, l’utilisation de critères  subjectifs ramenés à des notes chiffrées donne des indicateurs sur les tendances générales.  La  collecte  de  ces  informations  pourra  se  faire  à  travers  une  enquête  de  satisfaction  menée  par  voie  électronique  plusieurs jours ou plusieurs semaines après la fin du déploiement, évitant ainsi les réactions épidermiques "à chaud".  Parmi  les  critères  possibles  d’évaluation  de  la  satisfaction  utilisateur,  vous  pouvez  utiliser  par  exemple  la  rapidité  perçue du poste, l’usage fait des nouvelles fonctionnalités ou des nouveaux outils et leur adéquation aux besoins, la  compréhension  des  nouvelles  restrictions  mises  en  place,  la  qualité  de  la  communication  autour  du  projet,  la  pertinence de la formation dispensée, le temps d’indisponibilité perçu, etc.  Le  calcul  des  moyennes  et  des  écarts­types  de  ces  critères  vous  donnera  des  éléments  chiffrés  et  tangibles  à  présenter lors du bilan de projet. 

2. Coûts  En matière d’informatique, l’évaluation du coût d’un poste de travail est quelque chose de central pour toutes les DSI,  mais dont il y a autant de définitions que d’interrogés. Certains ne vont y inclure que l’achat du matériel amorti sur x  années,  tandis  que  d’autres  y  incluront  le  matériel,  la  consommation  électrique,  les  coûts  de  maintenance  et  de  formation, l’impact sur la climatisation, le prorata de loyer par rapport à l’emplacement au sol du bureau, etc.  Le calcul des coûts d’un projet de déploiement suit la même logique, et peut inclure les coûts des personnels internes  ou externes nécessaires à la conception, la réalisation et l’homologation du socle, le coût des techniciens chargés du  déploiement, de ceux du support, le coût du matériel et celui de la formation des utilisateurs. Plus difficile à calculer, le  coût de l’indisponibilité éventuelle générée par le remplacement du poste peut également entrer en ligne de compte  dans le bilan.  Le bilan doit également faire apparaître à son actif les gains directs ou indirects générés par le projet : diminution de  la  consommation  électrique  grâce  à  un  matériel  moins  gourmand  et  à  un  système  d’exploitation  optimisant  la  consommation  du  poste,  diminution  des  coûts  d’achats  par  la  consolidation  des  fournisseurs,  efficacité  accrue  des  utilisateurs  grâce  à  des  outils  plus  performants,  diminution  des  coûts  de  support  et  de  maintenance  grâce  à  un  système d’exploitation plus fiable, etc. 

3. Incidents  Immanquablement,  la  question  des  incidents  générés  par  le  projet  devra  être  abordée,  d’autant  plus  si  quelques  VIPs ont rencontré des difficultés avec la prise en main de leur nouvel outil de travail.  Si l’entreprise utilise un système informatisé de gestion des demandes ou des incidents, celui­ci pourra probablement  produire des rapports sur le nombre d’incidents générés pendant le déploiement ; sur leur durée minimale, moyenne  et maximale de résolution ; sur les catégories d’incidents les plus représentées, etc.  Quelque  temps  après  la  fin  du  déploiement,  il  sera  intéressant  de  réactualiser  les  rapports  sur  incidents  et  de  les  comparer  à  ceux  générés  pour  une  période  antérieure  au  déploiement.  Cette  comparaison  permettra  de  faire  ressortir l’impact positif ou négatif du déploiement sur l’activité du support utilisateur et des équipes de production. 

4. Évolutions 

12

Comme nous l’avons vu au paragraphe consacré au cycle de vie du poste de travail, la fin du projet de déploiement  n’est pas la fin de l’activité de l’équipe poste de travail, mais seulement un jalon marquant l’entrée dans la phase de  support du socle nouvellement déployé.  La fin annoncée du support d’un  produit  majeur  par  un  éditeur,  la  sortie  d’un  nouveau  système  d’exploitation plus  performant, l’évolution des besoins des utilisateurs et de ceux de l’entreprise : ces éléments doivent être anticipés et  annoncés lors du bilan pour prévoir le travail futur de l’équipe.  D’autre part, le remplacement du poste de travail peut également être l’occasion d’ouvrir vers de nouvelles solutions  informatiques et de pousser, par exemple, l’intégration de la téléphonie et de l’informatique à travers la messagerie  unifiée ; de réfléchir à des solutions de mobilité pour les utilisateurs nomades ; de travailler sur la virtualisation du  poste de travail et des applications… 

13

Résumé  À travers ce chapitre, nous avons vu les éléments principaux du cycle de vie du poste de travail en entreprise, le travail  de préparation et de suivi d’un projet de déploiement, ainsi que le bilan à dresser à l’issue de celui­ci.  Les  éléments  proposés  ici  ne  sont  cependant  que  des  pistes  qu’il  vous  faudra  adapter  aux  réalités  et  aux  contraintes  de  votre  entreprise.  Dans  le  chapitre  suivant,  nous  verrons  comment  choisir  une  solution  de  déploiement  en  fonction  des  contraintes  de  votre environnement et de votre projet. 

14

Présentation du contexte  Le concepteur du poste de travail d’une entreprise doit bien sûr sélectionner avec attention le système d’exploitation,  les applications et les outils à y intégrer, mais également anticiper la façon dont ce poste sera mis à disposition aux  utilisateurs. À l’heure où les capacités des réseaux informatiques sont telles que la question d’un déploiement par un  autre biais que le réseau puisse sembler incongrue, l’expérience montre que de nombreux scénarios de déploiement  nécessitent un traitement particulier et ne peuvent se satisfaire de cette solution en apparence universelle.  À  travers  la  présentation  et  l’étude  des  déploiements  par  réseau,  puis  par  médias,  nous  verrons  quels  sont  les  avantages et les inconvénients de chacune des solutions ou des deux combinées. D’autre part, un résumé de l’apport  des  solutions  de  virtualisation  dans  un  projet  de  déploiement  sera  présenté  ainsi  que  les  différentes  possibilités  de  gestion et de migration des données utilisateurs. 

15

Déploiements par réseau  Cette méthode consiste à faire amorcer les postes de travail sur le réseau grâce au protocole PXE et à faire transiter  l’ensemble des sources du système d’exploitation et des applications, rendant ainsi caduc l’emploi de disquettes, CD­ Rom ou DVD­Rom.  Lorsque  les  capacités  de  l’ensemble  des  réseaux  de  l’entreprise  le  permettent,  un  déploiement  par  réseau  est  la  méthode  apportant  le  plus  de  flexibilité,  tout  en  offrant  une  relative  sécurité.  Elle  vous  affranchit  de  la  gestion  de  médias amovibles physiques, avec leur lot de défauts (durabilité, fragilité, gestion de versions) et vous permet de gérer  en  un  point  central  les  sources  de  votre  déploiement.  D’autre  part,  elle  vous  permet  d’éviter  le  vol  et  la  divulgation  d’informations,  en  hébergeant  en  un  endroit  sécurisé  les  éléments  nécessaires  au  déploiement  (clés  de  licences,  applications maison, nom et mot de passe d’utilisateur, etc.). Enfin, dans le cas d’une gestion entièrement automatisée  du  cycle  de  vie  du  poste,  le  déploiement  par  réseau  est  le  seul  à  pouvoir  garantir  un  processus  sans  aucune  intervention humaine.  Tous  les  postes  de  travail  de  moins  de  10  ans  disposent  normalement  de  cette  fonctionnalité,  souvent  désactivée par défaut au niveau du BIOS de la machine. 

1. Architectures types  Que  ce  soit  dans  le  cas  d’une entreprise monosite ou multisite, l’architecture contiendra au minimum les trois rôles  fonctionnels suivants : un serveur DHCP permettant la configuration réseau dynamique des postes de travail et leur  orientation vers le serveur de déploiement ; un serveur de déploiement chargé de télédistribuer le socle du poste de  travail, les applications et les mises à jour de sécurité ; et un contrôleur de domaine responsable de la sécurité de  l’ensemble.  Les  postes  déployés  peuvent  être  des  fixes  ou  des  nomades,  dès  lors  qu’ils  sont  raccordés  au  réseau  local  de  l’entreprise  via  une  connexion  à  10  Mbits/s  au  minimum  (100  Mbits/s  sont  recommandés).  Pour  déployer  plusieurs  postes simultanément, il peut être intéressant de mettre en œ uvre la technologie multicast, de manière à ne diffuser  qu’une  seule  fois  les  paquets  sur  le  réseau,  et  non  de  créer  un  flux  pour  chaque  poste.  Cette  technologie  est  disponible en standard avec les serveurs de déploiement Windows 2008.  Les différents éléments (serveurs et postes) doivent être interconnectés via un ou plusieurs concentrateurs réseau  capables de fournir la bande passante nécessaire à plusieurs déploiements en parallèle, ainsi qu’à l’activité habituelle  des autres utilisateurs (bande de passante dite de fond de panier des équipements de routage et de commutation). 

a. Architecture monosite  L’architecture  est  dite  "monosite"  lorsque  l’ensemble  des  postes  à  déployer  est  regroupé  sur  un  même  réseau  logique  disposant  de  capacités  identiques  en  tous  points.  Cette  architecture  est  la  plus  simple  et  correspond  généralement à des entreprises de moins de 300 salariés.  Une entreprise multisite, mais dont l’architecture et les capacités du réseau informatique offre un niveau et  une qualité de service constants en tous points, peut être assimilée à une architecture monosite. 

16

Architecture de déploiement monosite 

b. Architecture multisite  L’architecture "multisite" correspond aux entreprises disposant d’un site principal et d’au moins un site secondaire  ne pouvant être assimilés à un seul réseau logique unique, soit parce que le niveau de service n’est pas le même,  soit  parce  que  la  connectivité  réseau  entre  les  deux  sites  n’est  pas  suffisante  pour  déployer  les  postes  du  site  secondaire directement depuis le site principal.  Cette  architecture  met  en  œ uvre  un  rôle  fonctionnel  supplémentaire  sur  le  site  secondaire  :  le  serveur  relais  de  déploiement.  Celui­ci  dispose  d’un  réplica  local  des  fichiers  nécessaires  au  déploiement  des  postes  de  ce  site.  L’accès des postes aux fichiers nécessaires au déploiement pourra se faire soit via un système de fichiers distribués  tels  que  Microsoft  Distributed  File  Services  (DFS),  intégré  à  Windows  Server,  et  fournissant  des  mécanismes  de  réplication  avancée  entre  le  site  principal  et  les  sites  secondaires,  soit  via  une  configuration  du  déploiement  spécifique à chaque site. 

17

Architecture de déploiement multisite 

2. Déroulement  Ce type de déploiement utilise le protocole PXE, qui est pour simplifier un agrégat des protocoles réseaux DHCP et  TFTP,  permettant  la  configuration  et  l’amorçage  initial  du  poste  sur  le  réseau.  Ensuite,  selon  la  solution  logicielle  utilisée, des protocoles de transfert de fichiers tels que SMB ou CIFS sont mis en  œ uvre pour copier les sources du  système d’exploitation et des applications du serveur vers le poste.  Dans le cas d’un poste neuf ou d’un poste dont le système d’exploitation n’est plus opérationnel, le déroulement d’un  déploiement par réseau est le suivant :  1.  Au  démarrage  (et  s’il  est  configuré  pour  cela  dans  son  BIOS),  le  poste  envoie  une  requête  DHCP  en  diffusion  générale sur le réseau pour demander une adresse IP. Le serveur (ou le relais) DHCP du site lui fait une offre de bail,  que  le  poste  accepte.  Outre  l’adresse  IP,  le  masque  et  l’adresse  de  passerelle  par  défaut,  la  réponse  du  serveur  DHCP  contient  également  l’adresse  réseau  du  serveur  de  déploiement  et  le  nom  du  programme  de  démarrage  à  télécharger sur celui­ci.  2. Le poste télécharge en TFTP le programme indiqué dans les options du bail DHCP et l’exécute. En fonction de la 

18

configuration du serveur de déploiement, le programme téléchargé indique au poste soit de démarrer sur le prochain  périphérique disponible dans l’ordre du BIOS (dans le cas où aucune action de déploiement n’a été prévue), soit initie  le téléchargement d’une image complète d’amorçage (Windows PE, par exemple).  3. L’exécution de cette image d’amorçage puis du programme d’installation permet de disposer d’un environnement  de  déploiement  complet,  grâce  auquel  le  serveur  de  déploiement  va  fournir  les  fichiers  sources  du  système  d’exploitation,  des  applications  et  des  outils.  La  création  d’un  compte  d’ordinateur  pour  le  poste  en  cours  de  déploiement peut être réalisée par le serveur de déploiement ou par le poste lui­même.  Dans le cas d’un poste existant déjà géré par un système de déploiement, un agent logiciel est généralement installé  sur les postes et peut assurer, outre la télédistribution d’applications, la migration des postes vers un autre système  d’exploitation  à  l’initiative  du  système  central  de  déploiement.  Dans  ce  cas,  l’agent  ou  l’image  d’amorçage  peut  assurer  une  sauvegarde  des  données  utilisateur  ainsi  que  leur  restauration,  une  fois  le  nouveau  système  d’exploitation installé.  Le déploiement ou la réinstallation du poste par réseau peut également permettre de laisser le choix à l’utilisateur du  meilleur moment pour ces actions souvent longues et immobilisantes. 

3. Avantages et inconvénients  Avantages 

Inconvénients 

●

Automatisation complète possible. 

●

Absence de médias physiques à gérer. 

●

Sécurisation des sources d’installation. 

●

Réplication automatique entre plusieurs  sites. 

●

●

●

Le déploiement de plusieurs postes en  parallèle, s’il n’est pas fait en multicast,  sollicite fortement les équipements réseau.  Nécessite une connexion au réseau.  Nécessite un ou plusieurs serveurs de  déploiement disponibles pour transférer les  sources d’installation. 

Le déploiement par réseau se présente donc comme une solution nécessitant une infrastructure conséquente et un  réseau performant, mais offrant un haut degré de service aux utilisateurs et aux administrateurs. 

4. Cas typiques d’utilisation  Cette solution de déploiement est préconisée dans plusieurs cas typiques :  ●

●

●

●

Lorsque l’entreprise est répartie sur plusieurs sites mais ne dispose pas de personnel informatique à même  de réaliser un déploiement dans chacun d’eux. Le déploiement pourra alors être initié depuis le site central.  Le service informatique souhaite automatiser au maximum les procédures de déploiement et de migration, de  manière  à  assurer  une  qualité  constante  de  la  procédure  et  à  sécuriser  les  informations  nécessaires  au  déploiement.  Le  socle  du  poste  de  travail  évolue  fréquemment,  les  utilisateurs  ou  le  service  informatique  souhaitent  pouvoir diffuser rapidement la dernière version.  Les  utilisateurs  sont  autonomes  (population  d’informaticiens,  de  développeurs)  et  souhaitent  pouvoir  réinstaller leurs postes de travail à leur propre initiative. 

19

Déploiements par médias  Utilisée principalement avant l’avènement des réseaux informatiques à haut débit dans les entreprises, cette méthode  consiste à distribuer sur des médias amovibles (CD­Rom, DVD­Rom, clé USB) l’environnement de déploiement ainsi que  les  sources  du  système  d’exploitation  et  des  applications  à  installer.  Ces  dernières  peuvent  être  incluses  dans  un  fichier image monolithique, contenant à la fois le système d’exploitation et les applications déjà préinstallées.  Une image ISO est réalisée depuis le serveur de déploiement puis gravée en plusieurs exemplaires, avant distribution  auprès des techniciens chargés du déploiement. 

1. Architecture type  Dans le cas d’un déploiement par médias, les postes peuvent être installés de manière entièrement déconnectée du  réseau, ne nécessitant ainsi aucune infrastructure particulière. Cependant, l’entreprise dispose la plupart du temps  d’un domaine Active Directory auquel les postes doivent être intégrés pour accéder aux ressources partagées, et si  une configuration réseau manuelle est possible jusqu’à une dizaine de postes, l’usage  d’un serveur DHCP pour les  configurer  automatiquement  est  presque  obligatoire  au­delà.  Pour  représenter  ces  deux  fonctions  quasiment  obligatoires,  le  schéma  d’architecture  contient,  sur  le  site  principal,  un  serveur  DHCP  ainsi  qu’un  contrôleur  de  domaine. 

Architecture de déploiement par médias 

20

2. Déroulement  Ce  scénario  de  déploiement  permet  lui  aussi  de  répondre  aux  deux  situations  décrites  dans  le  déroulement  d’un  déploiement par réseau.  Dans le cas d’un poste neuf ou d’un poste dont le système d’exploitation n’est plus opérationnel, le déroulement d’un  déploiement par médias est le suivant :  1. Le technicien démarre le poste et insère le média d’installation dans le lecteur de médias amovibles.  2. Le poste amorce sur ce média et charge l’environnement d’installation (Windows PE par exemple).  3. Le programme d’installation  s’exécute et déroule la procédure prévue, automatisée ou non en fonction des choix  de l’équipe de conception. Le média contient les sources du système d’exploitation et des applications avec leurs clés  de licence.  4. Le technicien récupère le média d’installation, une fois celle­ci terminée.  Si  le  média  d’installation  est  inséré  alors  qu’un  système  d’exploitation  est  en  cours  d’exécution,  le  programme  d’installation  peut  commencer  à  s’exécuter  au  sein  de  celui­ci,  copier  les  fichiers  nécessaires  puis  redémarrer  automatiquement le poste. 

3. Avantages et inconvénients  Avantages  ●

●

Inconvénients 

Pas d’infrastructure particulière nécessaire. 

●

Compatible avec les postes déconnectés du  réseau. 

●

●

●

●

Ne peut être entièrement automatisé.  Gestion contraignante des médias et de  leurs différentes versions.  Diffusion de médias pouvant contenir des  informations sensibles sur la sécurité  informatique de l’entreprise.  Un déploiement simultané nécessite autant  de médias que de postes.  Faibles performances des médias amovibles  lors du transfert de fichiers. 

Le  déploiement  par  médias  est  donc  une  solution  rapide  à  mettre  en  œ uvre  mais  présentant  des  risques  sur  la  sécurité  de  l’information  et  des  inconvénients  logistiques.  D’autre  part,  l’intervention  d’un  opérateur  à  chaque  installation ou réinstallation est une contrainte importante qui doit être prise en compte. 

4. Cas typiques d’utilisation  Malgré ses inconvénients, cette solution de déploiement peut cependant convenir dans les cas suivants :  ●

●

●

Lorsque  l’entreprise  ne  dispose  pas  d’un  réseau  informatique  suffisamment  performant  pour  assurer  un  déploiement par réseau en un temps acceptable.  Lorsque  les  administrateurs  informatiques  ne  souhaitent  pas  mettre  en œ uvre  de  nouvelles  fonctionnalités  réseau ou de nouveaux serveurs.  Si certains utilisateurs nomades ne reviennent jamais au siège et ne sont jamais connectés à l’entreprise via  un réseau d’un débit suffisant pour permettre un déploiement par réseau. 

21

Déploiements mixtes  La  stratégie  de  déploiement  mixte  met  en  œ uvre  les  technologies  réseau  présentées  précédemment  ainsi  que  les  médias  amovibles.  Elle  utilise  un  média  amovible  (CD­Rom,  DVD­Rom  ou  clé  USB)  pour  l’amorçage  du  poste  et  l’exécution  du  programme  d’installation,  puis  le  réseau  pour  le  transfert  des  fichiers  ou  de  l’image  de  référence.  Elle  procure  la  souplesse  de  la  centralisation  des  fichiers  d’installation,  tout  en  évitant  la  mise  en  œ uvre  des  services  réseau PXE et TFTP. 

1. Architecture type  L’architecture  nécessaire  à  un  déploiement  mixte  s’apparente  à  celle  d’un  déploiement  par  réseau,  à  la  différence  près  que  le  serveur  de  déploiement  (qui  servait  les  requêtes  TFTP)  est  ici  remplacé  par  un  serveur  de  fichiers  classique.  Dans la mesure où le média d’amorçage ne contient que le programme d’amorçage et l’environnement d’installation  (l’essentiel  de  la  configuration  du  déploiement  est  stocké  sur  le  serveur  de  fichiers),  les  évolutions  du  média  sont  rares et sa distribution auprès des opérateurs est épisodique.  Une  entreprise  considérée  comme  multisite  souhaitant  utiliser  un  mode  de  déploiement  mixte  devra  implémenter un serveur de fichiers dans chacun de ses sites. 

Architecture de déploiement mixte 

2. Déroulement  Le déroulement d’un déploiement mixte est très proche du déploiement par médias :  1. Le technicien démarre le poste et insère le média d’amorçage dans le lecteur de médias amovibles.  2. Le poste amorce sur ce média et charge l’environnement d’installation (Windows PE, par exemple).  3.  Le  programme  d’installation  s’exécute  et,  après  authentification,  se  connecte  au  partage  de  fichiers  du  serveur  pour transférer, en SMB ou CIFS, les sources du système d’exploitation et des applications. 

22

4. Le technicien récupère le média d’amorçage une fois l’installation terminée. 

3. Avantages et inconvénients  Avantages  ●

Pas d’infrastructure particulière nécessaire. 

●

Sécurisation des sources d’installation. 

●

Inconvénients  ●

Réplication automatique des sources entre  plusieurs sites. 

●

●

●

Le déploiement de plusieurs postes en  parallèle, s’il n’est pas fait en multicast,  sollicite fortement les équipements réseau.  Nécessite une connexion au réseau.  Nécessite un ou plusieurs serveurs de  fichiers disponibles pour transférer les  sources d’installation.  Un déploiement simultané nécessite autant  de médias que de postes. 

Ce  mode  de  déploiement  est  donc  aisé  à  mettre  en  œ uvre,  offre  une  gestion  facilitée,  mais  ne  convient  pas  aux  postes déconnectés. 

4. Cas typiques  Parmi les entreprises où ce mode de déploiement convient, on peut citer :  ●

●

Les entreprises où la fourniture d’un service PXE aux postes de travail n’est pas possible (règles de sécurité,  pas de DHCP, pare­feu, etc.).  Les  sites  où  l’installation  d’un  nouveau  serveur  n’est  pas  envisageable,  mais  où  un  serveur  de  fichiers  est  présent (problème de place, de budget, de personnel). 

23

Intégration en usine  Les principaux constructeurs d’ordinateurs proposent désormais un programme d’intégration en usine du master poste  de travail de leurs clients. Les programmes CFI de Dell et Factory Express de Hewlett­Packard en sont deux exemples.  Ce type de programme permet, moyennant quelques euros par poste, de faire installer votre propre socle sur le disque  dur du poste de travail lors de sa fabrication en usine, et de vous faire ainsi gagner du temps lors de sa réception.  D’autre part, l’intégration en usine du master permet de livrer les machines directement dans des sites distants sans  avoir à les faire transiter par le service informatique du siège pour les préparer (avec un gain substantiel de temps et  d’argent sur la logistique).  Après réception de votre socle en usine, le fabricant met généralement à votre disposition un environnement de test  accessible à distance, vous permettant de qualifier et valider le socle, avant son intégration sur vos futurs postes.  Le fabricant peut également vous proposer de nommer directement les machines selon votre convention de nommage,  en utilisant un pool de noms que vous lui fournirez via un fichier texte ou un service Web. 

24

Apport des solutions de virtualisation  Technologie en plein essor, la virtualisation apporte à l’informatique flexibilité et consolidation des ressources. Dans le  cadre d’un déploiement, il est intéressant de se pencher sur ce qu’elle peut apporter à l’entreprise, si celle­ci ne l’a pas  encore mise en œ uvre. Il faut cependant distinguer au sein de la virtualisation ce qui pourrait être résumé à un déport  d’affichage  "évolué"  de  la  véritable  virtualisation  matérielle  ou  applicative,  qui  consiste  à  isoler  l’exécution  d’une  application par rapport à la machine hôte.  Ces  solutions  de  virtualisation,  seules  ou  combinées  entre  elles,  peuvent  être  une  réelle  orientation  stratégique  de  l’informatique de l’entreprise ou simplement un moyen de résoudre des besoins spécifiques. 

1. Clients légers et applications déportées  L’utilisation  de  clients  légers  et  d’environnements  permettant  le  déport  d’applications,  tels  que  Microsoft  Terminal  Server  ou  Citrix  XenApp,  permet  de  s’affranchir  du  déploiement  et  de  la  gestion  sur  les  postes  de  travail  des  applications. Grâce à un client matériel (un terminal ultraléger) ou logiciel (client Microsoft Remote Desktop Connection  ou  Citrix  XenApp  Plugin),  l’utilisateur  accède  à  un  bureau  Windows  ou  à  une  application  exécutée  sur  un  serveur  distant. Le serveur va exécuter le code applicatif, calculer le rendu des interfaces graphiques et renvoyer au client le  résultat à travers le réseau, de manière optimisée (la bande passante utilisée est de l’ordre de quelques dizaines de  kilo­octets  par  seconde).  Les  applications  exécutées  sur  un  même  serveur  se  partagent  les  ressources  (mémoire,  CPU) mais restent isolées entre elles du point de vue de la sécurité.  Une telle solution a de nombreux avantages : les applications n’ont plus à être déployées sur des centaines ou des  milliers  de  postes,  mais  seulement  sur  quelques  fermes  de  serveurs  ;  les  applications  sont  exécutées  sur  des  serveurs  proches  des  bases  de  données  de  l’entreprise,  ce  qui  permet  d’utiliser  des  applications  de  type  client/serveur même lorsque l’utilisateur dispose d’une connexion à faible débit ; les données des utilisateurs et des  applications ne sont plus stockées en local sur les postes, mais sur des serveurs sauvegardés régulièrement, rendant  très  aisé  le  remplacement  d’un  poste  de  travail  par  un  autre  ou  le  nomadisme  d’un  utilisateur.  En  revanche,  elle  nécessite des compétences particulières pour son installation, son administration et son optimisation.  D’autre part, ce type de solution rend possible l’accès au bureau virtuel ou aux applications depuis des postes non  maîtrisés,  via  des  canaux  externes  sécurisés  de  type  portail  Web  et  VPN  SSL  (cas  du  télétravailleur  ou  d’un  partenaire externe). 

Architecture d’accès en client léger 

2. Virtualisation du poste utilisateur  La virtualisation du poste de travail consiste à fournir, à l’utilisateur, une machine virtuelle dédiée au sein de laquelle  sont  installés  un  système  d’exploitation  et  des  applications.  Cette  machine  virtuelle  est  hébergée  sur  une  infrastructure de virtualisation composée d’un hyperviseur et d’un stockage (SCSI, iSCSI, NFS, SAN). L’hyperviseur va 

25

gérer le partage des ressources de l’hôte physique (CPU, RAM, I/O) entre toutes les machines virtuelles qu’il exécute,  tout en s’assurant du cloisonnement au plus bas niveau des machines entre elles.  Dans chaque machine virtuelle est installé un agent logiciel qui va permettre la connexion de l’utilisateur  depuis  un  client lourd (PC classique) ou un client léger (terminal Wyse).  Le cœ ur  du  dispositif  est  un  serveur  intermédiaire  appelé  broker,  qui  gère  l’association entre les utilisateurs et les  machines  virtuelles  pour  attribuer,  selon  la  stratégie  mise  en  place,  soit  une  machine  virtuelle  au  hasard  lorsque  celles­ci  sont  toutes  identiques  et  neutres,  soit  toujours  la  même  machine  pour  un  utilisateur  donné.  Le  broker  a  également  la  tâche  de  piloter  les  machines  virtuelles  (arrêt,  démarrage,  reset)  et  de  déployer  des  machines  à  la  demande, à partir d’un modèle, lorsqu’un utilisateur se connecte et qu’aucune machine n’est disponible.  Deux solutions de broker sont aujourd’hui leaders sur ce marché, Citrix XenDesktop et VMware View. Bien que chacun  des éditeurs dispose de son propre hyperviseur (XenServer pour Citrix et vSphere pour VMware), il est possible d’en  utiliser un tiers, comme Microsoft Hyper­V (la comptabilité avec l’hyperviseur doit être vérifiée dans la documentation  du broker). D’une part, selon la solution retenue, les performances et les fonctionnalités ne sont pas identiques d’une  part, et d’autre part, la prise en compte des infrastructures, des produits existants et des compétences disponibles  dans  l’entreprise  est  un  critère  déterminant  dans  le  choix  de  la  solution.  La  solution  Citrix  permet  par  exemple  de  bénéficier  des  chaînes  d’accès  existantes  de  l’éditeur  (Web  Interface,  VPN  SSL,  client  logiciel)  pour  mettre  à  disposition des utilisateurs les machines virtuelles.  De telles solutions peuvent apporter des gains importants lorsque le poste est très standardisé et que les données  ne sont pas stockées localement (utilisation de profils utilisateurs errants). À partir d’un modèle de machine virtuelle  comprenant  le  système  d’exploitation  et  les  applications,  les  machines  virtuelles  sont  déployées  presque  instantanément lors de la connexion des utilisateurs, puis supprimées à la déconnexion. Ce type de fonctionnement  diminue fortement l’espace de stockage nécessaire (seul le modèle occupe une place importante et permanente) et  permet une mise à jour régulière du modèle (mises à jour des logiciels, application des correctifs de sécurité, etc.). 

Architecture de virtualisation du poste de travail 

3. Virtualisation d’application  La  virtualisation  d’application  s’apparente  à  une  isolation  de  l’application  vis­à­vis  de  la  machine  physique  et  du  système d’exploitation. L’application virtualisée est exécutée par le processeur du poste de travail, mais une couche  intermédiaire  assure  l’isolement  et  la  compatibilité  avec  le  système  d’exploitation,  on  parle  alors  de  "bulle  applicative".  Grâce  à  cette  bulle,  des  versions  incompatibles  avec  l’OS  peuvent  être  exécutées,  de  même  que  plusieurs versions d’un même logiciel habituellement incompatibles entre elles.  Les applications sont généralement packagées grâce à un outil spécialisé lié à la solution retenue. Ce package peut  ensuite  soit  être  déployé  en  intégralité  sur  les  postes  grâce  à  un  outil  de  télédistribution,  soit  envoyé  au  fur  et  à  mesure  de  l’exécution  du  code  applicatif,  en  fonction  des  besoins  fonctionnels,  lorsque  l’utilisateur  fait  appel  à  un  module de l’application  qui  n’était pas encore chargé, comme le correcteur orthographique d’un traitement de texte  par exemple. On parle alors de streaming applicatif.  Les  produits  Microsoft  App­V  (ex­Softgrid)  et  VMware  ThinApp,  bien  que  légèrement  différents  dans  le  mode  de  distribution des packages, sont les leaders du marché de la virtualisation d’application. 

26

Cette solution est particulièrement adaptée pour résoudre des problèmes de compatibilité lors de la migration d’un  système d’exploitation, ou pour conserver des postes de travail vierges de toute installation applicative. 

Architecture de virtualisation d’application 

27

La gestion des données utilisateur  On entend par "données utilisateur" les fichiers générés automatiquement par les applications (fichiers de configuration  par  exemple),  les  documents  créés  par  l’utilisateur,  les  favoris  du  navigateur  Web,  les  fichiers  d’archive  de  la  messagerie, les raccourcis du bureau, etc. Ces données représentent parfois une quantité de travail importante de la  part de l’utilisateur, et sont souvent un moyen pour lui d’optimiser son travail. Leur conservation, lors du déploiement  d’un  nouveau  poste  de  travail,  est  essentielle  pour  assurer  la  satisfaction  des  utilisateurs  et  garantir  une  bonne  acceptation du projet.  Malheureusement,  cette  conservation  dépend  de  la  façon  dont  ces  données  sont  gérées  sur  le  poste  et  dans  l’entreprise, en cas de stockage local notamment. 

1. Stockage local  Le stockage local des données est la solution la plus simple en apparence, ne faisant intervenir aucune infrastructure  particulière  :  chaque  poste  conserve  les  données  des  utilisateurs  qui  s’y  sont  connectés.  Par  défaut,  Microsoft  Windows  enregistre  ces  données  dans  un  répertoire  individuel  local  créé  pour  chaque  utilisateur  de  la  machine  :  le  répertoire de profil. On parle alors de profil local.  Ce  profil  va  contenir  les  documents  de  l’utilisateur,  ses  favoris,  son  répertoire  temporaire,  le  fichier  de  cache  de  la  messagerie, les fichiers temporaires du navigateur Web, sa base de registre personnelle, etc.  De Windows 95 à Windows XP, ces répertoires de profils étaient créés dans l’arborescence Documents and Settings  de la partition système. Depuis Windows Vista, cette arborescence a été renommée en Users.  Bien que le comportement par défaut des systèmes d’exploitation Windows soit de stocker les profils sur la partition  système, il est possible de rediriger la création de sous­dossiers particuliers tels que Mes Documents, Mes Images ou  Application Data vers d’autres chemins, sur une autre partition par exemple. Un usage pertinent de ces redirections  peut permettre de simplifier la conservation des données utilisateur en cas de reformatage de la partition système.  Avantages  ●

Inconvénients 

Pas d’infrastructure particulière nécessaire. 

●

●

●

Forte adhérence entre l’utilisateur et son  poste de travail, peu de mobilité possible  d’un poste à un autre.  Processus de migration rendu plus difficile  par la présence de données locales.  Mise en place d’une sauvegarde des postes  nécessaire pour permettre la restauration de  données. 

Cette  solution  se  présente  donc  comme  une  solution  à  moindre  coût  mais  dont  le  niveau  de  service  est  faible  et  le  risque de perte de données important. Elle est souvent celle retenue par les entreprises de moins de 20 salariés. 

2. Stockage centralisé  Que ce soit par la mise en place de profils errants ou par celle de répertoires individuels (home directories en anglais),  le stockage des données utilisateur sur des serveurs de fichiers centralisés permet aux utilisateurs de retrouver leurs  informations  et  leur  environnement  lorsqu’ils  changent  de  poste,  que  ce  soit  à  l’occasion  d’une  migration  ou  d’un  nomadisme au sein de l’entreprise.  Le principe de fonctionnement des profils errants est de recopier, à l’ouverture de session de l’utilisateur, les données  stockées sur le serveur vers le poste de travail. L’utilisateur modifie ses données au cours de sa session, puis celles­ci  sont recopiées du poste vers le serveur lors de la fermeture de session. Par défaut, la copie locale des données est  conservée  sur  le  poste,  permettant  un  usage  nomade  hors  du  réseau  et  fournissant  une  tolérance  aux  éventuelles  pannes du serveur de profils.  Le  système  d’exploitation  peut  également  proposer  une  fonctionnalité  de  synchronisation  automatique  entre  le  serveur et le poste d’autres dossiers, tels que les répertoires individuels ou le répertoire commun de travail. En plus  de la synchronisation à l’ouverture et à la fermeture de session, l’utilisateur peut en déclencher une manuellement au  cours de son activité.  Avantages 

Inconvénients 

28

●

●

●

Sauvegarde assurée à partir d’un point  central. 

●

Remplacement ou migration du poste facilité  par l’absence de données locales à  sauvegarder. 

●

Nécessite une infrastructure centrale de  stockage des données.  Ralentit les ouvertures et fermetures de  session. 

Nomadisme possible au sein de l’entreprise. 

Au  prix  d’investissements  sur  l’infrastructure,  le  stockage  centralisé  sécurise  les  données  utilisateur,  facilite  les  migrations  et  reste  compatible  avec  l’usage  nomade.  Cette  solution  est  adaptée  aux  entreprises  dont  les  collaborateurs sont amenés à bouger fréquemment de site en site. 

3. Migration  Quel  que  soit  le  mode  de  stockage  utilisé,  la  procédure  de  migration  utilisée  lors  du  déploiement  devra  prendre  en  compte les données utilisateur présentes sur le poste, même lorsque celui­ci n’est pas sensé en contenir. Il n’est en  effet pas rare qu’un utilisateur, même s’il dispose d’un répertoire individuel sur le réseau et d’un profil errant, ait créé  sur le disque local un dossier dans lequel il stocke des documents de travail ou privés.  Pour faciliter cette prise en compte, les solutions de déploiement fournissent généralement des outils permettant une  recherche  exhaustive  sur  tout  le  disque  ou  dans  des  endroits  précis,  et  sauvegardant  sur  un  emplacement  central  temporaire l’ensemble  des  documents  répondant  aux  critères  définis  :  fichiers  Word  et  Excel  stockés  dans C:\Privé  uniquement, par exemple. Dans le kit de déploiement de Windows 7, Microsoft fournit un utilitaire nommé User State  Migration Tool (USMT) qui remplit ce rôle de recherche, de sauvegarde, puis de restauration des données locales. Selon  le scénario de déploiement retenu (nouveau poste, remplacement ou mise à jour), USMT pourra copier vers un serveur  les données, ou utiliser des hard links et conserver les fichiers sur le poste pour gagner du temps. 

29

Conclusion  Le  choix  d’une solution de déploiement doit se faire après examen des contraintes de l’entreprise et des ressources  humaines  et  techniques  dont  elle  dispose.  Que  ce  soit  par  réseau  ou  par  média,  un  choix  éclairé  assurera  un  bon  déroulement du projet.  Le reste de ce livre traitera davantage des déploiements par réseau, solution plus moderne et offrant davantage de  possibilités. À ce titre, le chapitre suivant est consacré à Windows Deployment Services, le serveur de déploiement par  réseau proposé en standard par Windows 2008 Server. 

30

Présentation et pré­requis  Les Services de Déploiement Windows (Windows Deployment Services ou WDS en anglais) sont la brique essentielle du  déploiement de systèmes d’exploitation Microsoft par réseau. Evolution des Services d’Installation à Distance (Remote  Installation Services ou RIS en anglais), apparus avec Windows 2000 Server, ils supportent les nouvelles fonctionnalités  de déploiement des systèmes d’exploitation Windows Vista, Windows 7 et Windows Server 2008, mais conservent une  compatibilité avec Windows XP et Windows Server 2003.  Apportés par le Service Pack 2 de Windows 2003 (version normale et R2) ainsi que par Windows Server 2008, ils sont  également  disponibles  sous  forme  d’une  mise  à  jour  indépendante  pour  les  ordinateurs  exécutant  Windows  Server  2003  SP1.  Cette  mise  à  jour  fait  partie  du  Windows  Automated  Installation  Kit  (WAIK),  téléchargeable  gratuitement  depuis le site de Microsoft à l’adresse http://go.microsoft.com/fwlink/?LinkId=136976  Par rapport aux RIS, les WDS apportent les fonctionnalités suivantes :  ●

Amorçage de l’installation sur un Windows PE graphique 

●

Support du format Windows Image (WIM) 

●

Gestion des serveurs WDS via la console Microsoft Management Console (MMC) 

●

Utilitaire en ligne de commande de configuration du serveur WDS 

Le déploiement par réseau avec WDS fait appel à la technologie Preboot eXecution Environment (PXE) d’Intel, qui se base  sur  les  protocoles  Dynamic  Host  Configuration  Protocol  (DHCP)  et  Trivial  File  Transfer  Protocol  (TFTP).  Le  processus  d’amorçage par réseau avec PXE et WDS peut être résumé en 4 phases :  1.  Envoi  d’une  requête  DHCP  par  le  client  pour  l’obtention  d’une  adresse  IP  et  des  informations  nécessaires  à  l’amorçage (adresse du serveur TFTP, nom du programme d’amorçage à télécharger)  2. Réponse du serveur DHCP avec une offre de bail, acceptation du bail par le client et confirmation par le serveur  3. Connexion du client au serveur TFTP puis téléchargement et exécution d’un programme d’amorçage (pxeboot.com par  exemple)  4.  Choix  d’une  image  de  démarrage  puis  téléchargement  et  exécution  locale  de  cette  image  (Windows  PE  3.0  par  exemple)  PXE autorise les services DHCP et TFTP à être installés sur deux serveurs différents, de manière à pouvoir s’inscrire sans  perturbation dans une infrastructure réseau existante. Un paramétrage supplémentaire du serveur DHCP est dans ce  cas nécessaire pour rediriger les clients vers le serveur TFTP.  Windows 7 utilise un environnement d’installation nommé Windows Preinstallation Environment (PE), en version 3.0. Il  s’agit  d’une  version  allégée  de  l’OS,  prenant  en  charge  un  nombre  restreint  de  matériels,  qui  servira  de  support  à  l’assistant  d’installation  du  système  d’exploitation  complet.  Windows  PE  3.0  est  contenu  dans  le  fichier  \sources\boot.wim disponible sur le DVD du système d’exploitation.  Il faut distinguer les images de démarrage, qui servent à lancer un client de déploiement, des images d’installation, qui  représentent le système d’exploitation effectivement déployé.  Quelle que soit la version du système d’exploitation sur lequel il est installé, les WDS ne peuvent s’exécuter que  sur  un  ordinateur  membre  ou  contrôleur  d’un  domaine  Active  Directory,  il  est  impossible  de  les  utiliser  sur  un  serveur en mode groupe de travail. 

1. Spécificités de Windows Server 2003  La  version  Windows  2003  des  WDS  permet  d’assurer  une  transition  depuis  RIS,  en  supportant  3  modes  de  fonctionnement :  ●

●

●

Mode  hérité  :  l’administration  se  fait  via  l’interface  RIS  classique,  les  déploiements  RISETUP  et  RIPREP  sont  supportés, l’amorçage se fait sur OSChooser.  Mode mixte : identique au mode hérité, mais ajoute la possibilité d’amorcer sur Windows PE, les images WIM  sont supportées et s’administrent par la console MMC.  Mode natif : amorçage obligatoire sur Windows PE, seules les images WIM sont supportées, l’administration se  © ENI Editions - All rigths reserved - Kaiss Tag

31

- 1-

fait uniquement par la console MMC.  Si  les  modes  hérité  et  mixte  sont  les  seuls  à  permettre  l’installation  de  Windows  XP  et  Windows  2003  à  l’aide d’un  fichier de réponse (mode unattended), il est cependant possible de continuer à déployer ces systèmes d’exploitation  avec un WDS en mode natif, mais en réalisant une image WIM d’un poste type préparé avec l’utilitaire Sysprep (voir la  section Capture et déploiement d’une image de référence). 

2. Spécificités de Windows Server 2008  Sur Windows Server 2008, les Services WDS se présentent sous la forme d’un rôle optionnel qu’il faut installer soit par  l’assistant d’ajout de rôles du gestionnaire de serveur, soit par l’utilitaire en ligne de commande ocsetup.exe. Ce rôle  est composé de deux services :  ●

●

Serveur  de  déploiement,  qui  prend  en  charge  le  protocole  PXE,  la  gestion  des  images  WIM  au  sein  d’un  magasin et les outils de gestion du serveur.  Serveur de transport, pour la prise en charge des fonctionnalités réseau et multicast. 

Seul le mode natif de WDS est disponible sous Windows Server 2008. 

- 2-

© ENI Editions - All rigths reserved - Kaiss Tag

32

Mise en place de WDS  L’installation et la configuration de WDS présentées ici se font sur un serveur Windows Server 2008 nommé wds2k8,  ayant  pour  adresse  IP  10.0.0.1,  contrôleur  du  domaine  fictif  lab.com,  sur  lequel  le  rôle  DHCP  est  déjà  activé  et  configuré.  Le serveur dispose de deux partitions, C: et D:, d’une taille respective de 16 et 32 Go, formatées toutes deux en NTFS.  Les fichiers nécessaires pour les déploiements seront stockés sur la partition D:.  Une étendue DHCP IPv4 est configurée avec les paramètres suivants :  ●

Pool d’adresses : de 10.0.0.10 à 10.0.0.20, masque 255.0.0.0 

●

Options de serveur :  ●

006 Serveur DNS : 10.0.0.1 

●

015 Nom de domaine : lab.com 

Dans  notre  exemple,  l’administrateur  du  domaine  se  nomme  administrateur  et  utilise  le  mot  de  passe  P@ssw0rd (P, arobase, s, s, w, zéro, r, d). 

1. Installation des composants  L’installation  du  rôle  Windows  Deployment  Services  sur  Windows  2008  peut  se  faire  soit  par  l’assistant  habituel  d’ajout de rôles, soit en ligne de commande. Pour cela :  ■

Ouvrez une session disposant des droits d’administration locale du serveur. 

■

Exécutez le Gestionnaire de serveur. 

■

Cliquez sur Ajoutez des rôles. 

■

Cliquez sur Suivant si l’écran Avant de commencer apparaît. 

■

Sélectionnez le rôle Services de déploiement Windows. 

33

Sélection du rôle à installer 

■

Cliquez sur Suivant deux fois. 

■

Sélectionnez les services Serveur de déploiement et Serveur de transport. 

34

Sélection des services du rôle 

■

Cliquez sur Suivant. 

■

Cliquez sur Installer. 

■

Lorsque l’installation est terminée, cliquez sur Fermer. 

Rapport d’installation 

Pour  installer  le  rôle  Windows  Deployment  Services  en  ligne  de  commande,  utilisez  la  commande  :  ocsetup.exe Microsoft-Windows-Deployment-Services 

2. Configuration du serveur  ■

Ouvrez la console Services de déploiement Windows. 

35

Console d’un serveur WDS non configuré 

■

■

Faites  un  clic  droit  sur  le  nom  du  serveur  et  sélectionnez  Configurer  le  serveur, l’assistant  de  configuration  du  serveur WDS s’affiche.  Cliquez sur Suivant. 

Le serveur WDS impose que les images des systèmes d’exploitation qui seront distribués soient stockées sur  une partition NTFS. Il est recommandé de stocker ces images sur une autre partition que celle utilisée par le  système. Cette étape permet d’indiquer l’emplacement de stockage. 

■

Entrez le chemin D:\RemoteInstall. 

36

Emplacement de stockage des images 

■

Cliquez sur Suivant. 

■

Cochez les cases Ne pas écouter sur le port 67 et Configurer l’option DHCP 60 avec la valeur « PXEClient ». 

Configuration des options DHCP 

■

Cliquez sur Suivant. 

37

■

Sélectionnez Répondre à tous les ordinateurs clients (connus et inconnus), sans cocher la case Pour les clients  inconnus, informer l’administrateur et répondre après accord. 

Configuration du mode de réponse 

■

Cliquez sur Terminer. 

Les  choix  à  effectuer  sur  l’écran Option  DHCP  60  dépendent  de  l’architecture  mise  en  place  :  si  le  service  DHCP s’exécute déjà sur le serveur sur lequel vous souhaitez installer WDS (le cas présent), le port UDP 67  est  déjà  utilisé,  et  WDS  doit  être  configuré  pour  ne  pas  écouter  les  requêtes  sur  ce  port.  L’option  DHCP  60  PXEClient est une option nécessaire à rajouter dans la configuration du serveur DHCP (au niveau des options de  serveur ou de celles de l’étendue utilisée pour les déploiements) pour que les clients sachent que le serveur DHCP  qui leur répond est également un serveur PXE. 

L’écran Paramètres  initiaux  du  serveur  PXE  permet  de  choisir  le  comportement  du  serveur  WDS  face  aux  clients connus et inconnus (ou même de désactiver la réponse). La section Paramètres de réponse PXE décrit  plus précisément ces options et la façon de les utiliser. 

■

Décochez la case Ajouter les images au serveur de déploiement Windows maintenant. 

■

Cliquez sur Terminer. 

38

Console d’un serveur WDS configuré  L’assistant  d’installation  a  créé  l’arborescence  D:\RemoteInstall,  qui  hébergera  les  images  et  les  fichiers  de  déploiement :  Boot  Contient  les  fichiers  nécessaires  à  l’amorçage  des  postes  clients  et  au  démarrage  des  installations,  pour  chaque  architecture supportée (Itanium 64, x86 64 bits et x86 32 bits).  Images  Contiendra les images des systèmes d’exploitation qui seront déployés par WDS.  Mgmt  Contient la base de données interne du service WDS.  Templates  Contient les fichiers de réponse utilisés lors des installations automatisées.  WdsClientUnattend   Contient les fichiers de réponse utilisés par le client d’installation de WDS.  Il a également rajouté la définition de l’option DHCP 060 PXEClient au niveau des options de serveur DHCP et lui a  donné la valeur PXEClient.  À ce stade, si vous tentez un amorçage réseau, vous obtiendrez le message ci­dessous, indiquant qu’aucune image  de démarrage n’est disponible : 

39

Message d’erreur en l’absence d’image de démarrage 

3. Ajout d’une image de démarrage  Pour ajouter une telle image :  ■

Ouvrez la console WDS. 

■

Déployez le nœ ud wds2k8.lab.com. 

■

Faites un clic droit sur Images de démarrage et sélectionnez Ajouter une image de démarrage. 

■

Insérez  le  DVD  de  Windows  7  correspondant  à  votre  architecture  cible  (x86  ou  x64)  et  localisez  le  fichier  \sources\boot.wim se trouvant sur le média. 

40

Sélection de l’image à importer 

■

Cliquez sur Suivant. 

■

Acceptez le nom et la description par défaut de l’image (ces noms apparaîtront dans le menu d’amorçage PXE). 

Renseignements sur l’image 

© ENI Editions - All rigths reserved - Kaiss Tag

41

- 9-

■

Cliquez sur Suivant. 

Résumé de l’ajout en cours 

■

Confirmez les paramètres d’ajout en cliquant sur Suivant. 

■

Une fois le processus d’ajout terminé (après quelques minutes), cliquez sur Terminer. 

Les clients PXE peuvent à présent amorcer sur le réseau et télécharger une image de démarrage. Cependant, aucune  image  d’installation  n’ayant  encore  été  ajoutée,  l’assistant d’installation  s’arrêtera  à  l’écran  ci­dessous  après  vous  avoir demandé les paramètres régionaux à utiliser et le compte de connexion au serveur WDS : 

- 10 -

© ENI Editions - All rigths reserved - Kaiss Tag

42

Assistant d’installation sans image 

© ENI Editions - All rigths reserved - Kaiss Tag

43

- 11 -

Déploiement simple d’un système d’exploitation  L’installation  de  Windows  Vista,  Windows  7  et  Windows  Server  2008  utilise  le  format  d’images  WIM  et  est  donc  pleinement  compatible  avec  les  technologies  de  WDS.  Il  n’est  pas  obligatoire,  pour  déployer  ces  systèmes  d’exploitation, de capturer une image de référence, à la différence du déploiement de Windows XP ou Windows Server  2003 (lorsque le serveur WDS est en mode natif).  Nous  allons  voir  ici  comment  déployer  simplement  un  système  d’exploitation  Windows  7,  puis  comment  optimiser  et  automatiser ces tâches. 

1. Ajout d’une image d’installation  Maintenant  qu’une  image  d’amorçage  est  disponible  sur  le  serveur  WDS,  il  vous  faut  rendre  disponible  l’image  du  système d’exploitation que vous souhaitez installer. Pour ce faire :  ■

Ouvrez la console WDS. 

■

Déployez le nœ ud wds2k8.lab.com. 

■

Faites un clic droit sur Images d’installation et sélectionnez Ajouter un groupe d’images. 

■

Entrez le nom Windows 7 et cliquez sur OK. 

■

Faites un clic droit sur le groupe d’images ainsi créé et cliquez sur Ajouter une image d’installation. 

■

Sélectionnez le fichier \sources\INSTALL.wim disponible sur le DVD de Windows 7. 

■

Cliquez sur Suivant. 

Sélection de l’image 

44

■

Cochez les cases des images que vous souhaitez rendre disponibles pour le déploiement et cliquez sur Suivant. 

■

Confirmez les paramètres d’ajout en cliquant sur Suivant. 

■

Une fois le processus d’ajout terminé (après quelques minutes), cliquez sur Terminer. 

La  technologie  Single  Instance  Storage  (SIS)  utilisée  dans  les  images  WIM  permet  de  contenir  plusieurs  versions d’un même système d’exploitation au sein d’un seul et même fichier, sans pour autant augmenter  de manière disproportionnée la taille de ce fichier. Les fichiers communs aux différentes versions ne sont stockés  qu’une seule fois dans l’image et des pointeurs y font référence. 

2. Déploiement  L’ajout  d’une  image  WIM  brute  sur  un  serveur  WDS  permet  son  déploiement  via  réseau  dans  des  conditions  pratiquement identiques à celles d’une installation effectuée avec le média d’origine.  Pour tester le déploiement de l’image ajoutée au paragraphe précédent :  ■

■

■

Démarrez le poste de test et appuyez sur [F12] pour amorcer sur le réseau.  Une  fois  le  serveur  DHCP  contacté  et  le  boot  loader  téléchargé  par  TFTP,  appuyez  sur  [F12]  pour  confirmer  l’exécution du programme de démarrage.  Une fois le programme d’installation chargé, sélectionnez la langue Français (France) et clavier Français. Il s’agit  des  paramètres  pour  l’assistant  d’installation  uniquement  (les  paramètres  régionaux  du  système  d’exploitation  seront définis plus tard). 

Paramètres régionaux du client WDS 

■

Cliquez sur Suivant. 

45

■

Entrez le nom d’utilisateur LAB\Administrateur et le mot de passe P@ssw0rd. 

Authentification auprès du serveur WDS 

■

Cliquez sur OK. 

■

Sélectionnez l’image que vous souhaitez déployer. 

46

Sélection du système à déployer 

■

Cliquez sur Suivant. 

■

Sélectionnez la partition sur laquelle installer l’OS. 

47

Configuration du partitionnement 

■

Cliquez sur Suivant. 

L’assistant d’installation prépare la partition et copie le système d’exploitation… (plusieurs minutes).  ■

Sélectionnez le pays France, les paramètres de temps et de monnaie Français (France) et la disposition de clavier  Français (il s’agit cette fois des paramètres du système d’exploitation installé). 

Sélection des paramètres régionaux 

■

Cliquez sur Suivant. 

■

Entrez un nom d’utilisateur (cet utilisateur sera administrateur du poste). 

48

Nom de l’utilisateur principal 

■

Cliquez sur Suivant. 

■

Entrez un mot de passe, confirmez­le et saisissez un aide­mémoire. 

49

Saisie du mot de passe de l’utilisateur principal 

■

Cliquez sur Suivant. 

■

Cochez la case J’accepte les termes du contrat de licence. 

Acceptation du contrat de licence 

■

■

Cliquez sur Suivant.  Cliquez sur Utiliser les paramètres recommandés afin de télécharger et d’installer les mises à jour importantes et  recommandées automatiquement. 

50

Sélection du modèle de sécurité 

■

Sélectionnez votre fuseau horaire. 

Sélection du fuseau horaire 

51

■

Cliquez sur Suivant. 

L’assistant d’installation dispose désormais de toutes les informations nécessaires pour finaliser la configuration du  poste.  Une  fois  redémarré,  le  poste  est  membre  du  même  domaine  que  le  serveur  WDS  et  est  prêt  pour  qu’un  utilisateur ouvre une session Windows sur ce domaine.  Cependant, vous aurez remarqué que plus d’une douzaine d’actions manuelles auront été nécessaires pour déployer  ce poste et que les choix laissés à l’initiative de l’opérateur sont nombreux. Cette multiplication de choix augmente le  risque  que  la  configuration  du  système  d’exploitation  déployé  diffère  d’un  poste  à  l’autre,  que  ce  soit  par  inadvertance  (une  erreur  de  sélection  ou  de  frappe)  ou  sciemment  (l’opérateur  fait  les  choix  qui  lui  semblent  les  meilleurs,  selon  ses  habitudes  ou  son  expérience  personnelle).  Ces  différences  potentielles  augmentent  le  risque  d’inconsistance du parc et vont en compliquer la future exploitation.  Vous aurez sans doute remarqué qu’à aucun moment le nom à attribuer à l’ordinateur ne vous a été demandé. Celui­ ci  est  en  effet  généré  automatiquement  en  fonction  des  paramètres  du  serveur  WDS  et  du  nom  de  l’opérateur qui  s’est identifié pour accéder aux images disponibles (ici LAB\Administrateur). Dans notre cas, le nom attribué au poste  est ADMINISTRATEUR1. Cette règle de nommage est configurable au niveau des propriétés du serveur WDS (onglet  Services d’annuaire).  Par défaut, seules les langues présentes dans l’image WIM d’origine sont disponibles sur l’écran de sélection  du système d’exploitation à installer. 

52

Déploiements avancés d’un système d’exploitation  Nous avons vu au paragraphe précédent que WDS rendait possible l’installation par réseau d’une image WIM sur un  poste sans réelle difficulté. Néanmoins, cette installation requiert l’intervention de l’opérateur à plusieurs reprises, et  n’assure  ni  une  configuration  homogène  des  postes,  ni  l’installation  des  applications.  Ce  paragraphe  vous  montrera  comment automatiser ces opérations et embarquer les applications dans l’image déployée. 

1. Installation sans assistance  Windows PE 3.0, l’environnement d’installation utilisé pour le déploiement de Windows 7, permet l’emploi de fichiers  de réponse XML afin d’automatiser les tâches de l’assistant, et même d’aller au­delà. Cette automatisation peut se  faire  à  deux  niveaux  :  pour  le  client  de  déploiement  WDS  lui­même  ou  pour  l’assistant  d’installation  du  système  d’exploitation. 

a. Automatisation du client de déploiement WDS  L’exemple ci­dessous montre comment éviter la phase d’authentification utilisateur qui précède le choix de l’image à  installer.  ■

Ouvrez le bloc­notes Windows. 

■

Saisissez le code XML ci­dessous (attention aux majuscules/minuscules) : 

OnError Administrateur LAB P@ssw0rd

■

Enregistrez le fichier sous le nom unattend1.xml dans le répertoire \RemoteInstall\WdsClientUnattend. 

■

Ouvrez la console WDS. 

■

Déployez le nœ ud wds2k8.lab.com. 

■

Affichez les propriétés du serveur WDS et sélectionnez l’onglet Client. 

■

Cochez la case Activer l’installation sans assistance. 

■

Cliquez sur le bouton Parcourir situé en face d’Architecture x86. 

■

Sélectionnez le fichier unattend1.xml créé précédemment. 

© ENI Editions - All rigths reserved - Kaiss Tag

53

- 1-

Configuration d’un fichier de réponse pour le client WDS 

■

Cliquez sur OK. 

Testez  le  déploiement  par  réseau  du  système  d’exploitation  sur  votre  poste  de  test,  vous  constaterez  que  la  fenêtre d’authentification pour accéder à la liste des images disponibles sur le serveur WDS a disparu. En effet, le  fichier  XML  créé  indique  que,  dans  la  phase windowsPE,  le  composant Microsoft­Windows­Setup doit utiliser les  informations de Login fournies et n’afficher l’interface qu’en cas d’erreur.  Quelle que soit l’architecture détectée par le programme d’amorçage PXE (souvent x64 sur les ordinateurs  récents),  le  fichier  de  réponse  pris  en  compte  par  le  client  WDS  est  celui  configuré  pour  l’architecture  correspondant à celle de l’image de démarrage utilisée. 

b. Automatisation de l’installation du système d’exploitation  L’exemple ci­dessous montre comment automatiser la saisie de la clé de produit.  ■

Ouvrez le bloc­notes Windows. 

■

Saisissez le code XML ci­dessous (attention aux majuscules/minuscules) : 



- 2-

© ENI Editions - All rigths reserved - Kaiss Tag

54

votre clé produit avec les tirets

■

Enregistrez le fichier sous le nom setup1.xml quelque part sur le serveur WDS. 

■

Ouvrez la console WDS. 

■

Déployez le nœ ud wds2k8.lab.com. 

■

Faites un clic droit sur l’image du groupe Windows 7 dont vous souhaitez automatiser le déploiement et cliquez  sur Propriétés. 

■

Cochez la case Autoriser l’image à s’installer en mode sans assistance. 

■

Cliquez sur Sélectionner un fichier. 

■

Cliquez sur Parcourir et sélectionnez le fichier setup1.xml créé précédemment. 

Configuration d’un fichier de réponse pour une image WIM 

■

Cliquez sur OK sur les deux écrans consécutifs. 

Vous  pouvez  constater  que  le  fichier  setup1.xml  que  vous  aviez  enregistré  a  été  copié  dans  le  répertoire  \RemoteInstall\Images\Windows 7\install\Unattend et se nomme désormais ImageUnattend.xml. 

© ENI Editions - All rigths reserved - Kaiss Tag

55

- 3-

En  refaisant  un  test  de  déploiement,  vous  verrez  que  désormais,  pour  cette  image  en  particulier,  l’assistant  d’installation ne vous demande plus de clé de produit.  Les  possibilités  offertes  par  les  fichiers  de  réponse  XML  de  Windows  PE  3.0  sont  extrêmement  puissantes  et  permettent d’apporter automatiquement des réponses à toutes les étapes de l’assistant d’installation. D’autre part,  ces fichiers permettent également de choisir et de préconfigurer les composants du système d’exploitation, ce qui  est impossible via l’interface graphique de l’assistant.  Cependant, la saisie manuelle des fichiers XML est laborieuse et représente une source d’erreurs potentielles non  négligeable. D’autre part, il est difficile de connaître tous les composants disponibles, toutes leurs options et toutes  leurs propriétés. Si, en théorie, la saisie de ces fichiers peut se faire avec n’importe quel éditeur de texte ou XML,  dans la pratique, l’édition de ces fichiers se fait avec Windows System Image Manager, un outil livré avec WAIK et  auquel le chapitre suivant de cet ouvrage est consacré. 

2. Capture et déploiement d’une image de référence  Une image de référence est l’image  d’un système d’exploitation  qui  a  été  fortement  personnalisé  et  sur  lequel  des  applications  ont  éventuellement  été  installées.  Cette  image  de  référence  doit  provenir  d’un  poste  sain  et  représentatif du parc. Sa création répond à deux objectifs : gagner du temps lors du déploiement en incluant dans  l’image  des  applications  préinstallées;  et  prendre  en  charge  des  applications  dont  l’installation  n’est  pas  automatisable.  La  création  et  la  capture  d’images  de  référence  sont  également  nécessaires  lorsque  vous  souhaitez  déployer  Windows XP ou 2003 depuis un serveur WDS en mode natif, celui­ci ne prenant en charge que les images WIM. 

a. Créer une image de capture  Une  image  de  capture  est  une  image  de  démarrage  qui  se  base  sur  Windows  PE,  mais  qui,  au  lieu  de  lancer  l’assistant  d’installation  du  système  d’exploitation,  va  lancer  un  assistant  de  capture.  Une  fois  les  informations  fournies à cet assistant, celui­ci va copier le contenu d’une partition de la machine de référence vers un fichier WIM,  utilisable ensuite pour les futurs déploiements.  La création d’une image de capture nécessite la présence sur le serveur WDS d’une image de démarrage  compatible avec l’architecture du poste de référence (voir section Configuration du serveur).  Pour créer une image de capture :  ■

Ouvrez la console WDS. 

■

Déployez le nœ ud wds2k8.lab.com. 

■

Faites un clic droit sur l’image de démarrage présente et cliquez sur Créer une image de démarrage de capture. 

■

- 4-

Complétez les métadonnées de l’image (nom et description) et indiquez l’emplacement et le nom de fichier dans  lequel stocker l’image WIM. 

© ENI Editions - All rigths reserved - Kaiss Tag

56

Création d’une image de capture 

■

Cliquez sur Suivant. 

■

Une fois l’image de capture créée, cliquez sur Terminer. 

■

Faites un clic droit sur le nœ ud Images de démarrage et cliquez sur Ajouter une image de démarrage. 

■

Cliquez sur Parcourir et sélectionnez l’image WIM que vous avez créée. 

■

Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

57

- 5-

Ajout de l’image de capture créée 

■

Acceptez les métadonnées par défaut et cliquez sur Suivant. 

■

Le fichier WIM créé ne contenant qu’une seule image, cliquez sur Suivant. 

■

Une fois l’importation terminée, cliquez sur Terminer. 

L’image de capture est désormais disponible dans le menu de démarrage du client PXE, comme le montre la capture  ci­dessous : 

- 6-

© ENI Editions - All rigths reserved - Kaiss Tag

58

Menu de démarrage avec image de capture  Cependant, si vous essayez d’amorcer sur cette image, vous obtiendrez un assistant vous proposant une liste vide  de volumes à capturer : le poste doit être préparé pour qu’un volume soit visible dans l’assistant de capture. 

Assistant de capture d’image  La  création  d’une  image  de  capture  en  ligne  de  commande  est  également  possible  grâce  aux  deux  instructions  © ENI Editions - All rigths reserved - Kaiss Tag

59

- 7-

suivantes :  wdsutil /New-Capture-Image /image: /Architecture:x86 /Filepath: wdsutil /Add-Image /Image-File: /ImageType:Boot

b. Préparer un poste de référence  La  première  phase  de  création  d’un  poste  de  référence  diffère  peu  d’une  installation  classique  :  elle  peut  être  réalisée à partir d’un DVD du système d’exploitation ou bien d’une image WIM disponible sur un serveur WDS. La  seconde  phase,  une  fois  les  installations  d’applications  terminées  et  la  configuration  faite,  consiste  à  préparer  le  poste à l’aide de l’outil Sysprep.  Le poste ne doit pas appartenir à un domaine au moment de sa capture. Vous pouvez pour cela cocher la  case Ne pas créer de compte dans le domaine après l’exécution du client WDS dans l’onglet Client des  propriétés du serveur WDS.  Pour préparer un poste de référence :  ■

■

■

Installez Windows 7 sur le poste, par réseau avec WDS, par DVD ou par clé USB.  Installez sur ce poste les applications à inclure dans l’image de référence (les visionneuses Microsoft Office 2007  par exemple, disponibles sur le site http://office.microsoft.com/downloads).  Procédez  aux  changements  dans  la  configuration  machine  (configuration  du  pare­feu  ou  des  services  Windows  par exemple). 

■

Exécutez sysprep.exe (il se trouve dans C:\Windows\System32\Sysprep). 

■

Sélectionnez l’action de nettoyage Entrer en mode OOBE. 

■

Cliquez sur Généraliser. 

■

Sélectionnez Arrêter le système dans la liste des options d’extinction. 

Ecran d’accueil de Sysprep 

■

Cliquez sur OK. 

Sysprep  va  préparer  le  poste  pour  la  capture  puis  va  l’éteindre  automatiquement.  Le  poste  est  désormais  prêt  à  être capturé par le client WDS, il ne devra pas être redémarré avant cela. 

- 8-

© ENI Editions - All rigths reserved - Kaiss Tag

60

L’option Généraliser remplit deux objectifs : régénérer l’identifiant de sécurité unique du poste (le SID) et activer le  traitement de la phase generalize dans le fichier de réponse unattend.xml.  Vous  pouvez  également  lancer  la  préparation  du  poste  grâce  à  la  commande  :  C:\windows\system32 \sysprep\sysprep.exe /oobe /generalize /shutdown 

c. Capturer une image  Une fois le poste préparé, une image de capture créée et mise à disposition sur le serveur WDS, la procédure de  capture est aisée. Bien qu’il soit possible de stocker l’image du poste en local sur celui­ci puis de la transférer vers le  serveur WDS, le plus simple est de la télécharger sur le serveur WDS au cours de la capture. C’est la solution qui  sera retenue ici :  ■

Démarrez le poste de référence et amorcez sur le réseau avec [F12]. 

■

Sélectionnez l’image de capture créée dans la section Créer une image de capture. 

■

Lorsque l’écran d’accueil de l’assistant de capture apparaît, cliquez sur Suivant. 

■

Sélectionnez le volume à capturer, entrez un nom pour l’image ainsi qu’une description. 

Saisie des informations de capture 

■

■

Cliquez sur Suivant.  Cliquez  sur Parcourir  pour  choisir  un  chemin  local  et  un  nom  de  fichier  où  stocker  l’image  (le  volume  local  doit  disposer de suffisamment d’espace libre). 

■

Cliquez sur Télécharger l’image sur un serveur des services de déploiement Windows. 

■

Entrez le nom du serveur WDS et cliquez sur Connecter.  © ENI Editions - All rigths reserved - Kaiss Tag

61

- 9-

■

Entrez  les  informations  d’identification  utilisées  pour  accéder  au  partage  de  capture  (utilisateur  LAB\Administrateur et mot de passe P@ssw0rd dans notre exemple). 

■

Cliquez sur OK. 

■

Sélectionnez le groupe d’images Windows 7. 

Emplacement de stockage de la capture 

■

Cliquez sur Suivant. 

■

Une fois l’image capturée, cliquez sur Terminer. 

Lors de la procédure, le client va d’abord créer une image WIM locale puis la télécharger vers le serveur WDS. Une  fois le téléchargement terminé, vous pouvez constater que l’image a été rajoutée automatiquement dans le groupe  Windows 7 de la console WDS et est prête à être déployée vers d’autres machines. 

- 10 -

© ENI Editions - All rigths reserved - Kaiss Tag

62

Image de capture ajoutée au serveur WDS 

© ENI Editions - All rigths reserved - Kaiss Tag

63

- 11 -

Configuration avancée d’un serveur WDS  1. Démarrage des clients  a. Programme de démarrage par défaut  Vous avez pu constater au cours de ce chapitre que l’amorçage sur le réseau nécessitait d’appuyer deux fois sur  [F12] : la première fois pour indiquer au BIOS de la machine que vous souhaitez démarrer en PXE, la deuxième pour  confirmer au programme de démarrage que vous voulez effectivement l’exécuter.  Ce comportement est celui du programme de démarrage par défaut de WDS, et peut être modifié en sélectionnant  un  programme  de  démarrage  différent.  Plusieurs  programmes  de  démarrage  sont  fournis  avec  le  serveur  WDS,  répondant chacun à des scénarios différents :  Pxeboot.com  Le programme de démarrage par défaut, l’opérateur doit appuyer sur [F12] pour continuer le démarrage réseau.  Pxeboot.n12  Identique au précédent, mais ne requiert pas d’appui sur [F12] (le suffixe signifiant "no [F12]").  AbortPXE.com  Ne démarre jamais sur le réseau.  Hdlscom1.com et Hdlscom2.com  Redirige les messages vers les ports série COM1 ou COM2.  Hdlscom1.n12 et Hdlscom2.n12  Identiques aux précédents, mais ne requièrent pas d’appui sur [F12].  Bootmgfw.efi  Regroupe les fonctions d’appui ou non sur [F12], mais géré par le shell EFI (pour les machines le supportant).  Wdsnbp.com  Client spécial pour la détection d’architecture et les scénarios de périphériques en attente.  Le changement de programme de démarrage se fait via les propriétés du serveur WDS. Chaque plate­forme (x86,  x64 et IA64) peut disposer d’un programme différent.  Pour automatiser le démarrage réseau des postes x86 et x64 :  ■

■

■

■

Ouvrez la console WDS.  Faites un clic droit sur le serveur WDS dont vous souhaitez modifier les programmes de démarrage et cliquez sur  Propriétés.  Dans  l’onglet  Démarrer,  à  l’intérieur  du  cadre  Programme  de  démarrage  par  défaut,  cliquez  sur  le  bouton  Parcourir de l’architecture x86.  Sélectionnez le programme pxeboot.n12. 

© ENI Editions - All rigths reserved - Kaiss Tag

64

- 1-

Configuration du programme de démarrage par défaut 

■

Répétez l’opération pour l’architecture x64. 

■

Cliquez sur OK. 

Faites  un  test  de  démarrage  d’un  client  PXE,  vous  constatez  que  celui­ci  ne  vous  demande  plus  de  confirmer  l’amorçage réseau une deuxième fois.  Attention,  si  vous  configurez  le  BIOS  des  postes  pour  démarrer  sur  réseau  en  premier,  et  que  vous  indiquez  au  serveur d’envoyer  un  programme  de  démarrage  ne  nécessitant  pas  d’appui  sur  [F12]  pour  s’exécuter,  les  postes  démarreront systématiquement sur l’assistant d’installation de l’image de démarrage par défaut du serveur WDS.  Si  le  poste  client  supporte  les  architectures  x86  et  x64  (ce  qui  est  le  cas  de  la  plupart  des  ordinateurs  récents), il sera identifié par le programme d’amorçage comme client x64. Il faut donc modifier le programme  de démarrage pour les architectures x86 et x64. 

b. Image de démarrage par défaut  Lorsque le serveur WDS propose de nombreuses images de démarrage, il peut être intéressant d’en configurer une  par  défaut  pour  les  postes  clients.  L’image  ainsi  configurée  sera  celle  sur  laquelle  le  poste  démarrera  lorsque  le  délai imparti pour le choix d’une image sera écoulé (30 secondes par défaut). Le choix de cette image se fait pour  chaque architecture (x86 pour le 32 bits et x64 pour le 64 bits).  Pour configurer une image de démarrage par défaut :  ■

■

■

- 2-

Ouvrez la console WDS.  Faites  un  clic  droit  sur  le  serveur  WDS  dont  vous  souhaitez  modifier  les  images  de  démarrage  et  cliquez  sur  Propriétés.  Dans l’onglet Démarrer, à l’intérieur du cadre Image de démarrage par défaut, cliquez sur le bouton Parcourir  © ENI Editions - All rigths reserved - Kaiss Tag

65

de l’architecture x86.  ■

Sélectionnez une image de démarrage présente sur le serveur WDS. 

Configuration d’une image de démarrage par défaut 

■

Répétez l’opération pour l’architecture x64. 

■

Cliquez sur OK. 

S’il est possible de sélectionner une image de démarrage 32 bits ou 64 bits pour l’architecture x64, seule  une image 32 bits est autorisée pour l’architecture x86. 

2. Paramètres de réponse PXE  Les paramètres de réponse PXE permettent de définir le comportement du serveur WDS lorsque des clients amorcent  sur le réseau et tentent de le joindre.  Trois stratégies sont possibles sur un serveur WDS Windows 2008 :  ●

Ignorer complètement les demandes et ne jamais répondre ; 

●

Répondre aux clients connus ; 

●

Répondre à tous les clients. 

La  notion  de  client  connu  repose  sur  la  connaissance  du  GUID  du  client  qui  se  présente  au  serveur.  Lors  d’un  amorçage  PXE,  le  client  joint  cet  identifiant  à  sa  requête  au  serveur,  qui  le  recherche  dans  l’Active  Directory.  Si  un 

© ENI Editions - All rigths reserved - Kaiss Tag

66

- 3-

compte d’ordinateur disposant de cet attribut GUID est trouvé, le client est considéré comme connu et sa demande  peut être traitée.  Lorsque  le  serveur  WDS  est  configuré  pour  répondre  à  tous  les  clients,  connus  et  inconnus,  une  option  permet  cependant  de  temporiser  les  réponses  aux  clients  inconnus,  en  attendant  qu’un  administrateur  les  approuve  manuellement.  Pour activer la validation manuelle des clients inconnus :  ■

Ouvrez la console WDS. 

■

Affichez les propriétés du serveur WDS et sélectionnez l’onglet Paramètres de réponse PXE. 

■

Sélectionnez Répondre à tous les ordinateurs clients (connus et inconnus). 

■

Cochez la case Pour les clients inconnus, informer l’administrateur et répondre après accord. 

Configuration de la stratégie de réponse PXE 

■

Cliquez sur OK. 

■

Démarrez un poste qui n’est pas encore connu dans l’Active Directory et amorcez­le sur le réseau 

Le poste n’étant pas connu, le message ci­dessous s’affichera : 

- 4-

© ENI Editions - All rigths reserved - Kaiss Tag

67

Message d’attente pour un client PXE inconnu  Il faut alors autoriser manuellement le client pour que le serveur WDS puisse lui répondre. Pour cela :  ■

Ouvrez la console WDS. 

■

Déployez le nœ ud wds2k8.lab.com. 

■

Dans  le  nœ ud  Périphériques  en  attente,  faites  un  clic  droit  sur  la  demande  dont  l’adresse  MAC  ou  le  GUID  correspond à celui du client non autorisé, et cliquez sur Approuver. 

 

■

Cliquez sur OK pour confirmer la notification 

Un compte d’ordinateur est alors créé pour ce client dans l’Active Directory, avec son GUID et le serveur qui a traité la  demande. Le nom du compte d’ordinateur respecte le format défini dans la stratégie définie dans les propriétés du  serveur WDS (onglet Service d’annuaire), mais utilise le nom de l’opérateur qui a approuvé le client dans la console.  Au bout de quelques secondes, le client qui était resté en attente va recevoir le programme d’amorçage et proposera  un démarrage sur réseau.  © ENI Editions - All rigths reserved - Kaiss Tag

68

- 5-

■

Sur le poste à déployer, appuyez sur [F12] lorsque le programme de démarrage le demande. 

Il est également possible de définir le nom qu’aura le client inconnu au moment de son approbation dans la  console, en sélectionnant l’option Nommer et approuver et en fournissant un nom. 

3. Déploiements multicast  Lors d’un déploiement par réseau, l’intégralité de l’image du système d’exploitation à installer doit, à un moment ou à  un autre, transiter à travers le câble. Même si la bande passante des réseaux d’entreprise n’a plus rien à voir avec  celle  d’il  y  a  quinze  ans,  le  volume  de  données  à  transférer  (souvent  plusieurs  giga  octets)  doit  être  pris  en  considération.  Si le réseau est le plus souvent capable d’absorber cette charge supplémentaire lorsqu’il s’agit de déployer un unique  poste, il n’en sera probablement pas de même si vous souhaitez faire un déploiement en masse pour l’ensemble du  parc  ou  même  un  échantillon  de  la  population  des  utilisateurs,  du  moins  pas  sans  faire  appel  à  une  technologie  réseau appelée multidiffusion, ou multicast en Anglais.  Le  multicast,  par  opposition  à  l’unicast,  consiste  à  envoyer  le  même  flux  réseau  vers  plusieurs  destinataires,  sans  avoir à dupliquer n fois ce flux, économisant ainsi la bande passante du réseau.  Il y a deux pré­requis essentiels pour un déploiement de ce type :  ●

●

Les routeurs éventuellement traversés doivent supporter le multicast.  Les  postes  clients  doivent  disposer  de  suffisamment  de  place  sur  le  disque  pour  copier  temporairement  l’image à installer. 

Si vous remplissez les conditions ci­dessous, vous pouvez envisager l’utilisation du multicast pour vos déploiements.  Pour créer une transmission par multidiffusion :  ■

Ouvrez la console WDS. 

■

Déployez le nœ ud wds2k8.lab.com. 

■

■

- 6-

Faites  un  clic  droit  sur  le  nœ ud  Transmission  par  multidiffusion  du  serveur  WDS  depuis  lequel  vous  souhaitez  transmettre.  Cliquez sur Créer une transmission par multidiffusion. 

© ENI Editions - All rigths reserved - Kaiss Tag

69

Création d’une transmission multicast 

■

Donnez un nom descriptif à cette transmission. 

■

Cliquez sur Suivant. 

■

Sélectionnez le groupe et l’image que vous souhaitez diffuser. 

Sélection de l’image à transmettre 

■

Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

70

- 7-

■

Sélectionnez Diffusion automatique. 

Paramètres de lancement de la diffusion 

■

Cliquez sur Suivant. 

■

Confirmez la diffusion en cliquant sur Terminer. 

Le serveur WDS se met alors à l’écoute des clients de déploiement multicast qui viendront s’inscrire à cette diffusion.  Pour déployer une image par multidiffusion :  ■

Démarrez le poste à installer et amorcez sur le réseau. 

■

Sélectionnez le programme de démarrage standard de Windows 7. 

■

Appuyez sur [Entrée]. 

■

Une  fois  le  client  WDS  démarré,  authentifiez­vous  et  sélectionnez  l’image  pour  laquelle  vous  avez  créé  une  multidiffusion. 

■

Cliquez sur Suivant. 

■

Sélectionnez le disque et la partition sur lesquels installer l’image. 

■

Cliquez sur Suivant. 

Le client essaie alors de joindre le serveur WDS et s’inscrit pour la multidiffusion.  Vous pouvez voir dans la console WDS, dans le nœ ud Transmission par multidiffusion/[nom de votre diffusion], les  clients qui se sont inscrits et l’état d’avancement de leur diffusion.  La diffusion créée ici démarre automatiquement lorsqu’au moins un client l’a rejoint, mais les diffusions peuvent être 

- 8-

© ENI Editions - All rigths reserved - Kaiss Tag

71

configurées  lors  de  leur  création  pour  ne  démarrer  que  lorsqu’un  horaire  particulier  ou  un  nombre  de  clients  est  atteint, on parle alors de multidiffusion planifiée. 

Transmission par multidiffusion en cours 

L’image  de  démarrage  boot.wim  de  Windows  Vista  ne  dispose  pas  d’un  client  de  transmission  par  multidiffusion  compatible  avec  WDS.  Les  postes  clients  doivent  obligatoirement  utiliser  une  image  de  démarrage Windows 2008 ou Windows 7. 

4. Filtrage des accès aux images  La sécurité par défaut du serveur WDS permet à tous les utilisateurs authentifiés du domaine d’accéder aux images  et de les installer. Dans cette situation, n’importe quel utilisateur peut amener un ordinateur personnel et procéder à  l’installation du système d’exploitation fourni par l’entreprise, et des logiciels qui vont avec si ceux­ci sont inclus dans  l’image de référence.  Pour  remédier  à  cela,  il  est  possible  de  positionner  des  permissions  particulières  sur  les  images  et  les  groupes  d’images disponibles sur le serveur WDS.  Prenons l’exemple de deux opérateurs d’installation, disposant respectivement des comptes de domaine LAB\ope1 et  LAB\ope2 ; l’un est chargé de réinstaller les postes des utilisateurs administratifs, et l’autre ceux des développeurs.  Chaque population dispose d’une image de référence qui lui est propre, avec les outils dont elle a besoin : PC_Admin  pour  les  premiers,  PC_Dev  pour  les  seconds.  Ces  deux  images  WIM  sont  présentes  au  sein  du  même  groupe  d’images sur le serveur WDS.  Pour restreindre l’accès aux images :  ■

Ouvrez la console WDS. 

■

Déployez le nœ ud wds2k8.lab.com. 

■

Faites un clic droit sur groupe d’images Windows 7 du nœ ud Images d’installation. 

■

Cliquez sur Sécurité. 

© ENI Editions - All rigths reserved - Kaiss Tag

72

- 9-

Modification de la sécurité d’un groupe d’images 

■

Cliquez sur Avancé. 

■

Décochez la case Inclure les autorisations pouvant être héritées du parent de cet objet. 

■

Supprimez le groupe Utilisateurs authentifiés. 

Permissions de sécurité d’un groupe d’images 

- 10 -

© ENI Editions - All rigths reserved - Kaiss Tag

73

■

Cliquez sur OK deux fois. 

■

Faites un clic droit sur l’image PC_Admin et cliquez sur Propriétés. 

■

Dans l’onglet Sécurité, sélectionnez le groupe Utilisateurs authentifiés. 

■

Cliquez sur Supprimer. 

■

Cliquez sur Ajouter. 

■

Entrez le nom LAB\ope1 et cliquez sur OK. 

■

Vérifiez que le compte LAB\ope1 dispose des permissions Lecture & exécution ainsi que Lecture. 

Permissions de sécurité d’une image 

■

Cliquez sur OK. 

■

Répétez l’opération sur l’image PC_Dev pour le compte LAB\ope2. 

Désormais, chaque opérateur ne verra, dans la liste des images d’installation disponibles, que celles pour lesquelles il  dispose des permissions adéquates. 

© ENI Editions - All rigths reserved - Kaiss Tag

74

- 11 -

Images d’installation filtrées par la sécurité 

Attention, si vous avez configuré un fichier d’installation sans assistance pour le client des services WDS et  que celui­ci inclut les informations d’identification pour accéder au serveur, la liste des images présentée sera  toujours la même. 

- 12 -

© ENI Editions - All rigths reserved - Kaiss Tag

75

Résumé  Nous  avons  vu  ici  comment  installer  et  configurer  un  serveur  Windows  Deployment  Services,  de  manière  à  pouvoir  distribuer des images WIM à travers le réseau de l’entreprise.  Cependant,  vous  avez  pu  constater  que  les  possibilités  d’installation  sans  assistance  étaient  nombreuses  mais  compliquées à mettre en œ uvre, tant la création manuelle des fichiers de réponse XML est fastidieuse.  Le chapitre suivant est consacré au Windows Automated Installation Kit, un ensemble d’outils permettant de créer et  d’éditer les fichiers de réponse XML à l’aide d’interfaces graphiques, ainsi que de manipuler les images WIM. 

© ENI Editions - All rigths reserved - Kaiss Tag

76

- 1-

Présentation et installation  Le kit d’installation automatisé de Windows (Windows Automated Installation Kit ou WAIK en anglais) est apparu avec  Windows Vista et passe en version 2 pour la prise en charge de Windows 7. Il s’agit d’un ensemble d’outils permettant  d’une part, la création et la manipulation de fichiers de réponses utilisables avec le client de déploiement ou l’assistant  d’installation, et d’autre part la gestion des images WIM, l’inclusion de composants, de pilotes ou de mises à jour de  sécurité.  Un outil nommé Volume Activation Management Tool est également fourni pour gérer l’activation des postes déployés,  et procéder à un inventaire des modes de licence utilisés.  WAIK  est  disponible  gratuitement  sur  le  site  Web  de  Microsoft  à  l’adresse  http://go.microsoft.com/fwlink/? LinkId=136976  Pour installer WAIK :  ■

Téléchargez l’image ISO du kit WAIK et gravez­la sur un média vierge. 

■

Insérez ce média sur le poste où installer WAIK. 

■

Exécutez le programme StartCD.exe se trouvant à la racine du média. 

■

Cliquez sur Installation du kit dans le menu de gauche. 

■

Lorsque l’écran d’accueil de l’assistant d’installation apparaît, cliquez sur Suivant. 

■

Acceptez le contrat de licence et cliquez sur Suivant. 

■

Confirmez  le  dossier  d’installation  par  défaut,  sélectionnez  une  installation  pour  Tout  le  monde  et  cliquez  sur  Suivant. 

■

Confirmez l’installation en cliquant sur Suivant. 

■

Cliquez sur Fermer. 

© ENI Editions - All rigths reserved - Kaiss Tag

77

- 1-

Passes d’une installation  La connaissance des passes d’une installation Windows est importante pour maîtriser les déploiements et parvenir au  résultat souhaité. Chacune de ces passes remplit un rôle bien spécifique dans le processus général d’installation, et  prend en charge un ensemble restreint de composants et de sous­composants. 

Diagramme de présentation des passes 

1. windowsPE  Cette passe est exécutée deux fois : la première lors du démarrage sur le client de déploiement (que ce soit l’image  boot.wim du média d’installation ou celle envoyée par le serveur WDS) et la seconde lors de l’exécution de l’assistant  d’installation de Windows à proprement parler.  La passe windowsPE supporte les composants minimums nécessaires à la préparation de l’installation : configuration  réseau  et  identification  pour  accès  au  partage  de  distribution  WDS,  configuration  des  paramètres  régionaux  de  l’assistant d’installation, sélection de l’image à installer, partitionnement des disques durs, etc. Elle prend également  en charge la copie de l’image WIM de la source (média ou serveur WDS) vers la destination spécifiée. 

2. offlineServicing  La passe  offlineServicing est exécutée par l’assistant d’installation de Windows à l’issue de la passe windowsPE.  Elle permet d’appliquer des modifications à l’image WIM copiée sur la destination avant qu’elle ne soit décompressée  sur le poste cible et que ce dernier ne redémarre.  Parmi les modifications possibles, on peut noter l’ajout de packs de langue, l’application de patchs Microsoft Update  (fichiers .msu), l’inclusion de pilotes de périphériques ou l’ajout de packages particuliers (hors catalogue standard de  l’image WIM déployée). 

© ENI Editions - All rigths reserved - Kaiss Tag

78

- 1-

3. generalize  La  passe  generalize  est  exécutée  par  l’utilitaire  Sysprep  lorsqu’il  est  appelé  avec  le  paramètre  /generalize,  ou  lorsque le composant Microsoft­Windows­Deployment / Generalize est configuré.  Cette étape supprime de l’installation actuelle les informations spécifiques à l’ordinateur, rendant ainsi possible une  duplication  de  l’image  de  cette  installation  vers  d’autres  postes.  Les  informations  supprimées  sont  notamment  l’identifiant de sécurité unique du poste (SID) et les pilotes de périphériques particuliers (sauf instruction contraire). 

4. specialize  La spécialisation du poste a lieu lors du premier démarrage après un déploiement, ou lors du redémarrage suivant  l’usage de Sysprep avec le paramètre /generalize.  Cette  procédure  recrée  le  SID  du  poste,  effectue  la  détection  Plug’n  Play  du  matériel,  configure  les  composants  de  Windows, les paramètres régionaux et procède à l’adhésion au domaine. 

5. auditSystem et auditUser  Optionnelle,  la  procédure  d’audit  a  lieu  lorsque  le  paramètre  /audit  est  passé  en  argument  de  Sysprep.exe,  ou  lorsque la valeur du paramètre Reseal du composant Microsoft­Windows­Deployment est positionnée sur le mode  audit.  Elle  se  compose  de  deux  étapes,  une  première  nommée  auditSystem,  précédant  l’ouverture  de  session  Windows, et la seconde, auditUser, dès qu’un utilisateur s’est identifié avec succès.  L’audit permet essentiellement d’effectuer un test de l’installation avant de capturer l’image du poste ou de délivrer  ce poste à l’utilisateur. L’ajout de pilotes de périphériques est également possible durant la passe auditSystem. 

6. oobeSystem  Etape finale d’une installation,  oobeSystem procède à la configuration des ultimes paramètres de la machine avant  qu’un utilisateur n’ouvre de session : paramètres régionaux, définition des options de l’environnement et du bureau,  création de comptes locaux.  L’Out­of­Box­Experience  (OOBE)  est  exécutée  lorsque  la  valeur  du  paramètre  Reseal  du  composant  Microsoft­ Windows­Deployment  est  positionnée  sur  le  mode  OOBE,  ou  que  le  paramètre  /OOBE  a  été  utilisé  avec  Sysprep.exe. 

- 2-

© ENI Editions - All rigths reserved - Kaiss Tag

79

Assistant Gestion d’Installation  Élément  essentiel  de  WAIK,  l’Assistant  Gestion  d’Installation  (Windows  System  Image  Manager,  WSIM  en  anglais)  permet de réaliser facilement des fichiers de réponses pour des installations automatisées.  Les systèmes d’exploitation pris en charge dans la version fournie avec le kit WAIK 2 sont Windows Vista, Windows 7,  Windows Server 2008 et Windows Server 2008 R2. 

1. Catalogue, composants et packages  La  première  étape  lorsque  vous  travaillez  avec  WSIM  est  de  lui  indiquer  les  composants  que  vous  souhaitez  paramétrer dans votre fichier de réponses. Cette liste de composants peut être soit créée dynamiquement par WSIM  à partir d’un fichier .WIM, soit directement chargée depuis un fichier de catalogue .CLG.  Attention, la construction dynamique d’un catalogue depuis une image WIM nécessite des droits d’administrateur sur  le poste et peut prendre plusieurs minutes, selon la taille du fichier WIM et le nombre d’images qu’il comporte.  Seul WSIM 32 bits est capable de générer des catalogues pour les images 32 bits et 64 bits. WSIM 64 bits ne  génère de catalogues que pour les images 64 bits.  Pour ouvrir un catalogue :  ■

Dans le menu Démarrer, groupe Microsoft Windows AIK, cliquez sur Gestionnaire d’images système Windows. 

■

Dans le menu Fichier, cliquez sur Sélectionner l’image Windows.  Sélectionnez  le  catalogue  de  l’édition  de  Windows  pour  laquelle  vous  souhaitez  créer  un  fichier  de  réponses  (fichier .CLG). 

■

Cliquez sur Ouvrir. 

■

La console WSIM affiche en bas à gauche, dans le cadre Image Windows, la liste des composants et des packages  de ce catalogue.  Les composants et les packages sont nommés selon la nomenclature suivante :  [plateforme]_[nom]_[version]_[culture] Plateforme  :  désigne  l’architecture  du  processeur  pour  laquelle  l’élément  est  prévu,  x86  pour  les  architectures  32  bits, et amd64 pour les architectures 64 bits.  Nom : est le nom de l’élément.  Version  :  indique  la  version  du  système  d’exploitation  pour  lequel  l’élément  est  prévu  (6.0  pour  Windows  Vista  et  Server 2008, 6.1 pour Windows 7 et Server 2008 R2).  Culture : porte la valeur neutral lorsque l’élément n’est pas lié à la culture du système d’exploitation, ou porte une  valeur de la forme langue­pays, en­US pour l’Anglais des États­Unis par exemple, lorsque l’élément est prévu pour une  culture particulière. 

a. Composants  Les  composants  sont  des  aspects  de  la  configuration  d’une  installation  Windows,  tels  que  les  paramètres  régionaux,  le  client  DNS  ou  encore  la  barre  de  gadgets  (Windows  Sidebar).  Chaque  édition  de  Windows  dispose  d’un catalogue particulier parce qu’une  fonctionnalité  n’est pas nécessairement présente dans toutes les éditions.  Le  composant  x86_Microsoft­Windows­ehome­reg­inf  n’est  ainsi  pas  activé  dans  le  catalogue  de  l’édition  familiale basique (bien que présent dans la liste) parce que la fonctionnalité n’est pas disponible pour l’utilisateur de  cette version de Windows.  Pour configurer un composant dans le fichier de réponses :  ■

Dans le cadre Image Windows, développez la branche Components. 

© ENI Editions - All rigths reserved - Kaiss Tag

80

- 1-

■

Faites un clic droit sur le composant à configurer. 

Ajout d’un composant à une passe 

- 2-

■

Cliquez sur la passe pour laquelle vous souhaitez ajouter le composant. 

■

Sélectionnez le composant ajouté dans le cadre Fichier de réponses. 

■

Configurez ses propriétés ou ajoutez des sous­nœ uds. 

© ENI Editions - All rigths reserved - Kaiss Tag

81

Configuration d’un composant dans une passe  Faire ici la liste exhaustive des composants de Windows 7 serait laborieux et pour le moins inintéressant, d’autant  que l’aide intégrée de WSIM vous propose une description de chacun d’eux. Pour accéder à cette aide, sélectionnez  un composant dans le cadre Image Windows et appuyez sur [F1]. 

b. Packages  Les packages du catalogue permettent d’activer ou de désactiver des fonctionnalités de Windows, comme les jeux,  la couche SNMP ou le serveur Web IIS. Là encore, certaines fonctionnalités ne sont disponibles que pour certaines  éditions de Windows.  Le  package  x86_Microsoft­Windows­Foundation­Package  est  le  package  permettant  d’activer  ou  de  désactiver les fonctionnalités majeures de Windows.  Pour configurer un package dans le fichier de réponses :  ■

Dans le cadre Image Windows, développez la branche Packages. 

■

Faites un clic droit sur le package à ajouter. 

© ENI Editions - All rigths reserved - Kaiss Tag

82

- 3-

Ajout d’un package 

- 4-

■

Cliquez sur Ajouter au fichier de réponses. 

■

Sélectionnez dans le cadre Fichier de réponses le package ajouté. 

■

Configurez ses propriétés. 

© ENI Editions - All rigths reserved - Kaiss Tag

83

Configuration d’un package 

2. Création d’un fichier de réponses pour le client de déploiement  Pour créer un fichier de réponses utilisable avec le client de déploiement :  ■

Dans le menu Démarrer, groupe Microsoft Windows AIK, cliquez sur Gestionnaire d’images système Windows. 

■

Sélectionnez l’image WIM ou le catalogue de l’édition de n’importe quelle édition de Windows. 

■

Cliquez sur Ouvrir. 

■

Dans le menu Fichier, cliquez sur Nouveau fichier de réponses. 

Un  nouveau  fichier  de  réponses,  nommé  Untitled,  est  créé  dans  le  cadre  Fichier  de  réponses  et  les  sept  passes  d’une installation sont créées sous le nœ ud Components. Le fichier de réponses est prêt à recevoir des composants  et des packages. Il devra être enregistré sur le serveur WDS lorsque toutes les modifications auront été effectuées,  et  activé  pour  les  architectures  prises  en  charge.  Pour  plus  d’informations  sur  la  configuration  du  serveur  WDS,  consultez le chapitre Windows Deployment Services ­ Automatisation du client de déploiement WDS.  Le client de déploiement se basant sur Windows PE, seule la phase windowsPE du fichier de réponses sera  utilisée. 

a. Microsoft­Windows­Setup  Il  s’agit  du  composant  principal  utilisé  par  le  client  de  déploiement  ainsi  que  par  l’assistant  d’installation  de  Windows. Il permet de choisir l’image à installer, de configurer les disques, le nom et l’organisation du poste, etc.  ■

Ajoutez ce composant à la passe windowsPE. 

■

Faites un clic droit sur DiskConfiguration et sélectionnez Insérer un nouvel élément "Disk". 

■

■

■

Un  sous­nœ ud  Disk  est  apparu,  sélectionnez­le,  positionnez  sa  propriété  DiskID  à  0  et  sa  propriété  WillWipeDisk à true.  Faites un clic droit sur CreatePartitions et sélectionnez Insérer un nouvel élément "CreatePartition".  Un sous­nœ ud CreatePartition est apparu, sélectionnez­le, positionnez ses propriétés Primary à true, Order à  1 et Type à Extended. 

■

Dans le nœ ud ImageInstall/OSImage, configurez la propriété InstallToAvailablePartition à true. 

■

Sélectionnez le noeud WindowsDeploymentServices. 

■

■

Dans  le  sous­nœ ud ImageSelection/InstallImage, configurez les propriétés  ImageGroup et  ImageName avec  le nom du groupe d’images que vous avez créé sur le serveur WDS et le nom affiché de l’image WIM à installer  (ex : Windows 7 ULTIMATE).  Dans le sous­nœ ud Login/Credentials, complétez les champs Domain, Password et Username avec un compte  utilisateur autorisé à accéder au répertoire des images WIM. 

Vous  venez  d’indiquer  à  l’assistant  d’installation  l’image  à  installer  ainsi  que  le  moyen  d’y  accéder,  d’effacer  le  disque,  de  créer  une  seule  partition  primaire  occupant  tout  l’espace  disponible  et  d’installer  le  système  d’exploitation sur cette partition. 

b. Microsoft­Windows­International­Core­WinPE  © ENI Editions - All rigths reserved - Kaiss Tag

84

- 5-

Ce  composant  permet  de  définir  les  options  régionales  utilisées  pendant  l’assistant  du  client  de  déploiement  (clavier, paramètres régionaux, langue de l’interface).  ■

Ajoutez ce composant à la passe windowsPE. 

■

Configurez ses propriétés InputLocale et UserLocale à fr­FR, et la propriété UILanguage à en­US. 

■

Dans le sous­nœ ud SetupUILanguage, configurez la propriété UILanguage à en­US. 

Ces  propriétés  définissent  les  paramètres  régionaux  et  la  langue  du  clavier,  ainsi  que  la  langue  de  l’assistant du  client de déploiement. Dans la mesure où vous être en train de créer un fichier d’automatisation de cet assistant,  cela n’aura que peu de conséquences puisqu’il n’y aura aucune saisie au clavier, mais évite tout de même que celui­ ci vous pose la question.  Pour indiquer au serveur WDS d’utiliser ce fichier de réponses :  ■

Enregistrez ce fichier dans le répertoire WdsClientUnattend du répertoire de distribution sur le serveur WDS. 

■

Ouvrez la console WDS. 

■

Affichez les propriétés du serveur WDS, onglet Client. 

■

Cochez la case Activer l’installation sans assistance. 

■

Sélectionnez le fichier de réponses créé pour les architectures x86 et x64. 

■

Cliquez sur OK. 

Le  client  de  déploiement  WDS  s’exécute  désormais  automatiquement  sans  poser  de  question.  Nous  allons  à  présent voir comment automatiser l’installation du système d’exploitation en lui­même. 

3. Création d’un fichier de réponses pour une installation automatisée  Pour créer un fichier de réponses afin d’automatiser l’installation de Windows 7 :  ■

Dans le menu Démarrer, groupe Microsoft Windows AIK, cliquez sur Gestionnaire d’images système Windows. 

■

Sélectionnez l’image WIM ou le catalogue de l’édition de Windows 7 que vous souhaitez déployer. 

■

Cliquez sur Ouvrir. 

■

Dans le menu Fichier, cliquez sur Nouveau fichier de réponses. 

Ce fichier devra être enregistré sur le serveur WDS lorsque toutes les modifications auront été effectuées, et activé  pour  chaque  image  avec  laquelle  vous  souhaitez  l’utiliser.  Pour  plus  d’informations  sur  la  configuration  du  serveur  WDS, consultez le chapitre Windows Deployment Services ­ Automatisation de l’installation du système d’exploitation. 

a. Composants de la passe offlineServicing  Microsoft­Windows­PnpCustomizationsNonWinPE Ce composant, uniquement disponible pour la phase offlineServicing, permet d’indiquer à l’assistant d’installation  des répertoires locaux ou ceux du réseau dans lesquels chercher les pilotes de périphériques, pour le matériel ne  disposant pas d’un support natif de la part de Windows 7.  Pour indiquer à l’assistant un dossier réseau dans lequel rechercher des pilotes :  ■

- 6-

Créez un répertoire sur le serveur WDS et partagez­le sur le réseau.  © ENI Editions - All rigths reserved - Kaiss Tag

85

■

Déposez les pilotes de périphériques dans ce répertoire. 

■

Ajoutez ce composant à la passe offlineServicing. 

■

Faites un clic droit sur le nœ ud DriverPaths et sélectionnez Insérer un nouvel élément "PathAndCredentials". 

■

■

■

Complétez la propriété Path du sous­nœ ud ainsi créé et donnez une valeur arbitraire unique (drv1 par exemple)  à la propriété Key.  Sélectionnez le sous­nœ ud Credentials.  Complétez les informations d’identification nécessaires pour accéder au partage réseau contenant les pilotes de  périphériques. 

Microsoft­Windows­LUA­Settings Ce composant permet de configurer l’état du contrôle de compte utilisateur (User Access Control ou UAC, en anglais).  Ce  contrôle  avertit  l’utilisateur  lorsqu’une  opération  nécessitant  des  droits  élevés  est  tentée.  Bien  que  pouvant  paraître  gênante  au  premier  abord,  cette  fonctionnalité  est  une  avancée  majeure  dans  la  sécurité  du  poste  de  travail et a été grandement améliorée depuis son apparition sur Windows Vista.  Si vous souhaitez malgré tout désactiver le contrôle de compte utilisateur :  ■

Ajoutez ce composant à la passe offlineServicing. 

■

Configurez sa propriété EnableLUA à false. 

b. Composants de la passe specialize  Microsoft­Windows­IE­InternetExplorer Ce  composant  est  extrêmement  vaste  et  permet  de  configurer  la  plupart  des  paramètres  du  navigateur  Internet  Explorer : page de démarrage, titre, activation des accélérateurs, du bloqueur de fenêtres intempestives, etc.  Pour configurer la page d’accueil du navigateur :  ■

■

Ajoutez ce composant à la passe specialize.  Configurez la propriété Home_Page avec l’adresse de la page d’accueil que vous souhaitez proposer par défaut  aux utilisateurs. 

Microsoft­Windows­Shell­Setup Ce  composant  est  nécessaire  dans  cette  passe  pour  fournir  au  minimum  la  clé  de  produit  de  votre  licence  à  l’assistant.  ■

Ajoutez ce composant à la passe specialize. 

■

Indiquez la clé de produit de votre licence Windows dans la propriété ProductKey (avec les tirets). 

■

Modifiez  la  valeur  de  la  propriété  ComputerName  en  *  (étoile)  pour  générer  un  nom  aléatoire  à  chaque  déploiement. 

Microsoft­Windows­UnattendedJoin Lors  de  l’utilisation  d’un  serveur  WDS,  la  création  d’un  compte  d’ordinateur  et  la  jonction  au  domaine  sont  normalement  prises  en  charge  par  le  serveur  WDS.  Néanmoins,  si  cette  fonctionnalité  a  été  désactivée  sur  le  serveur, il est possible d’effectuer cette jonction au domaine lors de la passe specialize. 

© ENI Editions - All rigths reserved - Kaiss Tag

86

- 7-

■

■

■

Ajoutez ce composant à la passe specialize.  Dans  le  sous­nœ ud  Identification,  renseignez  la  propriété  JoinDomain  avec  le  nom  DNS  du  domaine  Active  Directory  à  rejoindre,  et  éventuellement  la  propriété  MachineObjectOU  avec  le  chemin  LDAP  de  l’unité  organisationnelle où créer le compte de machine.  Dans le sous­nœ ud Credentials, fournissez les informations d’identification d’un utilisateur du domaine habilité à  joindre des stations au domaine. 

c. Composants de la passe oobeSystem  Microsoft­Windows­International­Core Ce composant permet de fournir des réponses au premier écran de l’assistant d’installation, qui vous demande le  pays ou la région, le format de date et d’heure ainsi que la disposition de clavier.  Pour configurer les paramètres régionaux :  ■

Ajoutez ce composant à la passe oobeSystem. 

■

Configurez la propriété InputLocale avec la culture du clavier utilisé (fr­FR par exemple). 

■

■

■

Configurez  la  propriété  SystemLocale  avec  la  culture  à  utiliser  pour  les  programmes  non­Unicode  (en­US  par  exemple).  Configurez la propriété UILanguage avec la culture à utiliser pour l’interface de Windows (cette culture doit être  présente sous la forme d’un pack de langue dans l’image WIM).  Configurez la propriété  UserLocale avec la culture correspondant aux paramètres de date et d’heure que vous  souhaitez utiliser. 

Microsoft­Windows­Shell­Setup Ce  composant  permet  de  configurer  les  paramètres  de  sécurité  du  poste  (mises  à  jour  automatiques,  type  de  réseau sur lequel le poste est connecté) ainsi que de gérer les comptes locaux.  ■

■

■

■

■

Ajoutez ce composant à la passe oobeSystem.  Configurez  les  propriétés  RegisteredOrganization  et  RegisteredOwner  avec  le  nom  de  votre  société  et  de  l’utilisateur.  Configurez  la  propriété  TimeZone  avec  le  nom  du  fuseau  horaire  souhaité  (Romance  Standard  Time  pour  la  France).  Dans le sous­nœ ud OOBE, configurez la propriété NetworkLocation à Work et la propriété ProtectYourPC à 1  (paramètres recommandés de Windows Update).  Faites  un  clic  droit  sur  le  nœ ud  UserAccounts/LocalAccounts  et  cliquez  sur  Insérer  un  nouvel  élément  "LocalAccount". 

■

Sélectionnez le nouveau nœ ud LocalAccount et complétez les propriétés Name et DisplayName. 

■

Renseignez la propriété Group avec la valeur Administrators. 

■

Sélectionnez le sous­nœ ud Password et indiquez le mot de passe du compte à créer. 

d. Packages  Les packages permettent d’activer ou de désactiver des fonctionnalités de Windows, ainsi que d’ajouter des prises  - 8-

© ENI Editions - All rigths reserved - Kaiss Tag

87

en charge linguistiques.  Microsoft­Windows­Foundation­Package Les  fonctionnalités  de  ce  package  sont  celles  présentées  par  l’utilitaire  graphique  Activer  ou  désactiver  des  fonctionnalités Windows (accessoires, services Unix, etc.).  ■

Ajoutez ce package au fichier de réponses. 

■

Configurez la propriété InboxGames à Disabled pour désactiver les jeux. 

■

Configurez la propriété TelnetClient à Enabled pour installer le client Telnet. 

© ENI Editions - All rigths reserved - Kaiss Tag

88

- 9-

Gestion et maintenance des images de déploiement  L’arrivée du WAIK de Windows 7 a également été celle d’un nouvel utilitaire de gestion des images WIM en ligne de  commande, nommé DISM (Deployment Image Servicing and Management). Remplaçant du Package Manager, de PEimg et  de intlcfg, il regroupe toutes les opérations de gestion en ligne et hors ligne possibles sur une image WIM : gestion  des modules linguistiques, des paramètres régionaux, des composants Windows, des pilotes de périphériques, etc.  L’utilitaire DISM doit être exécuté avec des droits élevés. Pour cela, faites un clic­droit sur Invite de commande  des outils de déploiement dans le groupe d’icônes Microsoft Windows WAIK et cliquez sur Exécuter en tant  qu’administrateur. 

1. Manipulations de base avec DISM  Une des premières tâches de la gestion d’images WIM consiste à monter une image WIM pour la modifier. "Monter  une image WIM" signifie rendre accessible le contenu de cette image via un répertoire local de la machine sur laquelle  l’image  est  montée.  Une  fois  montée,  le  contenu  de  l’image  peut  être  modifié  et  conservé  lors  du  démontage.  Cependant, un fichier .WIM pouvant contenir plusieurs images de systèmes d’exploitation, il est souvent nécessaire  de dresser auparavant la liste des systèmes contenus dans ce fichier pour monter la bonne image.  Lister des images contenues dans un fichier WIM La  commande /Get-WimInfo  affiche  le  nom,  la  description,  la  taille  et  le  numéro  d’index  de  chaque  image  contenue  dans le fichier WIM spécifié avec le paramètre /WimFile.  Syntaxe :  Dism.exe /Get-WimInfo /WimFile: Inventaire des images du média de Windows 7 Ultimate :  C:\>dism.exe /get-wiminfo /wimfile:f:\sources\install.wim Outil Gestion et Maintenance des images de déploiement Version: 6.1.7600.16385 Détails pour l’image : f:\sources\install.wim Index : 1 Nom : Windows 7 STARTER Description : Windows 7 STARTER Taille : 7 936 340 784 octets Index : 2 Nom : Windows 7 HOMEBASIC Description : Windows 7 HOMEBASIC Taille : 7 992 394 907 octets Index : 3 Nom : Windows 7 HOMEPREMIUM Description : Windows 7 HOMEPREMIUM Taille : 8 432 859 356 octets Index : 4 Nom : Windows 7 PROFESSIONAL Description : Windows 7 PROFESSIONAL Taille : 8 313 318 889 octets Index : 5 Nom : Windows 7 ULTIMATE Description : Windows 7 ULTIMATE Taille : 8 471 060 645 octets

© ENI Editions - All rigths reserved - Kaiss Tag

89

- 1-

L’opération a réussi.

Monter une image WIM La  commande  /Mount-Wim  monte  le  fichier  WIM  spécifié  dans  le  répertoire  indiqué  par  le  paramètre  /MountDir.  Le  paramètre /Name ou le paramètre /Index doit être fourni pour indiquer, respectivement, le nom ou le numéro d’index  de l’image à monter (un fichier WIM pouvant contenir plusieurs images).  Le  paramètre  optionnel  /ReadOnly  permet  de  ne  monter  l’image  qu’en  lecture,  afin  d’éviter  toute  modification  involontaire. Ce paramètre est obligatoire si vous montez l’image WIM directement depuis un DVD ou un autre média  en lecture seule.  Syntaxe :  Dism.exe /Mount-Wim /WimFile: /MountDir: {/Name:|/Index:} [/ReadOnly] Montage de l’image WIM de Windows 7 Professionnel depuis le média de Windows Ultimate :  C:\>mkdir c:\mount C:\>dism.exe /mount-wim /wimfile:f:\sources\install.wim /Name:"Windows7 PROFESSIONAL" /MountDir:c:\mount/ReadOnly Outil Gestion et Maintenance des images de déploiement Version: 6.1.7600.16385 Montage de l’image [==========================100.0%==========================] L’opération a réussi. Démonter une image WIM La  commande  /Unmount-Wim  démonte  le  fichier  WIM  monté  dans  le  répertoire  spécifié.  Le  paramètre  /Commit  ou /Discard  doit  être  précisé  pour  indiquer  à  DISM  d’enregistrer les modifications (sauf si l’image  a  été  montée  en  lecture seule avec le paramètre /ReadOnly) ou de les abandonner.  Syntaxe :  Dism.exe /Unmount-Wim /MountDir: {/Commit|/Discard} Démontage de l’image WIM montée et abandon des modifications :  C:\>dism.exe /Unmount-Wim /MountDir:c:\mount /Discard Inventaire des images WIM montées La  commande  /Get-MountedWimInfo  affiche  la  liste  de  toutes  les  images  WIM  montées  sur  le  poste  de  travail,  leur  statut ainsi qu’un indicateur sur la possibilité d’écriture sur celles­ci.  Syntaxe :  Dism.exe /Get-MountedWimInfo Inventaire des images WIM montées :  C:\>dism.exe /get-mountedwiminfo Outil Gestion et Maintenance des images de déploiement Version: 6.1.7600.16385

- 2-

© ENI Editions - All rigths reserved - Kaiss Tag

90

Images montées : Répertoire de montage : d:\mount Fichier image : d:\sources_win7\sources\install.wim Index de l’image : 1 Lecture/écriture montée : Yes Etat : Ok L’opération a réussi.

2. Intégration de packs de langue  Les entreprises implantées dans plusieurs pays doivent faire face au problème des différentes langues et cultures en  leur sein. Les difficultés liées à cette multiculturalité se ressentent également au sein des services informatiques, qui  doivent  assurer  la  même  qualité  de  service  à  chacun,  quelle  que  soit  sa  langue.  La  prise  en  charge  de  plusieurs  langues au sein d’une même image d’installation permet d’assurer une cohérence du parc, tout en tenant compte des  spécificités régionales.  L’exemple présenté ici concerne l’ajout du pack de langue Français aux sources d’une installation d’origine anglaise,  pour plate­forme 32 bits (architecture x86).  L’ajout  de  modules  linguistiques  à  l’assistant  d’installation  nécessite  le  média  de  Windows  Automated  Installation Kit pour Windows 7. 

a. Copie des sources  La  première  étape  consiste  à  rendre  disponibles  (et  modifiables)  les  sources  de  l’installation  de  Windows  7.  Pour  cela :  ■

Insérez le média d’installation de Windows 7. 

■

Copiez tout le contenu du média d’installation vers un répertoire c:\win7. 

xcopy d: c:\win7 /cheriky

■

Créez un répertoire où monter les images WIM (c:\mount par exemple). 

mkdir c:\mount

b. Intégration de packs de langue à l’assistant d’installation  Le fichier boot.wim utilisé pour installer Windows 7 contient deux images WIM, le pack de langue doit être ajouté  pour chacune d’entre elles.  ■

Exécutez l’Invite de commande des outils de déploiement en tant qu’administrateur. 

■

Montez l’image n°1 du fichier boot.wim dans le répertoire c:\mount. 

Dism.exe /mount-wim /wimfile:c:\win7\sources\boot.wim /mountdir:c:\mount /index:1

■

■

Insérez le média d’installation de WAIK pour Windows 7.  Ajoutez  le  package  Français  de  Windows  PE  à  l’image  montée  (celui­ci  se  trouve  sur  le  média  d’installation  de  WAIK). 

© ENI Editions - All rigths reserved - Kaiss Tag

91

- 3-

Dism.exe /Image:c:\mount /Add-Package /PackagePath:d:\WinPE_LangPacks\x86\fr-fr\lp.cab

■

Mettez à jour le fichier lang.ini pour prendre en compte le pack de langue ajouté. 

Dism.exe /Image:c:\mount /Gen-LangINI /distribution:c:\mount

■

Démontez l’image en enregistrant les modifications. 

Dism.exe /Unmount-wim /MountDir:c:\mount /Commit

■

Montez l’image n°2 du fichier boot.wim dans le répertoire c:\mount. 

Dism.exe /mount-wim /wimfile:c:\win7\sources\boot.wim /mountdir:c:\mount /index:2

■

Ajoutez  le  package  Français  de  Windows  PE  à  l’image  montée  (celui­ci  se  trouve  sur  le  média  d’installation  de  WAIK).  Dism.exe /Image:c:\mount /Add-Package /PackagePath:d:\WinPE_LangPacks\x86\fr-fr\lp.cab

■

Ajoutez  le  package  Français  de  l’installation  Windows  PE  à  l’image  montée  (celui­ci  se  trouve  sur  le  média  d’installation de WAIK).  Dism.exe /Image:c:\mount /Add-Package /PackagePath:d:\WinPE_LangPacks\x86\fr-fr\winpe-setup_fr-fr.cab

■

Ajoutez  le  package  Client  Français  de  l’installation  de  Windows  PE  à  l’image  montée  (celui­ci  se  trouve  sur  le  média d’installation de WAIK).  Dism.exe /Image:c:\mount /Add-Package /PackagePath:d:\WinPE_LangPacks\x86\fr-fr\winpe-setup-client_fr-fr.cab

■

Mettez à jour le fichier lang.ini pour prendre en compte le pack de langue ajouté. 

Dism.exe /Image:c:\mount /Gen-LangINI /distribution:c:\mount

■

Démontez l’image en enregistrant les modifications. 

Dism.exe /Unmount-wim /MountDir:c:\mount /Commit L’image  boot.wim  inclut  désormais  les  langues  anglaise  et  française,  comme  le  montre  le  choix  proposé  lors  de  l’amorçage sur celle­ci : 

- 4-

© ENI Editions - All rigths reserved - Kaiss Tag

92

Choix de la langue de l’assistant d’installation 

c. Intégration de packs de langue au système d’exploitation  L’ajout  d’un  pack  de  langue  pour  le  système  d’exploitation  peut  se  faire  à  deux  niveaux  :  soit  en  copiant  le  répertoire  du  pack  de  langue  dans  l’arborescence  du  serveur  WDS,  soit  en  intégrant  le  pack  directement  dans  l’image WIM.  Intégration au serveur WDS L’exemple  traité  ici  montre  comment  ajouter  le  pack  français  à  une  image  WIM  anglaise  déjà  présente  sur  un  serveur WDS.  ■

■

Insérez le média contenant le pack de langue Français pour le système d’exploitation Windows 7.  Créez  un  répertoire  portant  le  nom  de  l’image  dans  le  dossier  \RemoteInstall\Images\[nom  du  groupe  d’images] du serveur WDS (ex : d:\RemoteInstall\Windows 7\install si l’image WIM se nomme install.wim et  se trouve dans le groupe d’images Windows 7). 

■

Créez un répertoire langpacks sous le répertoire portant le nom de l’image. 

■

Copiez le répertoire du pack de langue vers le répertoire \RemoteInstall\Windows 7\install\langpacks. 

Le fichier lp.cab du pack de langue Français se trouve alors dans le répertoire \RemoteInstall\Images\Windows 7 \install\langpacks\fr­fr.  L’image  prend  désormais  en  charge  le  français  et  l’anglais  comme  langue  du  système  d’exploitation cible.  Intégration à l’image WIM La procédure suivante permet d’intégrer le pack Français à l’image n°1 d’un fichier install.wim, avant que celle­ci ne  soit ajoutée à un serveur WDS ou utilisée depuis un média amovible.  ■

Exécutez l’Invite de commande des outils de déploiement en tant qu’administrateur. 

© ENI Editions - All rigths reserved - Kaiss Tag

93

- 5-

■

Montez l’image du fichier boot.wim dans le répertoire c:\mount. 

Dism.exe /mount-wim /wimfile:c:\win7\sources\boot.wim /mountdir:c:\mount /index:1

■

Ajoutez  le  pack  de  langue  Français  pour  Windows  7  à  l’image  montée  depuis  le  média  contenant  les  packs  de  langues pour Windows 7.  Dism.exe /image:c:\mount /add-package /packagepath:d:\lp\fr-fr\lp.cab

■

Mettez à jour le fichier lang.ini pour prendre en compte le pack de langue ajouté en utilisant la commande /GenLangINI. 

Dism.exe /Image:c:\mount /Gen-LangINI /distribution:c:\win7

■

Démontez l’image en enregistrant les modifications. 

Dism.exe /Unmount-wim /MountDir:c:\mount /Commit L’image WIM rendue ainsi multilingue est prête à être ajoutée à un serveur WDS ou utilisée sur un média amovible. 

Choix de langue lors de la sélection du système à installer 

3. Ajout de pilotes  L’ajout  de  pilotes  de  périphériques  à  une  image  WIM  permet  de  prendre  en  charge  de  nouveaux  matériels  lors  de  l’installation (dans le cas d’une image de démarrage telle que boot.wim) ou dans le système d’exploitation installé.  La procédure ci­dessous montre comment intégrer le pilote pour souris Microsoft Intellipro à une image d’installation  de Windows 7 Entreprise. 

- 6-

© ENI Editions - All rigths reserved - Kaiss Tag

94

■

■

■

Téléchargez  le  pilote  Microsoft  IntelliPro  depuis  le  site  Microsoft  dédié  au  support  et  enregistrez­le  dans  un  répertoire temporaire.  Exécutez l’Invite de commande des outils de déploiement en tant qu’administrateur.  Décompressez dans un répertoire temporaire (c:\temp\intellipro par exemple) le fichier .exe téléchargé, à l’aide du  paramètre /x.  IPx86_1036_7.00.260.0 /x

■

Montez l’image du fichier install.wim dans le répertoire c:\mount. 

Dism.exe /mount-wim /wimfile:c:\win7\sources\install.wim /mountdir:c:\mount /index:1

■

Ajoutez  l’ensemble  des  pilotes  de  l’arborescence  à  l’image  montée  avec  la  commande  /Add-Driver  et  les  paramètres /Driver et /Recurse.  Dism.exe /image:c:\mount /add-driver / Driver:c:\temp\intellipro\ipoint\setup\files\driver /Recurse

■

Vérifiez la présence des pilotes que vous venez d’ajouter en passant la commande /Get-Drivers. 

Dism /image:c:\mount /Get-Drivers

■

Démontez l’image en enregistrant les modifications. 

Dism.exe /Unmount-wim /MountDir:c:\mount /Commit

Le  paramètre  /Recurse  indique  à  DISM  de  parcourir  l’ensemble  de  la  structure  de  répertoire  spécifiée  à  la  recherche de fichiers descriptifs de pilotes INF. 

Le paramètre /ForceUnsigned permet l’ajout de pilotes non signés à une image 64 bits, dont la stratégie est  par défaut de refuser l’ajout de tels pilotes. 

4. Ajout de mises à jour ou de fonctionnalités  L’ajout de mises à jour directement dans une image répond à deux objectifs : le gain de temps lors du déploiement et  la  sécurisation  de  l’installation  dès  les  premières  étapes.  L’ajout  de  fonctionnalités  permet  d’enrichir  l’installation  d’éléments non inclus par l’éditeur, lors de la sortie du système d’exploitation, ou venant d’autres éditeurs.  Seules les mises à jour du type Microsoft Update (fichiers .msu) et les packages Cabinet (fichiers .cab) peuvent être  inclus hors ligne via les utilitaires de gestion des images.  L’exemple  présenté  ici  ajoute  le  package  de  Windows  Virtual  PC  à  une  image  WIM  de  Windows  7  Entreprise,  permettant ainsi de bénéficier de la virtualisation d’applications non compatibles avec Windows 7.  ■

Exécutez l’Invite de commande des outils de déploiement en tant qu’administrateur. 

■

Montez l’image WIM à mettre à jour dans le répertoire c:\mount. 

Dism.exe /mount-wim /wimfile:c:\win7\sources\install.wim /mountdir:c:\mount /index:1

© ENI Editions - All rigths reserved - Kaiss Tag

95

- 7-

■

Ajoutez le package de Windows Virtual PC à l’image WIM montée à l’aide de la commande /Add-Package. 

Dism.exe /Image:c:\mount /Add-Package /PackagePath:c:\temp\ Windows6.1-KB958559-x86.msu

■

Vérifiez la présence du package que vous venez d’ajouter grâce à la commande /Get-Packages. 

Dism /image:c:\mount /Get-Packages

■

Démontez l’image en enregistrant les modifications. 

Dism.exe /Unmount-wim /MountDir:c:\mount /Commit

- 8-

© ENI Editions - All rigths reserved - Kaiss Tag

96

Résumé  Ce chapitre vous a présenté l’utilisation des outils principaux du WAIK, ceux que vous aurez probablement à manipuler  lors de vos déploiements. Nous avons ainsi vu comment automatiser le client de déploiement WDS et les installations  de Windows, en fournissant des fichiers de réponses, et modifier les images d’amorçage et d’installation pour prendre  en charge de nouvelles fonctionnalités.  Cependant,  même  à  l’aide  de  l’Assistant  Gestion  d’installation  ou  de  l’outil  Gestion  et  Maintenance  des  Images  de  Déploiement,  vous  avez  constaté  que  le  processus  d’installation  manquait  de  fluidité  et  de  flexibilité  :  les  fichiers  doivent être créés de toutes pièces, les langues intégrées à la main, tout comme les pilotes de périphériques, etc.  Pour remédier à cela, un outil complémentaire indispensable à WAIK 2 existe : le Microsoft Deployment Toolkit 2010,  dont le chapitre suivant vous propose l’étude. 

© ENI Editions - All rigths reserved - Kaiss Tag

97

- 1-

Présentation du kit et installation  Microsoft Deployment Toolkit (MDT) est une pièce maîtresse, dans la solution proposée par Microsoft, pour déployer ses  systèmes d’exploitation en entreprise. Utilisé seul, il permet d’effectuer des déploiements quasi­automatiques appelés  LTI  (Lite  Touch  Installation),  tandis  qu’intégré  au  sein  de  System  Center  Configuration  Manager,  il  déploie  tout  son  potentiel en permettant des déploiements entièrement automatisés, on parle alors de ZTI (Zero Touch Installation).  Cet environnement nécessite la présence locale du kit WAIK, dont il utilise les outils de manipulation des images WIM  et de personnalisation de Windows PE pour créer les images de démarrage spécifiques aux déploiements LTI et ZTI.  À la différence de WDS, étudié précédemment et qui incluait tout le nécessaire pour qu’un poste amorce à travers le  réseau et pour lancer une installation de Windows, MDT ne va mettre à disposition des clients qu’un simple partage de  fichiers et une image d’amorçage qui viendra connecter les clients à ce partage. Ces images d’amorçage WIM produites  par l’environnement MDT devront être mises à disposition des clients via un serveur WDS.  Il  est  également  possible  de  générer  un  média  d’installation  à  partir  d’un  partage  de  déploiement  MDT,  notamment  pour  les  postes  déconnectés  du  réseau  de  l’entreprise  ou  lorsque  les  contraintes  du  réseau  ne  permettent  pas  d’envisager un déploiement via celui­ci.  Dans sa version 2010, MDT supporte les déploiements LTI et ZTI pour les systèmes d’exploitation clients Windows XP  Service Pack 3, Windows Vista Service Pack 1 ou ultérieur et Windows 7. Les environnements serveurs supportés sont  Windows Server 2003 R2, 2008 (tous services packs) et 2008 R2.  Avant d’installer MDT 2010 sur un poste, assurez­vous que celui­ci dispose des pré­requis suivants :  ●

Microsoft Management Console (MMC) 3.0 

●

Microsoft .Net Framework 2.0 ou supérieur 

●

Windows PowerShell 1.0, 2.0 ou supérieur 

●

Windows Automated Installation Kit (WAIK) pour Windows 7 

Si  le  poste  ne  dispose  pas  de  ces  éléments,  vous  pouvez  les  télécharger  sur  le  site  Web  de  Microsoft  (http://www.microsoft.com).  Pour installer Microsoft Deployment Toolkit :  ■

Téléchargez  la  version  de  Microsoft  Deployment  Toolkit  correspondant  à  votre  architecture  depuis  le  site  de  Microsoft, à l’adresse http://technet.microsoft.com/fr­fr/desktopdeployment/default.aspx 

■

Exécutez le fichier MSI téléchargé. 

■

Cliquez sur Next. 

■

Sélectionnez I accept the terms in the license agreement et cliquez sur Next. 

■

Sélectionnez toutes les fonctionnalités et cliquez sur Next. 

■

Cliquez sur Install. 

■

Une fois l’installation terminée, cliquez sur Finish. 

MDT peut être installé sur une autre machine que celle qui hébergera le partage de déploiement tant que vous  disposez des droits NTFS et réseau suffisants pour vous connecter à distance à ce partage.  Une  fois  MDT  installé,  vous  trouverez  dans  le  menu  Démarrer  un  groupe  de  programmes  Microsoft  Deployment  Toolkit, présentant notamment trois icônes importantes :  ●

Deployment Workbench : il s’agit de la console principale de MDT. 

●

Configure ConfigMgr Integration : permet l’intégration à System Center Configuration Manager pour effectuer 

© ENI Editions - All rigths reserved - Kaiss Tag

98

- 1-

des déploiements ZTI.  ●

Remove WDS PXE Filter : permet de supprimer l’ancien filtre pour clients inconnus de MDT 2008. 

Sauf  mention  contraire,  les  explications  et  commentaires  sur  Microsoft  Deployment  Toolkit  données  dans  ce  chapitre peuvent ne pas s’appliquer à d’autres déploiements que celui de Microsoft Windows 7. 

- 2-

© ENI Editions - All rigths reserved - Kaiss Tag

99

La console Deployment Workbench  La console Deployment Workbench présente deux nœ uds principaux : le premier, nommé Information Center, regroupe  des  informations  et  de  la  documentation  sur  l’outil.  Il  permet  également  de  contrôler  la  présence,  sur  le  poste,  d’éléments obligatoires ou facultatifs pour le fonctionnement de MDT. Le second, nommé Deployment Shares, affiche la  liste des points de déploiement et permet d’en créer de nouveaux. 

La console Deployment Workbench 

1. Partages de déploiement  Les  partages  de  déploiement  sont  la  fusion  des  anciens  partages  de  distribution  et  des  points  de  déploiement  qui  existaient sous BDD 2007 et MDT 2008. Ils offrent une plus grande souplesse de gestion, notamment au niveau de la  console qui peut désormais en afficher plusieurs en même temps.  Un partage de déploiement est une arborescence dans laquelle vont être créés ou importés les éléments nécessaires  à un déploiement particulier (systèmes d’exploitation, applications, pilotes de périphériques, mises à jour, etc.) 

a. Créer un partage de déploiement  Pour créer un nouveau partage de déploiement (dans le cas d’un serveur WDS sur lequel est installé MDT) :  ■

Créez un répertoire pour le partage de déploiement sur le serveur WDS (ex : d:\DeploymentShare). 

■

Ouvrez la console Deployment Workbench. 

■

Faites un clic droit sur le nœ ud Deployment Shares et sélectionnez New Deployment Share. 

■

Entrez le chemin du répertoire créé pour le partage de déploiement et cliquez sur Next. 

■

Entrez une description pour ce partage de déploiement. 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

100

- 1-

■

■

■

Cochez  la  case  Ask  if  an  image  should  be  captured  si  vous  souhaitez  proposer  à  l’opérateur  une  capture  de  l’image déployée.  Cliquez sur Next.  Cochez la case si vous souhaitez que l’opérateur puisse configurer le mot de passe de l’administrateur du poste  au moment du déploiement. 

■

Cliquez sur Next. 

■

Cochez la case si vous souhaitez demander une clé de produit lors du déploiement. 

■

Cliquez sur Next. 

■

Vérifiez les paramètres de création du partage de déploiement. 

■

Cliquez sur Next. 

■

Une fois le partage de déploiement créé, cliquez sur Finish. 

Une fois le partage de déploiement créé, celui­ci apparaît automatiquement dans la console Deployment Workbench.  Sachez  qu’il  est  possible  de  créer  des  dossiers  sous  les  nœ uds  Applications,  Operating  Systems,  Out­of­box  drivers, Packages et Task Sequences, de manière à organiser les éléments comme vous le souhaitez. Vous pouvez  ainsi séparer les éléments par système d’exploitation, par environnement (test, recette, production), ou encore par  population ciblée.  Un  autre  avantage  de  l’organisation  par  dossier  consiste  à  pouvoir  désactiver  tous  les  éléments  d’un  dossier  en  désactivant  ce  dossier  lui­même,  rendant  ainsi  son  contenu  inaccessible  pour  les  déploiements.  Les  dossiers  permettent  également  d’affiner  les  profils  de  sélection  (voir  le  paragraphe  consacré  à  ce  sujet).  La  création  de  dossier se fait en sélectionnant l’item  New Folder  du  menu  contextuel  de  chaque  nœ ud ou du menu Action  de  la  console MMC.  Le  bouton  View  Script,  disponible  à  la  fin  de  la  plupart  des  assistants  de  MDT,  permet  de  visualiser  l’équivalent en script PowerShell de la commande qui vient d’être exécutée. 

Arborescence d’un partage de déploiement 

- 2-

© ENI Editions - All rigths reserved - Kaiss Tag

101

b. Propriétés d’un partage de déploiement  L’assistant  de  création  de  partage  de  déploiement  ne  pose  que  les  questions  obligatoires  pour  sa  création,  mais  d’autres propriétés, toutes aussi importantes, peuvent être définies via les pages de propriétés.  Pour afficher les propriétés d’un partage de déploiement :  ■

Ouvrez la console Deployment Workbench. 

■

Déployez le nœ ud Partages de déploiement. 

■

Faites un clic droit sur le partage dont vous souhaitez afficher les propriétés. 

■

Sélectionnez  l’item  Properties  dans  le  menu  contextuel  ou  sélectionnez  Properties  dans  le  menu  Action  de  la  console MMC. 

Onglet General On retrouve, dans cet onglet, les informations fournies lors des trois premiers écrans de l’assistant de création du  point de déploiement ; à savoir la description, le chemin physique et le nom du partage réseau. Le cadre Platforms  Supported permet de préciser quelles sont les architectures prises en charge par ce partage de déploiement, c’est­ à­dire pour lesquelles des images WIM et ISO doivent être créées lors de la mise à jour du partage.  La  dernière  option  permet  de  préciser  le  support  ou  non  des  déploiements  Multicast  avec  Windows  2008  (voir  le  chapitre Windows Deployment Services ­ Déploiements multicast). L’activation de cette option se traduit par l’inclusion  du package "client multicast" dans les images WIM et ISO générées. 

Propriétés générales d’un partage de déploiement 

Onglet Rules Cet onglet présente le contenu du fichier CustomSettings.ini se trouvant dans le répertoire Control du partage de  © ENI Editions - All rigths reserved - Kaiss Tag

102

- 3-

déploiement. Ce fichier sert de référence aux scripts de MDT, pour connaître les tâches à effectuer et les réponses à  fournir automatiquement aux assistants.  On y retrouve par défaut deux sections :  1) La section Settings, qui définit grâce à la propriété Priority quel sera l’ordre de recherche des propriétés dans les  autres  sections,  séparées  par  des  virgules.  Dès  qu’une  propriété  recherchée  est  trouvée  dans  une  section,  la  recherche s’arrête. La valeur par défaut de la propriété Priority précise que seule la section Default sera traitée.  2) La section Default contient la propriété OSInstall=Y (qui autorise le client de déploiement à installer un système  d’exploitation  sur  la  machine  cible),  ainsi  que  les  réponses  à  l’assistant  de  création  d’un  partage  de  déploiement,  traduites sous forme de propriétés MDT.  Vous avez la possibilité de créer d’autres sections, par exemple pour préciser des paramètres spécifiques à certains  postes  ou  à  certains  sites.  En  ajoutant  la  valeur  MACAddress  dans  la  liste  de  la  propriété  Priority,  par  exemple,  vous pouvez ensuite créer des sections portant le nom des adresses physiques des cartes réseau (MAC) des postes  déployés et personnaliser ainsi les déploiements effectués sur ces postes.  Exemple de fichier CustomSettings.ini :  [Settings] Priority=MACaddress, Default [Default] OSInstall=YES [00:15:0F:35:AA:02] OSDComputerName=Poste1 [00:15:0F:35:BC:87] OSDComputerName=Poste2 Le  bouton  Edit  Bootstrap.ini  permet  d’éditer  le  fichier  du  même  nom  (placé  lui  aussi  dans  le  répertoire  Control),  utilisé lorsque l’ordinateur cible ne peut se connecter au partage de déploiement (dans le cas d’une installation par  média amovible sur un PC non connecté au réseau par exemple) et au tout début du lancement de Windows PE pour  se connecter au partage MDT. Il reprend la même structure que le fichier CustomSettings.ini, mais supporte une liste  de propriétés plus restreinte. 

- 4-

© ENI Editions - All rigths reserved - Kaiss Tag

103

Règles du partage de déploiement 

L’aide  en  ligne  de  Deployment  Workbench  contient  la  liste  exhaustive  des  propriétés  utilisables  dans  les  fichiers CustomSettings.ini et Bootstrap.ini. 

Onglet Windows PE Settings Décliné pour les architectures x86 (32 bits) et x64 (64 bits), cet onglet permet d’activer ou non la génération d’une  image  ISO  pour  le  client  de  déploiement  Lite  Touch,  ainsi  que  la  génération  d’images  WIM  et  ISO  génériques  permettant le diagnostic du poste. Les noms des fichiers générés peuvent être modifiés depuis cet onglet.    La génération d’une image WIM pour le client de déploiement Lite Touch est obligatoire. Le cadre inférieur propose quelques options de personnalisation du Windows PE généré, telles que le fond d’écran,  un  répertoire  supplémentaire  à  inclure  et  l’espace  mémoire  supplémentaire  à  allouer  pour  des  applications  tierces  embarquées dans le Windows PE. 

Paramètres de Windows PE 

Onglet Windows PE Components Présent  également  pour  chaque  architecture,  cet  onglet  fournit  des  options  permettant  de  sélectionner  les  composants optionnels à inclure dans le client de déploiement, les polices de caractère spécifiques à supporter et les  groupes de pilotes de périphériques à injecter (en totalité, par groupe ou par classe de pilote). 

© ENI Editions - All rigths reserved - Kaiss Tag

104

- 5-

Composants de Windows PE 

c. Mise à jour d’un partage de déploiement  La  mise  à  jour  d’un  partage  de  déploiement  permet  de  générer  les  fichiers  ISO  ou  WIM  du  client  de  déploiement  selon  les  paramètres  de  ce  partage,  ainsi  que  d’effectuer  la  mise  à  jour  de  ses  fichiers  de  configuration.  Cette  opération doit être effectuée à chaque modification des propriétés du partage de déploiement.  Pour mettre à jour un partage de déploiement :  ■

Ouvrez la console Deployment Workbench. 

■

Faites un clic droit sur le partage de déploiement que vous souhaitez mettre à jour. 

■

Sélectionnez l’item Update Deployment Share du menu contextuel. 

■

Sélectionnez Completely regenerate the boot images. 

■

Cliquez sur Next. 

■

Confirmez les paramètres en cliquant sur Next. 

■

Une fois la mise à jour terminée, cliquez sur Finish. 

Pour créer les images WIM et ISO du client de déploiement, MDT va chercher un fichier boot.wim correspondant au  numéro  de  version  du  WAIK  dans  les  systèmes  d’exploitation  importés,  et  s’il n’en  trouve  pas,  va  utiliser  le  fichier  fourni  avec  WAIK.  Cette  opération  est  effectuée  pour  chaque  plate­forme  (x86  et  x64)  indiquée  comme  étant  supportée dans les propriétés du partage de déploiement. Une fois cette image WIM trouvée et montée, MDT va y  inclure les composants additionnels requis, les scripts et les fichiers de configuration nécessaires au déploiement.  Le profil de sélection configuré dans l’onglet  Windows  PE  Components des propriétés du partage de déploiement  permet de choisir quels sont les packages à inclure dans les images de démarrage, générées lors de la mise à jour 

- 6-

© ENI Editions - All rigths reserved - Kaiss Tag

105

du partage. Par défaut, MDT essaie d’inclure tous les packages compatibles présents dans le nœ ud Packages parce  qu’ils  appartiennent  tous  au  profil  de  sélection  par  défaut  :  All  packages  and  drivers.  La  création  de  profils  de  sélection  personnalisés  et  la  configuration  adéquate  du  partage  de  déploiement  permettent  d’affiner  ce  comportement (cf. section Configuration Avancée ­ Profils de sélection).  Ces  images  WIM  sont  ensuite  copiées  dans  le  répertoire  Boot  du  partage  de  déploiement,  et  éventuellement  converties en images ISO, si cela est indiqué dans les propriétés du partage. Pour utiliser ces images, vous devez les  ajouter comme image de démarrage à un serveur WDS (cf. chapitre Windows Deployment Services ­ Ajout d’une image  de démarrage). 

2. Systèmes d’exploitation  La première tâche pour travailler avec MDT consiste à importer dans un partage de déploiement le ou les systèmes  d’exploitation  que  vous  souhaitez  déployer.  Ces  systèmes  d’exploitation  peuvent  se  présenter  sous  la  forme  d’un  répertoire de sources provenant d’un média (CD ou DVD), d’une image WIM capturée ou d’une image WIM stockée sur  un serveur WDS. 

a. Importer un système d’exploitation  L’assistant d’importation d’un système d’exploitation va copier l’intégralité du média d’installation vers le partage de  déploiement.  Pour importer un système d’exploitation depuis un média :  ■

■

Ouvrez la console Deployment Workbench.  Développez  le  nœ ud  du  partage  de  déploiement  dans  lequel  vous  souhaitez  importer  un  nouveau  système  d’exploitation. 

■

Faites un clic droit sur le nœ ud Operating Systems et sélectionnez l’option Import Operating System. 

■

Sélectionnez l’option Full set of source files. 

■

Cliquez sur Next. 

■

Cliquez sur le bouton Browse et sélectionnez le répertoire racine du support d’installation de Windows 7, ou d’un  équivalent contenant les sous­répertoires boot, efi, sources, support, etc. 

■

Cliquez sur Next. 

■

Confirmez le nom par défaut proposé ou entrez un nouveau nom pour ce système d’exploitation. 

■

Cliquez sur Next. 

■

Confirmez les paramètres d’importation en cliquant sur Next. 

À l’issue de la procédure d’import, un sous­répertoire portant le nom affecté au système d’exploitation est créé dans  le  dossier Operating  Systems du partage de déploiement (D:\DeploymentShare\Operating  Systems  dans  notre  exemple) et le contenu du média d’installation y est intégralement copié.  À  la  différence  de  WDS,  l’assistant  d’importation  de  système  d’exploitation  de  la  console  Deployment  Workbench  ne  vous  demande  pas  quelles  sont  les  éditions  de  Windows  présentes  dans  le  fichier  INSTALL.WIM que vous souhaitez importer, mais les importe toutes par défaut. 

b. Supprimer un système d’exploitation  Pour supprimer un système d’exploitation :  ■

Ouvrez la console Deployment Workbench. 

© ENI Editions - All rigths reserved - Kaiss Tag

106

- 7-

■

Développez le nœ ud du partage de déploiement hébergeant le système d’exploitation à supprimer. 

■

Dans le nœ ud Operating Systems, faites un clic droit sur le système d’exploitation à supprimer. 

■

Cliquez sur l’item Delete. 

■

Cochez la case Completely delete these items. 

■

Cliquez sur Next. 

■

Confirmez la suppression en cliquant sur Next. 

■

Cliquez sur Finish lorsque l’opération de suppression est terminée. 

Si vous supprimez un système d’exploitation alors que celui­ci  était  utilisé  dans  des  séquences  de  tâches,  vous devrez modifier ces séquences pour qu’elles utilisent un autre système d’exploitation (modification de  l’étape Install Operating System notamment). 

c. Propriétés d’un système d’exploitation  L’affichage des propriétés d’un système d’exploitation importé permet d’obtenir des détails sur celui­ci et sur l’image  WIM qui le contient : langages supportés, numéro d’index dans l’image, version exacte, etc.  Pour afficher les propriétés d’un système d’exploitation :  ■

Ouvrez la console Deployment Workbench. 

■

Développez le nœ ud du partage de déploiement hébergeant le système d’exploitation. 

■

■

Dans le nœ ud Operating Systems, faites un clic droit sur le système d’exploitation dont vous souhaitez afficher les  propriétés.  Cliquez sur l’item Properties. 

Propriétés de l’onglet General Operating system name  Nom du système d’exploitation tel qu’il est affiché dans la console MDT et dans les séquences de tâche.  Description  Description de l’OS figurant dans le fichier WIM.  OS Type  Type  de  programme  d’installation  : Windows  IBS  pour  Windows  Vista,  7,  2008,  Windows  NT  Source  pour  XP  et  2003.  Platform  Architecture supportée : x86 pour le 32 bits, x64 pour le 64 bits.  Build  Identifiant complet de la version.  Language(s) 

- 8-

© ENI Editions - All rigths reserved - Kaiss Tag

107

Packs de langue inclus dans l’image WIM.  Includes Setup  Indique si l’image contient un programme d’installation (ce n’est pas le cas par défaut pour les images capturées).  Path  Chemin vers l’OS dans le partage de déploiement.  Image file  Nom du fichier WIM d’installation.  Image index  Numéro d’index de l’OS au sein du fichier WIM.  Image name   Nom de l’OS figurant dans le fichier WIM.  Image size  Taille de l’image WIM décompressée.  HAL  Couche d’abstraction matérielle supportée. 

3. Intégrer des mises à jour et des composants  La section Packages d’un partage de distribution permet d’intégrer non seulement des mises à jour de sécurité, mais  également  des  composants  additionnels  aux  systèmes  d’exploitation  tels  que  des  packs  de  langue  ou  des  modules  non disponibles au moment de la mise sur le marché du système d’exploitation. Les packages doivent être au format  Microsoft Update (fichiers .MSU) ou au format d’archive Microsoft Cabinet (fichiers .CAB).  Pour intégrer des mises à jour ou des composants :  ■

Ouvrez la console Deployment Workbench. 

■

Développez le nœ ud du partage de déploiement pour lequel vous souhaitez ajouter un package. 

■

Faites un clic droit sur le nœ ud Packages et sélectionnez l’item Import OS Packages. 

■

Entrez le chemin contenant les fichiers MSU ou CAB à importer. 

■

Cliquez sur Next. 

■

Confirmez les paramètres d’importation en cliquant sur Next. 

■

Une fois les packages importés, cliquez sur Finish. 

Attention,  l’assistant  importe  tous  les  packages  rencontrés  dans  l’arborescence  indiquée,  sous­répertoires  inclus. 

4. Intégrer des applications  © ENI Editions - All rigths reserved - Kaiss Tag

108

- 9-

Une fois le système d’exploitation installé sur un poste, vous voudrez probablement y installer des applications. A la  différence d’un serveur WDS, qui au mieux ne prend en charge l’installation des applications qu’à travers une image  WIM de référence ou les lignes de commandes additionnelles spécifiées dans un fichier XML de réponse automatique,  MDT vous permet d’automatiser très facilement l’installation d’applications ou de groupes d’applications.  La  liste  des  applications  importée  est  stockée  dans  le  fichier  Control\Applications.xml  du  partage  de  déploiement et la liste des groupes d’applications est stockée dans le fichier ApplicationGroup.xml du même  répertoire. 

a. Ajouter une application  L’ajout d’une application à un partage de déploiement consiste à copier ou à déplacer ses sources vers le partage de  distribution, la rendant ainsi disponible pour le client de déploiement de MDT lorsqu’il est connecté à ce partage.  Pour ajouter une application à un partage de déploiement :  ■

Ouvrez la console Deployment Workbench. 

■

Développez le nœ ud du partage de déploiement pour lequel vous souhaitez rendre disponible l’application. 

■

Faites un clic droit sur le nœ ud Applications et sélectionnez l’item New Application. 

■

Sélectionnez Application with source files. 

■

Cliquez sur Next. 

■

■

■

Entrez  un  nom  pour  cette  application.  Les  autres  champs  sont  optionnels  et  servent  à  la  création  du  nom  par  défaut de l’application dans la liste des applications.  Cliquez sur Next.  Indiquez l’emplacement  depuis  lequel  l’assistant  doit  copier  les  sources  de  l’application à ajouter au partage de  déploiement. 

■

Cliquez sur Next. 

■

Confirmez le nom proposé à partir des informations saisies ou modifiez­le selon votre convention de nommage. 

■

Cliquez sur Next. 

■

Saisissez  la  ligne  de  commande  nécessaire  pour  installer  l’application  silencieusement  (ex  :  msiexec.exe /i monapplication.msi /qb). 

■

Cliquez sur Next. 

■

Confirmez le résumé des informations en cliquant sur Next. 

■

Une fois l’ajout terminé, cliquez sur Finish. 

Par  défaut,  l’application  apparaît  désormais  dans  la  liste  de  la  console  MMC  ainsi  que  sur  l’écran  de  choix  des  applications à installer lors de l’exécution du client de déploiement MDT. 

b. Propriétés d’une application  Les  deux  onglets  de  propriétés  d’une  application  permettent  de  préciser  le  comportement  de  l’application  lors  du  déploiement : disponible ou non, les plates­formes supportées, les dépendances applicatives, etc.  Pour afficher les propriétés d’une application : 

- 10 -

© ENI Editions - All rigths reserved - Kaiss Tag

109

■

■

Ouvrez la console Deployment Workbench.  Développez  le  nœ ud  du  partage  de  déploiement  hébergeant  l’application  dont  vous  souhaitez  modifier  les  propriétés. 

■

Dans le nœ ud Applications, faites un clic droit sur l’application concernée pour en afficher le menu contextuel. 

■

Cliquez sur l’item Properties. 

Propriétés de l’onglet General Name  Le  nom  de  l’application  tel  qu’il  apparaît  dans  la  console  MDT  (dans  le  nœ ud  Applications  et  les  séquences  de  tâches).  Comments  Les  commentaires  saisis  ici  apparaissent  dans  l’interface  du  client  de  déploiement,  juste  en  dessous  du  nom  de  l’application.  Display name  Nom affiché dans l’interface du client de déploiement.  Short name  Nom court de l’application.  Version  Version de l’application, purement informel, affiché uniquement dans la console MDT.  Publisher  Éditeur de l’application, purement informel, affiché uniquement dans la console MDT.  Language  Langue de l’application, purement informel, affiché uniquement dans la console MDT.  Source directory  Répertoire contenant l’application, relatif à la racine du partage de déploiement.  Hide this application in the deployment wizard  Si  cette  case  est  cochée,  l’application  n’apparaît  pas  dans  la  liste  présentée  par  le  client  de  déploiement.  L’application peut néanmoins être installée via la séquence de tâches ou le fichier CustomSettings.ini.  Enable this application  Si cette case est décochée, l’application n’est pas sélectionnable dans la liste présentée par le client de déploiement.  Propriétés de l’onglet Details Application bundle  Indique si l’application est un groupe d’applications, dont l’ordre d’installation est spécifié via l’onglet Dependencies.  Standard application 

© ENI Editions - All rigths reserved - Kaiss Tag

110

- 11 -

Indique si l’application est installée normalement, via une ligne de commande.  Quiet installation command  Ligne de commande pour installer de manière automatique l’application (paramètre /q pour les fichiers MSI ou fichier  de  réponse  ISS  pour  les  programmes  Installshield  par  exemple).  Il  n’est  pas  nécessaire  de  préciser  ni  le  chemin  complet de msiexec.exe ni le chemin du fichier MSI.  Working directory  Répertoire  de  travail  lors  de  l’appel  à  la  ligne  de  commande  d’installation,  relatif  à  la  racine  du  partage  de  déploiement.  Uninstall registry key name  Nom de la clé recherchée par MDT dans la branche HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall  pour déterminer si l’application est déjà installée sur la machine.  Reboot the computer after installing the application  Si cela n’est pas prévu par l’assistant d’installation de l’application, indique à MDT de redémarrer le poste de travail  une fois l’application installée.  This can run on any platform  Permet de spécifier les plates­formes matérielles et logicielles sur lesquelles l’application est supportée.  This can run on the specified client platforms  Permet d’indiquer les architectures et les systèmes d’exploitation sur lesquels l’application peut s’installer.  Propriétés de l’onglet Dependencies Cet  onglet  est  utilisé  pour  les  groupes  d’applications,  mais  également  dans  le  cas  des  applications  uniques,  pour  préciser les applications qui doivent être installées avant celle dont vous éditez les propriétés. Les applications sont  installées dans l’ordre de la liste, de haut en bas.  Add  Affiche la liste des applications disponibles dans ce partage de déploiement et permet d’ajouter une application.  Delete  Supprime l’application sélectionnée.  Up  Augmente la priorité d’installation de l’application sélectionnée.  Down  Baisse la priorité d’installation de l’application sélectionnée. 

Attention, MDT ne vérifie pas les références circulaires entre les dépendances d’applications lors de l’édition  des propriétés d’une application, ni lors de la mise à jour du point de déploiement. 

c. Créer un groupe d’applications  Un  groupe  d’applications  (ou  "bundle",  dans  le  jargon  MDT)  est  un  ensemble  d’applications  dont  l’installation  sera  obligatoire  et  séquentiel  dès  lors  que  le  groupe  est  sélectionné.  La  création  de  groupes  d’applications  permet  également de gérer l’ordre dans lequel s’installent les applications du groupe.  Pour créer un groupe d’applications : 

- 12 -

© ENI Editions - All rigths reserved - Kaiss Tag

111

■

Ouvrez la console Deployment Workbench. 

■

Développez le nœ ud du partage de déploiement pour lequel vous souhaitez rendre disponible l’application. 

■

Faites un clic droit sur le nœ ud Applications et sélectionnez l’item New Application. 

■

Sélectionnez Application bundle. 

■

Cliquez sur Next. 

■

Entrez un nom pour ce groupe d’applications. 

■

Cliquez sur Next. 

■

Confirmez les paramètres de création en cliquant sur Next. 

■

Une fois le groupe créé, cliquez sur Finish. 

■

Faites un clic droit sur le groupe que vous venez de créer. 

■

Sélectionnez l’item Properties du menu contextuel. 

■

Cliquez sur l’onglet Dependencies. 

■

Ajoutez les applications de ce groupe avec le bouton Add. 

■

Définissez l’ordre d’installation avec les boutons Up et Down. 

■

Cliquez sur OK. 

Si  vous  ne  souhaitez  pas  rendre  disponibles  individuellement  les  applications  de  ce  groupe,  vous  devez  cocher la case Hide this application in the Deployment Wizard pour chacune d’entre elles (onglet General  des propriétés de chaque application). 

5. Intégrer des pilotes  La  section  Out­of­box  drivers  permet  d’importer  dans  le  partage  de  déploiement  les  pilotes  de  périphériques  du  matériel  devant  être  supportés  par  votre  socle.  Bien  que  Windows  7  intègre  en  standard  une  grande  quantité  de  pilotes  (Microsoft  et  autres  constructeurs)  et  reconnaisse  ainsi  la  plupart  des  matériels,  il  peut  être  nécessaire  de  fournir des pilotes spécifiques.  L’intégration des pilotes se fait de la même manière que celle des packages :  ■

Ouvrez la console Deployment Workbench. 

■

Développez le nœ ud du partage de déploiement dans lequel vous souhaitez importer des pilotes de périphériques. 

■

Faites un clic droit sur le nœ ud Out­of­Box Drivers et sélectionnez l’item Import Drivers. 

■

Entrez le chemin contenant les fichiers INF des pilotes. 

■

Cliquez sur Next. 

■

Confirmez les paramètres d’importation en cliquant sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

112

- 13 -

■

Une fois les pilotes importés, cliquez sur Finish. 

La console Deployment Workbench affiche pour chaque pilote le type de périphériques supporté (carte réseau, carte  vidéo,  carte  son,  etc.),  la  compatibilité  Windows  Hardware  Qualified  List,  l’architecture  supportée  (x86  ou  x64)  et  la  version du pilote.    Attention, l’assistant importe tous les pilotes rencontrés dans l’arborescence indiquée, sous­répertoires inclus.

6. Séquences de tâches  Une  séquence  de  tâches  est  un  fichier  XML  décrivant  les  actions  à  effectuer  sur  le  poste  à  déployer.  Ces  actions  correspondent à des scripts WSF ou VBS, hébergés dans le répertoire Scripts du partage de déploiement, et couvrent  des thèmes aussi divers que la configuration réseau, l’installation d’applications, le partitionnement du disque dur, la  capture  des  données  utilisateurs,  etc.  Chaque  séquence  de  tâches  est  stockée  dans  un  fichier TS.XML  au  sein  de  l’arborescence Control du partage de déploiement, dans un sous­répertoire nommé selon l’identifiant de la séquence  choisi lors de la création de celle­ci (ex : Control\TSO\TS.xml).  Les actions que contient la séquence de tâches peuvent être celles proposées en standard par MDT ou des actions  personnalisées,  lançant  un  script  spécifique  ou  une  commande  particulière.  Les  scripts  peuvent  se  baser  sur  les  variables définies dans les fichiers de configuration du partage de déploiement (CustomSettings.ini et Bootstrap.ini)  ainsi  que  dans  la  base  de  données  MDT  (si  celle­ci  a  été  créée  pour  le  partage  de  déploiements,  cf.  section  Configuration avancée ­ Base de données).  Quatre scénarios classiques de déploiement sont pris en charge par les séquences de tâches proposées par défaut :  Scénarios de déploiement pris en charge par MDT New Computer  Considère le poste cible comme un poste vierge sur lequel aucune donnée n’est à sauvegarder.  Refresh  Le poste cible doit être réinstallé avec les paramètres types de l’entreprise, les données de l’utilisateur doivent être  sauvegardées puis restaurées dans la nouvelle installation.  Replace  Le  poste  cible  est  matériellement  remplacé  par  un  autre,  sur  lequel  l’image  de  référence  de  l’entreprise  doit  être  installée. Les données de l’utilisateur doivent être sauvegardées sur l’ancien poste puis restaurées sur le nouveau.  Upgrade  Le  système  d’exploitation  du  poste  cible  doit  être  mis  à  jour,  les  données  de  l’utilisateur  et  les  applications  sont  conservées sur le poste.  Chacun  de  ces  scénarios  va  se  traduire  par  une  valeur  spécifique  de  la  variable DeploymentType  spécifiée  dans  le  fichier CustomSettings.ini du partage de déploiement.  Le  choix  d’un  scénario  dépend  de  votre  projet  de  migration  et  de  votre  environnement,  auxquels  les  séquences  de  tâches vont adapter leurs actions. 

a. Phases d’une séquence de tâches  Les  séquences  de  tâches  utilisent  habituellement  sept  phases  (qui  ne  sont  pas  directement  liées  aux  passes  d’installation des fichiers de réponses). Ces phases permettent aux scripts MDT d’identifier les grandes étapes d’un  déploiement mais également de reprendre l’installation à son dernier point d’arrêt en cas d’interruption fortuite ou  de redémarrage du poste provoqué par une action. Le nom de la phase en cours est enregistré dans une variable  interne  nommée  PHASE,  dont  la  valeur  conditionne  l’exécution  de  chaque  groupe  d’étapes  de  la  séquence  de  tâches.  Voici les phases types que vous rencontrerez le plus souvent dans les séquences de tâches :  Initialization Le  script  ZTIGather.wsf  est  exécuté  pour  retranscrire,  au  sein  de  l’instance  Windows  PE,  les  propriétés  et  les  - 14 -

© ENI Editions - All rigths reserved - Kaiss Tag

113

valeurs des fichiers de configuration présents sur le partage de déploiement. Cette retranscription se fait sous forme  de  variables  d’environnement,  donc  volatiles  d’un  redémarrage  à  l’autre.  Cette  phase  est  exécutée  au  début  du  déploiement ainsi qu’après chaque redémarrage.  Validation Des vérifications sont effectuées au niveau des caractéristiques matérielles et logicielles du poste cible (fréquence du  processeur,  quantité  de  mémoire  et  espace  disque  disponible,  type  de  système  d’exploitation).  Selon  vos  configurations matérielles, vous pouvez être amené à adapter cette phase (bien que ses valeurs par défaut soient  adaptées au déploiement de Windows 7).  State Capture Dans le cas d’une séquence de tâches utilisée pour migrer des utilisateurs d’un ancien poste vers un nouveau, cette  phase  prend  en  charge  la  génération  d’un  fichier  d’inventaire  des  applications  utilisateur,  la  sauvegarde  des  données  utilisateurs  à  l’aide  de  l’outil  Microsoft  User  State  Migration  Tool  (USMT),  ainsi  que  la  sauvegarde  de  la  composition des groupes locaux.  Dans le cas de la réinstallation du système d’exploitation sur la même machine, cette phase prépare la sauvegarde  du poste en désactivant le chiffrement de disque.  Preinstall Si  le  déploiement  concerne  un  nouveau  poste,  des  vérifications,  ainsi  que  le  partitionnement  du  disque  dur,  sont  effectuées durant cette phase. Si le déploiement est configuré pour réinstaller un poste existant, une sauvegarde au  format WIM est effectuée.  Dans  tous  les  cas,  l’assistant  de  déploiement  procède  à  une  injection  des  pilotes  de  périphériques  et  des  patchs  manquants.  Install Comme  son  nom  l’indique, cette phase s’occupe  de  l’installation  de  l’image  WIM  du  système  d’exploitation spécifié  sur le disque et la partition indiqués.  Postinstall Cette  étape  concerne  essentiellement  la  réinstallation  des  pilotes  de  périphériques  et  la  restauration  de  l’environnement de déploiement (scripts et variables).  StateRestore Enfin,  la  phase  StateRestore  configure  les  paramètres  des  cartes  réseau,  force  la  mise  à  jour  du  système  d’exploitation grâce à Windows Update, installe les applications et restaure les données utilisateurs si l’option était  précisée.  Cette phase s’occupe également de la préparation et de la capture du poste sous forme d’une image WIM pouvant  être ensuite utilisée comme image de référence pour de futurs déploiements. 

b. Modèles prédéfinis de séquences de tâches  Les modèles prédéfinis de séquences de tâches proposés par l’assistant sont des fichiers XML stockés dans le sous­ répertoire  Templates  du  répertoire  d’installation  de  MDT  (généralement C:\Program  Files\Microsoft  Deployment  Toolkit\Templates). En vous basant sur ces modèles, vous pouvez créer votre propre séquence de tâches type et la  personnaliser via l’assistant de création.  Standard Client Task Sequence (Client.xml) Ce modèle de séquence de tâches répond à la plupart des besoins et prend en charge aussi bien le déploiement sur  des machines vierges que sur des postes disposant déjà d’un système d’exploitation. Selon le type de scénario de  déploiement  configuré,  il  pourra  effectuer  la  sauvegarde  et  la  restauration  des  données  utilisateur.  Il  permet  également la capture du poste déployé pour une utilisation ultérieure comme image de référence.  Standard Server Task Sequence (Server.xml) Identique  au  modèle  ci­dessus,  à  l’exception  des  actions  de  validation  qui  imposent,  dans  le  cas  d’un  scénario  de  mise à jour d’une machine avec OS, que le système d’exploitation actuel du poste soit de type serveur.  Standard Client Replace Task Sequence (ClientReplace.xml) Ce  modèle  capture  les  groupes  locaux  et  les  données  utilisateur  à  l’aide  d’USMT,  puis  effectue  une  sauvegarde 

© ENI Editions - All rigths reserved - Kaiss Tag

114

- 15 -

complète du poste sous forme d’image WIM. Un effacement complet du disque est exécuté à la fin de la procédure.  Sysprep and Capture (CaptureOnly.xml) Ce  modèle  prépare  le  poste  à  l’aide  des  outils  Sysprep  et  le  capture  sous  forme  d’une  image  WIM  prête  à  servir  d’image  de  référence  pour  d’autres  déploiements.  Cette  séquence  de  tâches  doit  être  lancée  depuis  une  session  ouverte  sur  la  machine  à  capturer,  en  accédant  au  partage  réseau  du  déploiement  et  en  exécutant  le  script  LiteTouch.wsf.  LiteTouch OEM Task Sequence (LTIOEM.xml) Ce modèle est utilisé par les fabricants d’ordinateurs pour préparer les machines en copiant leurs fichiers spécifiques  sur le disque dur.  Post OS Installation Task Sequence (StateRestore.xml) Ce modèle de séquence de tâches permet d’effectuer des opérations sur des postes déjà installés (qu’ils l’aient été  avec  MDT  ou  non),  telles  que  la  capture  d’image  de  référence  ou  la  restauration  d’images  WIM  venant  d’autres  postes. 

c. Création d’une séquence de tâches  Après  l’importation  d’un  système  d’exploitation,  la  création  d’une  séquence  de  tâches  est  la  deuxième  étape  obligatoire pour vous permettre de déployer des postes. Pour cela :  ■

Ouvrez la console Deployment Workbench. 

■

Développez le nœ ud du partage de déploiement pour lequel vous souhaitez créer une séquence de tâches. 

■

Faites un clic droit sur le nœ ud Task Sequences et sélectionnez l’item New Task Sequence. 

■

■

■

Entrez un nom pour cette séquence de tâches (il sera affiché lors du déploiement).  Entrez  un  commentaire  ou  une  description  (il  sera  affiché  sous  le  nom  de  la  séquence  de  tâches  lors  du  déploiement). 

■

Cliquez sur Next. 

■

Sélectionnez un modèle de séquence de tâches (Standard Client Task Sequence, par exemple). 

■

Cliquez sur Next. 

■

Sélectionnez le système d’exploitation que doit déployer cette séquence (Windows 7 Enterprise dans notre cas). 

■

Cliquez sur Next. 

■

Sélectionnez Do not specifiy a product key at this time. 

■

Cliquez sur Next. 

■

- 16 -

Entrez  un  identifiant  alphanumérique  pour  la  séquence  de  tâches  (cet  identifiant  sera  utilisé  comme  nom  de  répertoire). 

Entrez  un  nom  d’utilisateur,  un  nom  d’organisation  et  une  adresse  URL  comme  page  de  démarrage  d’Internet  Explorer. 

■

Cliquez sur Next. 

■

Sélectionnez Do not specify an Administrator password at this time. 

© ENI Editions - All rigths reserved - Kaiss Tag

115

■

Cliquez sur Next. 

■

Confirmez les paramètres de la séquence de tâches à créer en cliquant sur Next. 

■

Une fois la séquence créée, cliquez sur Finish. 

Si vous ne l’avez pas encore fait, mettez à jour le point de déploiement au moins une fois pour générer les images  d’amorçage  (cf.  paragraphe  Mise  à  jour  d’un  partage  de  déploiement)  et  ajoutez  ces  images  à  un  serveur  WDS.  Le  partage de déploiement est désormais prêt à être utilisé par les clients à déployer.  Pour tester la séquence de tâches créée :  ■

Démarrez un poste de test sur le réseau en appuyant sur [F12]. 

■

Lorsque le menu Windows Boot Manager apparaît, sélectionnez Lite Touch Windows PE et appuyez sur [Entrée]. 

■

Cliquez sur Run the Deployment Wizard to install a new Operating System. 

■

Entrez un nom d’utilisateur, un mot de passe et un domaine pour vous connecter au partage de déploiement créé  sur le serveur MDT. 

■

Cliquez sur OK. 

■

Sélectionnez la séquence de tâches que vous venez de créer. 

■

Cliquez sur Next. 

■

Entrez un nom d’ordinateur. 

■

Cliquez sur Next. 

■

Sélectionnez  Join  a  domain  et  entrez  les  informations  nécessaires  (nom  du  domaine  et  compte  utilisateur  pour  joindre ce domaine). 

■

Cliquez sur Next. 

■

Sélectionnez Do not restore user data and settings. 

■

Cliquez sur Next. 

■

Si vous avez importé des packs de langue dans le partage de déploiement, sélectionnez­en un. 

■

Cliquez sur Next. 

■

Sélectionnez les paramètres de langue adéquats (par défaut ce sont ceux du pack de langue sélectionné). 

■

Cliquez sur Next. 

■

Sélectionnez un fuseau horaire. 

■

Cliquez sur Next. 

■

■

Si  vous  avez  importé  des  applications  dans  le  partage  de  déploiement,  sélectionnez  celles  que  vous  souhaitez  installer.  Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

116

- 17 -

■

Cliquez sur Begin. 

Le client de déploiement MDT va maintenant dérouler les actions prévues par la séquence de tâches : préparation du  poste, injection des packs de langue dans l’image du système d’exploitation, installation de celui­ci, installation des  applications sélectionnées, redémarrage et reprise si nécessaire, etc. 

d. Édition d’une séquence de tâches  L’édition  d’une  séquence  de  tâches  permet  d’ajouter  des  étapes  dans  les  phases  d’installation  ou  de  modifier  les  étapes prévues par le modèle utilisé lors de sa création.  Pour modifier une séquence de tâches :  ■

Ouvrez la console Deployment Workbench. 

■

Développez le nœ ud du partage de déploiement contenant la séquence à modifier. 

■

Dans le nœ ud Task Sequences, faites un clic droit sur la séquence concernée pour en afficher le menu contextuel. 

■

Cliquez sur l’item Properties. 

Onglet General

Propriétés générales d’une séquence de tâches  Task sequence ID  Identifiant interne alphanumérique de la séquence de tâches, ne peut être modifié après création de la séquence. 

- 18 -

© ENI Editions - All rigths reserved - Kaiss Tag

117

Task sequence name  Nom affiché dans la console Deployment Workbench et dans le client de déploiement.  Comments  Ces commentaires apparaissent sous le nom de la séquence, dans le client de déploiement.  Task sequence version  Numéro de version informel permettant d’assurer un suivi des modifications.  This can run on any platform  Indique que la séquence peut être exécutée sur n’importe quelle architecture supportée par MDT.  This can run only on the specified client plaforms  Permet de préciser les architectures et les systèmes d’exploitation autorisés à exécuter cette séquence.  Hide this task sequence in the Deployment Wizard  Masque la séquence dans le client de déploiement.  Enable this task sequence  Désactive la séquence (elle apparaît alors grisée dans le client de déploiement).  Onglet Task Sequence, liste principale

Étapes d’une séquence de tâches  © ENI Editions - All rigths reserved - Kaiss Tag

118

- 19 -

Cette liste présente l’ensemble des étapes de la séquence de tâches. Les étapes peuvent être rassemblées au sein  de  groupes  d’étapes  et  de  sous­groupes,  disposant  des  mêmes  possibilités  de  déclenchement  conditionnel  (voir  paragraphes suivants).  La  barre  d’outils  située  en  haut  de  cette  liste  permet  d’ajouter  une  étape  ou  un  groupe  d’étapes,  de  la  ou  le  supprimer, et de gérer leur ordre d’exécution.  L’explication des étapes prédéfinies proposées par MDT est donnée dans la section Phases d’une séquence de tâches.  Onglet Task Sequence, sous­onglet Properties Toutes les étapes des séquences de tâches (ainsi que les groupes d’étapes) partagent trois propriétés communes  obligatoires  :  le  type,  le  nom  et  la  description.  Les  autres  propriétés  sont  spécifiques  et  leur  documentation  est  disponible dans l’aide en ligne de la console Deployment Workbench.  Type  Nom statique de l’étape.  Name  Nom affiché dans le menu de gauche et dans les journaux d’exécution.  Description  Description informelle de l’étape.  Onglet Task Sequence, sous­onglet Options Disable this step  Indique au client de déploiement de ne pas exécuter cette étape et de passer à la suivante.  Success Codes  Codes  de  retour  des  scripts  ou  des  exécutables  devant  être  interprétés  comme  des  succès  (séparés  par  des  espaces), afin de continuer ou non la séquence. Cette propriété n’est pas disponible pour les groupes d’étapes.  Continue on error  Indique au client de déploiement de continuer même si le code de retour renvoyé par l’étape n’est pas dans la liste  des codes de succès.  Conditions  Permet  de  créer  une  structure  conditionnelle  évoluée  pour  déterminer  si  l’étape  doit  être  exécutée  ou  non.  Cette  structure peut comporter des tests de variables d’environnement, de version d’OS, de présence de clés de registre  ou de fichiers, etc.  Onglet OS Info

- 20 -

© ENI Editions - All rigths reserved - Kaiss Tag

119

Informations sur le système d’exploitation déployé  Operating System description  Version et édition du système d’exploitation déployé par la séquence de tâches.  Build  Contient le numéro exact de version et de service pack (si intégré à l’image WIM).  Platform  Indique l’architecture supportée par le système d’exploitation déployé.  Edit Unattend.xml  Permet de modifier avec le Gestionnaire d’Images Système Windows le fichier Unattend.xml de l’OS déployé. 

e. Propriétés particulières des étapes prédéfinies  Run Command Line Cette  étape  permet  d’exécuter  des  commandes  (scripts,  batchs,  outils  tiers)  lors  de  n’importe  quelle  phase  du  déploiement.  Command Line  Ligne de commande à exécuter.  Start in  

© ENI Editions - All rigths reserved - Kaiss Tag

120

- 21 -

Répertoire de démarrage lors du lancement de la commande.  Run this step as the following account   Indique au client de déploiement de changer le contexte de sécurité avant l’exécution de la commande.  Account  Informations d’identification du compte d’exécution.  Load the user’s profile   Demande le chargement complet du profil de l’utilisateur indiqué.  Set Task Sequence Variable Permet  de  redéfinir  dynamiquement,  au  moment  du  déploiement,  des  variables  définies  statiquement  dans  les  fichiers  CustomSettings.ini  ou  BootStrap.ini.  Attention,  les  variables  ainsi  redéfinies  reviennent  à  leur  valeur  d’origine lors du redémarrage du poste.  Task Sequence Variable  Nom de la variable à redéfinir.  Value  Nouvelle valeur de la variable.  Restart computer Comme son nom l’indique, redémarre l’ordinateur (après l’installation d’une application, par exemple).  Gather Appelle  le  script  ZTIGather.wsf  pour  collecter  des  informations  sur  le  poste  et  lire  les  propriétés  définies  dans  le  fichier  CustomSettings.ini  ainsi  que  dans  la  base  de  données  MDT.  Ces  informations  sont  ensuite  chargées  dans  l’environnement de travail du client de déploiement.  Gather only local data  Indique au client de ne collecter que les informations locales et celles des fichiers de configuration.  Gather local data and process rules  Permet de préciser un autre fichier de règles que CustomSettings.ini.  Install Updates Offline Autorisé uniquement pour la phase PREINSTALL ou lors d’un déploiement avec SCCM, permet d’appliquer des mises  à jour Microsoft Update et des packages Microsoft Cabinet à l’image WIM avant que celle­ci ne soit installée sur le  poste.  Selection profile  Nom du profil de sélection contenant les mises à jour et les packages à installer.  Validate Vérifie  les  capacités  et  l’environnement  du  poste  selon  les  critères  de  validation  indiqués.  Tous  les  critères  cochés  doivent être validés.  Ensure minimum memory  Quantité minimale de mémoire physique installée.  Ensure minimum processor speed 

- 22 -

© ENI Editions - All rigths reserved - Kaiss Tag

121

Fréquence minimale du processeur.  Check to ensure specified image size will fit  Espace disponible requis sur la partition de destination.  Ensure current OS to be refreshed is  Vérifie la cohérence entre le type du système d’exploitation du poste et celui devant être déployé, pour les cas de  rafraîchissement du poste ou de mise à jour.  Install Application Cette étape permet de gérer l’installation des applications importées dans le partage de déploiement ainsi que celle  des groupes d’applications.  Install multiple applications  Indique  au  client  d’installer  toutes  les  applications  cochées  dynamiquement  ou  imposées  par  le  fichier  CustomSettings.ini (via la propriété MandatoryApplications).  Success codes  Codes de retour d’installation devant être considérés comme des codes de succès.  Install a single application  Indique au client de n’installer que l’application importée spécifiée.  Inject Drivers Installe les pilotes de périphériques du profil de sélection spécifié.  Choose a selection profile  Nom du profil de sélection contenant les drivers à installer.  Install only matching drivers from the selection profile  Indique  au  client  de  déploiement  de  n’installer  que  les  pilotes  correspondant  au  matériel  présent  lors  du  déploiement.  Les  matériels  installés  ultérieurement  ne  disposeront  pas  des  pilotes  importés  dans  le  partage  de  déploiement.  Install all drivers from the selection profile  Indique au client d’installer tous les pilotes du profil de sélection, que le matériel correspondant soit présent ou non.  Format and Partition Disk Cette étape gère le partitionnement des disques durs de la machine cible et le formatage des volumes.  Disk number  Numéro du disque dur sur lequel créer une partition (indexé en base 0).  Disk type  Indique le type de partition à créer : Master Boot Record (MBR) pour les BIOS classiques et les anciennes versions de  Windows ou GUID Partition Table (GPT) pour les BIOS EFI et Windows Server 2008, Vista et 7.  Liste des partitions  Présente  la  liste  des  partitions  à  créer,  avec  leur  type  (primaire  ou  étendu),  leur  taille,  leur  système  de  fichiers  (FAT32 ou NTFS) et leur nom. 

© ENI Editions - All rigths reserved - Kaiss Tag

122

- 23 -

Enable BitLocker BitLocker™  Drive  Encryption  est  une  technologie  de  chiffrement  des  volumes  implémentée  depuis  Windows  Vista,  basée sur l’algorithme Advanced Encryption Standard (AES).  Current operating system drive  BitLocker™ doit chiffrer le disque dur où est installé le système d’exploitation.  TPM only  La clé de chiffrement doit être stockée dans la puce Trusted Platform Management (TPM) intégrée à la machine.  Startup key on USB only  La clé de chiffrement doit être stockée sur une clé USB (celle­ci sera nécessaire au démarrage de la machine).  TPM and startup key on USB  La clé de chiffrement est stockée dans la puce TPM et sur une clé USB.  Specific drive  BitLocker™ doit chiffrer uniquement le disque spécifié par ce paramètre.  In Active Directory  La  clé  de  récupération  sera  stockée  dans  des  sous­objets  du  compte  d’ordinateur  du  poste  cible  dans  l’Active  Directory.  Do not create a recovery key  Indique de ne pas créer de clé de récupération.  Wait for BitLocker to complete drive encryption process  Précise au client de déploiement d’attendre la fin du processus de chiffrement avant de poursuivre.  Install Operating System Étape primordiale d’une séquence de tâches, installe le système d’exploitation spécifié sur une partition formatée. Le  système d’exploitation doit auparavant avoir été importé dans le partage de déploiement.  Operating System to install  Nom de l’OS à installer, tel qu’il figure dans le nœ ud Operating Systems du partage de déploiement.  Disk  Disque dur où installer le système (indexé en base 0).  Partition  Partition sur laquelle installer le système (indexé en base 1).  Apply Network Settings Par défaut, Windows configure les adaptateurs réseau pour utiliser un serveur DHCP. Cependant, si aucun serveur  DHCP  n’est  disponible  sur  le  réseau  auquel  est  connecté  le  poste  cible,  il  peut  être  nécessaire  d’en  spécifier  manuellement  les  paramètres.  D’autre  part,  dans  le  cas  de  la  réinstallation  d’un  poste  existant  sur  lequel  une  capture des paramètres réseau a été faite, ou si des paramètres réseau sont précisés pour ce poste dans la base  de données MDT, les paramètres indiqués ici seront écrasés.  Si la liste des paramètres contient plusieurs éléments, ceux­ci seront appliqués dans l’ordre de détection des cartes  réseau par Windows. 

- 24 -

© ENI Editions - All rigths reserved - Kaiss Tag

123

General  Nom du groupe de paramètres (sera affecté à la carte réseau), activation du mode DHCP ou manuel, adresses IP et  adresses de passerelle par défaut.  DNS  Adresses  des  serveurs  Domain  Name  System,  suffixe  DNS  et  enregistrement  des  adresses  IP  du  poste  dans  le  serveur DNS.  WINS  Adresses des serveurs Windows Internet Name System, activation du fichier de résolution LMHOSTS et configuration  du mode NetBIOS sur TCP/IP.  Capture Network Settings Dans le cas d’une réinstallation, permet de capturer les paramètres réseau du poste afin de les réinjecter dans la  nouvelle installation. Cette étape doit être utilisée pendant la phase de capture d’état.  Aucun paramètre particulier n’est à préciser.  Install Roles and Features Applicable  uniquement  aux  systèmes  d’exploitation  de  type  serveurs,  permet  de  sélectionner  les  rôles  et  les  fonctionnalités à activer sur le poste cible.  Les rôles et fonctionnalités disponibles dépendent du système d’exploitation installé.  Configure DHCP Si le rôle DHCP Server a été installé (voir étape Install Roles and Features), permet de configurer les étendues et  les options du serveur DHCP (IPv4 uniquement).  Scope details  Cette liste contient les étendues DHCP à créer.  General  Configure  les  propriétés  principales  d’une  étendue  DHCP  :  nom,  adresses  IP  de  début  et  de  fin,  masque  de  sous­ réseau et durée des baux.  Advanced  Permet de préciser une plage d’exclusion dans l’étendue à créer, à partir d’une adresse de début et de fin.  Options  Configure  les  options  DHCP  spécifiques  à  l’étendue  (adresses  des  serveurs  DNS  et  de  la  passerelle  par  défaut,  suffixe DNS, etc.).  Server options, Configure  Configure les options DHCP communes à toutes les étendues du serveur DHCP.  Configure DNS Si le rôle DNS Server a été installé (voir étape Install Roles and Features), permet de créer des zones DNS.  Zones  Contient  le  nom  de  la  zone,  son  type  (primaire,  secondaire,  stub,  intégrée  ou  non  à  Active  Directory),  le  nom  du  fichier où la zone sera stockée et son niveau de support des enregistrements dynamiques.  Server Properties 

© ENI Editions - All rigths reserved - Kaiss Tag

124

- 25 -

Configure  les  options  générales  du  serveur  DNS,  telles  que  la  récursivité,  le  tourniquet,  la  protection  contre  la  pollution du cache, etc.  Configure ADDS Cette étape permet d’automatiser complètement la création d’un domaine et d’une forêt Active Directory ou l’ajout  d’un contrôleur à un domaine existant, si le rôle Active Directory Domain Controler a été installé (voir étape Install  Roles and Features).  Les options sont nombreuses et dépendent du type d’action à effectuer. Reportez­vous à l’aide en ligne de MDT pour  plus d’informations sur ces options.  Create  Précise le type d’action à effectuer : nouveau réplica pour un contrôleur de domaine, nouveau contrôleur de domaine  en lecture seule, nouveau domaine dans une forêt existante ou nouvelle forêt.  Advanced  Permet  de  renseigner  les  propriétés  communes  à  toutes  les  actions  :  installation  du  service  DNS  si  nécessaire,  activation du rôle de catalogue global, niveau fonctionnel de la forêt et du domaine, répertoires où stocker la base  NTDS et le SYSVOL, nom du site AD.  Authorize DHCP Une fois le service DHCP installé sur un serveur Windows, celui­ci doit être autorisé par Active Directory à répondre  aux requêtes des clients, afin d’éviter une pollution du réseau par la présence d’un serveur DHCP non officiel.  La  propriété  Account  permet  de  préciser  le  compte  de  domaine  Active  Directory  qui  demandera  l’activation  du  serveur DHCP. 

7. Configuration avancée  a. Profils de sélection  MDT  2010  vous  permet  de  créer  des  sous­dossiers dans les nœ uds  Applications,  Operating Systems,  Packages,  Task Sequences ou encore Out­of­Box Drivers pour y classer les items. Les items importés dans le nœ ud principal  ne  sont  pas  dupliqués  lorsque  vous  les  déplacez  dans  les  sous­dossiers,  seul  un  lien  logique  est  créé.  Ainsi,  les  modifications  effectuées  sur  les  items  dans  les  sous­dossiers  se  répercutent  sur  le  nœ ud  principal  et  réciproquement.  Les  profils  de  sélection  vous  permettent  de  sélectionner  un  ou  plusieurs  dossiers,  créant  ainsi  un  sous­ensemble  particulier d’éléments du partage de déploiement. L’exemple ci­dessous montre l’organisation en sous­dossiers des  éléments d’un partage de déploiement : 

Partage de déploiement organisé en dossiers  La  création  d’un  profil  de  sélection  adéquat  permettra,  par  exemple  de  regrouper  les  éléments  à  destination  des  machines Dell (à destination des Administrateurs) sur lesquelles Windows 7 doit être installé en version 64 bits. 

- 26 -

© ENI Editions - All rigths reserved - Kaiss Tag

125

Ce  profil  de  sélection  pourra  ensuite  être  utilisé  pour  préciser  les  pilotes  de  périphériques  à  inclure  dans  l’image  Windows PE d’amorçage (onglet Windows PE Components des propriétés du partage de déploiement) ou à injecter  lors  de  l’étape  Inject  Drivers,  pour  spécifier  les  packages  à  déployer  dans  l’étape  Install  Updates  Offline,  pour  choisir les éléments répliqués vers un partage de déploiement lié ou pour créer un média de distribution du partage  de déploiement.  Création d’un profil de sélection ■

■

Ouvrez la console Deployment Workbench.  Développez  le  nœ ud  Advanced Configuration  du  partage  de  déploiement  dans  lequel  vous  souhaitez  créer  un  profil de sélection. 

■

Faites un clic droit sur le nœ ud Selection Profiles et sélectionnez l’item New Selection Profile. 

■

Donnez un nom au profil et saisissez éventuellement un commentaire. 

■

Cliquez sur Next. 

■

Sélectionnez  le  partage  de  déploiement,  les  nœ uds  principaux  ou  les  sous­dossiers  à  inclure  dans  ce  profil  de  sélection. 

■

Cliquez sur Next. 

■

Confirmez les paramètres du profil de sélection en cliquant sur Next. 

■

Une fois le profil créé, cliquez sur Finish. 

Propriétés d’un profil de sélection 

© ENI Editions - All rigths reserved - Kaiss Tag

126

- 27 -

b. Partages de déploiement liés  Les  partages  de  déploiement  liés  sont  des  réplicas  complets  ou  partiels  du  partage  de  déploiement  principal.  La  sélection des éléments à répliquer se fait en fonction du profil de sélection configuré pour ce partage lié.  Cette  fonctionnalité  peut  répondre  à  des  besoins  de  réplication  vers  des  sites  distants  (agences,  filiales)  ne  disposant pas d’une connectivité réseau suffisante pour répliquer tout le partage de distribution ou pour restreindre  les éléments mis à disposition d’une population donnée.  Création d’un partage de déploiement lié ■

■

Ouvrez la console Deployment Workbench.  Développez  le  nœ ud  Advanced Configuration  du  partage  de  déploiement  dans  lequel  vous  souhaitez  créer  un  réplica. 

■

Faites un clic droit sur le nœ ud Linked Deployment Shares et sélectionnez l’item New Linked Deployment Share. 

■

Indiquez le chemin UNC de destination (du type \\serveur\partage\répertoire). 

■

Précisez le profil de sélection à utiliser lors de la mise à jour de ce partage de déploiement lié. 

■

Sélectionnez  Merge  the  selected  contents  into  the  target  deployment  share  pour  copier  les  éléments  sans  écraser  les  éléments  de  la  cible,  ou  Replace  the  contents  of  the  target  deployment  share  folders  with  those  selected pour écraser systématiquement les éléments de la cible à chaque mise à jour. 

■

Cliquez sur Next. 

■

Confirmez les paramètres du partage lié en cliquant sur Next. 

■

Une fois le réplica créé, cliquez sur Finish. 

Modification d’un partage de déploiement lié Certaines propriétés du partage de déploiement lié ne peuvent être définies lors de sa création, mais peuvent l’être  ultérieurement en éditant ses propriétés :  ■

Ouvrez la console Deployment Workbench. 

■

Développez le nœ ud Advanced Configuration du partage de déploiement contenant le réplica. 

■

Dans  le  nœ ud  Linked  Deployment  Shares,  faites  un  clic  droit  sur  le  réplica  à  modifier  et  sélectionnez  l’item  Properties. 

Propriétés de l’onglet General

Link identifier  Identifiant interne du réplica.  Comments  Zone informelle de commentaires.  Linked deployment share UNC path  Chemin réseau du partage de déploiement lié.  Selection Profile  - 28 -

© ENI Editions - All rigths reserved - Kaiss Tag

127

Profil de sélection utilisé lors de la mise à jour du partage de déploiement lié.  Merge the selected contents into the target deployment share  Fusionne les éléments du partage principal avec ceux déjà existants dans le partage lié, sans écraser les éléments  de la cible.  Replace the contents of the target deployment share folders with those selected  Remplace tous les éléments du partage de déploiement lié par ceux du partage de déploiement principal à chaque  mise à jour.  Copy standard folders to this linked deployment share  Permet  de  préciser  si  les  répertoires  standard  (scripts  et  outils  MDT,  outil  de  migration  des  données  utilisateur,  fichiers OEM) du partage de déploiement principal doivent être copiés vers le réplica.  Automatically update boot images after replicating content to this linked deployment share  Indique à la console de mettre à jour les images WIM d’amorçage distantes lorsque le réplica est mis à jour. Elles  doivent  en  effet  être  mises  à  jour  pour  pointer  vers  le  partage  réseau  du  réplica  et  non  vers  celui  du  partage  principal.  Access the linked deployment share in single­user mode  Permet d’activer le mode utilisateur unique pour améliorer les performances de réplication et éviter les modifications  bilatérales pendant la mise à jour du réplica (si un autre utilisateur est en train de modifier le partage lié).  Mise à jour d’un partage de déploiement lié La mise à jour du partage de déploiement principal ne déclenche pas automatiquement la réplication du contenu vers  les partages de déploiement liés : ceux­ci doivent être mis à jour manuellement après une modification du partage  de déploiement principal. Pour cela :  ■

Ouvrez la console Deployment Workbench. 

■

Développez le nœ ud Advanced Configuration du partage de déploiement contenant le réplica. 

■

■

Dans le nœ ud Linked Deployment Shares, faites un clic droit sur le réplica à mettre à jour et sélectionnez l’item  Replicate Content.  Une fois le réplica mis à jour, cliquez sur Finish. 

Selon les propriétés du partage de déploiement lié, MDT va monter, lors de la mise à jour, l’image WIM d’amorçage  distante pour y modifier le chemin UNC vers lequel le client de déploiement doit se connecter.  Dès  lors  qu’une  première  mise  à  jour  du  partage  lié  a  été  faite,  celui­ci  peut  être  ajouté  à  la  console  Deployment  Workbench  afin  d’en  modifier  les  propriétés  (clic  droit  sur  le  nœ ud  Deployment  Shares,  item  Open  Deployment  Share). 

© ENI Editions - All rigths reserved - Kaiss Tag

128

- 29 -

Affichage du partage de déploiement lié dans la console 

c. Distributions sur médias  La création d’un média de distribution permet de fournir un moyen d’installation aux postes ne disposant pas d’une  connexion réseau (agences isolées, par exemple) ou lorsqu’un déploiement réseau ne peut être envisagé (pas de  support du PXE, bande passante insuffisante, etc.). Les médias de distribution se basent sur les profils de sélection  pour choisir les éléments à embarquer dans les images WIM et ISO générées lors de la mise à jour du média.  Création d’un média de distribution Pour créer un média de distribution de votre partage de déploiement :  ■

■

Ouvrez la console Deployment Workbench.  Développez  le  nœ ud  Advanced Configuration  du  partage  de  déploiement  dans  lequel  vous  souhaitez  créer  un  média. 

■

Faites un clic droit sur le nœ ud Media et sélectionnez l’item New Media. 

■

Saisissez le chemin dans lequel stocker les fichiers nécessaires et les images WIM ou ISO qui seront générées. 

■

Indiquez le profil de sélection à utiliser pour générer ce média. 

■

Confirmez les paramètres de création en cliquant sur Next. 

■

Une fois le média créé, cliquez sur Finish. 

Modification d’un média de distribution Le média de distribution dispose des mêmes propriétés qu’un partage de déploiement standard, mais l’assistant ne  propose qu’un choix restreint de propriétés lors de la création. La configuration détaillée du média de distribution se  fait via ses propriétés : 

- 30 -

© ENI Editions - All rigths reserved - Kaiss Tag

129

■

Ouvrez la console Deployment Workbench. 

■

Développez le nœ ud Advanced Configuration du partage de déploiement contenant le média. 

■

Dans le nœ ud Media, faites un clic droit sur le média à modifier et sélectionnez l’item Properties. 

Onglet General

Media identifier  Identifiant interne du média.  Comments  Zone informelle de commentaires.  Media path  Chemin  dans  lequel  sont  stockés  les  fichiers  nécessaires  à  la  génération  du  média  et  les  images  WIM  ou  ISO  générées.  Selection profile  Profil de sélection utilisé pour définir les éléments à embarquer dans les images.  Platforms Supported  Permet de préciser les architectures (x86/32bits ou x64/64bits) pour lesquelles un média doit être généré.  Generate a Lite Touch bootable ISO image  Indique s’il faut générer une image ISO en plus des images WIM.  Onglet Rules

Zone de texte  Contenu  du  fichier  CustomSettings.ini  spécifique  à  ce  média  de  distribution.  La  syntaxe  est  identique  à  celle  du  partage de déploiement.  Edit Bootstrap.ini  Ouvre le fichier Bootstrap.ini dans Notepad.  Onglet Windows PE Settings

Custom background bitmap file  Fond d’écran affiché pendant toute la durée du déploiement.  Extra directory to add  Répertoire additionnel à inclure dans l’image d’amorçage du média.  Scratch space size  Taille du RAM drive disponible dans Windows PE, en méga octets.  Onglet Windows PE Components

Selection profile  Indique le profil de sélection contenant les pilotes de périphériques qui seront disponibles dans Windows PE. 

© ENI Editions - All rigths reserved - Kaiss Tag

130

- 31 -

Include all drivers from the selection profile  Indique à MDT d’inclure tous les pilotes de périphériques du profil de sélection spécifié, quels que soient leurs types.  Include only drivers of the following types  Indique  à  MDT  d’inclure  uniquement  les  pilotes  de  périphériques  du  profil  de  sélection  répondant  aux  types  sélectionnés (réseau, stockage, vidéo ou système).  Feature packs  Packages additionnels à inclure dans l’image d’amorçage (seul ADO est disponible, pour l’accès éventuel à la base de  données MDT).  Optional Fonts  Polices de caractères optionnelles à inclure (pour les pays asiatiques uniquement).  Mise à jour un média de distribution Tout comme le partage de déploiement lié, le média de distribution n’est pas mis à jour automatiquement lors de la  mise à jour du partage de déploiement principal. Il est nécessaire de déclencher la régénération des images ISO et  WIM manuellement :  ■

Ouvrez la console Deployment Workbench. 

■

Développez le nœ ud Advanced Configuration du partage de déploiement contenant le média. 

■

Dans le nœ ud Media, faites un clic droit sur le média à mettre à jour et sélectionnez l’item Update Media Content. 

■

Une fois les images régénérées, cliquez sur Finish. 

d. Base de données  Jusqu’à  présent,  vous  avez  pu  constater  que  les  déploiements  de  postes  avec  MDT  suivaient  un  processus  relativement linéaire, où le seul moyen de personnaliser les déploiements en fonction des postes était de laisser le  choix à l’opérateur. Cependant, tout en conservant une logique d’automatisation maximale des déploiements, il est  possible d’en automatiser également la personnalisation grâce à la base de données MDT.  Cette  base  de  données  relationnelle  va  servir  à  identifier  les  postes  de  manière  individuelle  grâce  à  leurs  informations  spécifiques  (adresse  physique  de  la  carte  réseau,  numéro  de  matériel,  GUID,  etc.)  et  à  prédéfinir  les  actions  à  effectuer  sur  ceux­ci.  Il  est  également  possible  d’appliquer  des  propriétés  à  des  sites  réseau  entiers,  identifiés  par  l’adresse  IP  de  passerelle  affectée  au  client  de  déploiement,  ou  aux  postes  d’un  fabricant  ou  d’un  modèle donné.  Le  principe  de  fonctionnement  de  la  base  de  données  MDT  est  de  demander  à  l’agent  de  déploiement,  via  les  propriétés du partage (et donc du fichier CustomSettings.ini), d’exécuter des requêtes sur des tables SQL pour en  lire les champs et remplir les valeurs des propriétés nécessaires au déploiement.  L’utilisation de la base de données à la place du fichier CustomSettings.ini permet d’interfacer MDT avec des outils  tiers  (système  de  gestion  des  demandes  par  exemple)  mais  également  de  mettre  en  œ uvre  des  scénarios  de  déploiement différents selon les postes, sans avoir à multiplier les partages de déploiement MDT.  MDT 2010 supporte les bases de données Microsoft SQL Server 2005 et 2008, toutes éditions confondues  (Express, Standard, Entreprise). 

Création d’une base de données MDT La  création  d’une  base  de  données  sur  un  serveur  Microsoft  SQL  Server  nécessite  des  droits  particuliers  sur  le  serveur SQL, renseignez­vous auprès de l’administrateur du serveur SQL Server.  Pour créer une nouvelle base de données MDT :  ■

- 32 -

Ouvrez la console Deployment Workbench. 

© ENI Editions - All rigths reserved - Kaiss Tag

131

■

Développez  le  nœ ud Advanced  Configuration du partage de déploiement pour lequel vous souhaitez créer une  base de données. 

■

Faites un clic droit sur le nœ ud Database et sélectionnez l’item New Database. 

■

Entrez le nom du serveur Microsoft SQL Server devant héberger la base. 

■

Entrez éventuellement le nom de l’instance nommée (si la base ne doit pas être créée sur l’instance par défaut). 

■

Entrez le numéro du port TCP du serveur SQL. 

■

Sélectionnez la librairie Named Pipes (réseaux locaux ou rapides) ou TCP/IP Sockets (réseaux lents ou distants). 

■

Cliquez sur Next. 

■

Sélectionnez l’option Create new database et donnez un nom à cette base. 

■

Cliquez sur Next. 

■

Si vous avez sélectionné le protocole Named Pipes pour la connexion à la base de données, entrez le nom d’un  partage réseau existant sur le serveur SQL auquel le client de déploiement se connectera pour s’authentifier. 

■

Cliquez sur Next. 

■

Confirmez les paramètres de création en cliquant sur Next. 

■

Une fois la base de données créée, cliquez sur Finish. 

Le nœ ud Database présente désormais quatre sous­éléments : Computers, Roles, Locations et Make and Model.  Configuration des règles Pour  que  l’assistant  de  déploiement  puisse  utiliser  les  valeurs  enregistrées  dans  la  base  de  données,  celui­ci doit  connaître les tables et les champs contenant les données, ainsi que les informations de connexion pour y accéder.  Toutes ces indications lui sont données à travers le fichier CustomSettings.ini, et les sections complémentaires qui  vont  y  être  créées.  Vous  pouvez  soit  renseigner  le  fichier  CustomSettings.ini  à  la  main  en  créant  une  nouvelle  section pour chaque table de la base de données, soit utiliser l’assistant de configuration des règles.  Propriétés MDT pour la connexion à la base de données

[section]  Nom de la section.  SQLServer  Nom du serveur SQL auquel se connecter.  SQLShare  Nom  du  partage  de  fichiers  utilisé  pour  préétablir  l’authentification  intégrée  dans  le  cas  d’une  connexion  via  le  protocole Named Pipes.  Instance  Nom de l’instance (optionnel).  Port  Numéro du port sur lequel le service SQL du serveur écoute les connexions. 

© ENI Editions - All rigths reserved - Kaiss Tag

132

- 33 -

Database  Nom de la base de données.  Netlib  Protocole  utilisé  pour  établir  la  connexion  :  DBNMPNTW  pour  le  protocole  Named  Pipes  ou  DBMSSOCN  pour  TCP/IP  sockets.  DBID  Si  le  serveur  est  configuré  pour  utiliser  la  méthode  d’authentification intégrée SQL, nom de l’utilisateur  SQL.  Cette  méthode n’est pas recommandée car le nom de l’utilisateur et le mot de passe sont stockés en clair dans le fichier  CustomSettings.ini.  DBPwd  Mot de passe de l’utilisateur SQL spécifié par la propriété DBID.  Table  Nom de la table ou de la vue contenant les informations.  Parameters  Noms des champs contenant les informations (utilisés dans la clause WHERE de la requête).  ParameterCondition  Indique si le résultat de la requête doit correspondre à tous les paramètres (AND) ou à un seul des paramètres au  minimum (OR).  Order  Noms et ordre des champs dans lequel les résultats de la requête doivent être triés.  La section ainsi créée doit également être déclarée dans la propriété Priority de la section Settings.  Exemple de fichier CustomSettings.ini utilisant une base de données MDT :  [Settings] Priority=CSettings, Default [Default] OSInstall=YES [Csettings] SQLServer=WDS2K8 Instance=SQLEXPRESS Port=1433 Netlib=DBMSSOCN Database=MDT1 DBID=sa DBPwd=secret Table=ComputerSettings Parameters=UUID,AssetTag,SerialNumber,MacAddress ParameterCondition=OR La  création  manuelle  des  sections  d’accès  à  la  base  de  données  étant  assez  fastidieuse,  la  console  Deployment  Workbench propose fort heureusement un assistant de configuration des règles permettant de préciser quelles sont  exactement  les  informations  que  vous  souhaitez  obtenir  de  la  base  de  données,  et  pour  lesquelles  il  va  automatiquement créer les sections correspondantes dans le fichier CustomSettings.ini.  Pour configurer les règles d’accès via l’assistant :  ■

- 34 -

Ouvrez la console Deployment Workbench. 

© ENI Editions - All rigths reserved - Kaiss Tag

133

■

■

■

■

■

Développez  le  nœ ud Advanced  Configuration du partage de déploiement pour lequel vous souhaitez créer une  base de données.  Faites un clic droit sur le nœ ud Database et sélectionnez l’item Configure Database Rules.  Cochez  les  cases  correspondant  aux  informations  que  vous  souhaitez  obtenir  sur  les  postes  à  déployer  (identifiants spécifiques, rôles, applications à installer, packages SMS ou administrateurs à assigner à ces postes).  Cliquez sur Next.  Cochez  les  cases  correspondant  aux  informations  que  vous  souhaitez  obtenir  sur  les  emplacements  géographiques (noms, informations spécifiques, rôles, applications, etc.). 

■

Cliquez sur Next. 

■

Cochez les cases correspondant aux informations sur les fabricants et sur les modèles. 

■

Cliquez sur Next. 

■

Cochez les cases correspondant aux informations sur les rôles. 

■

Cliquez sur Next. 

■

Confirmez les règles à créer en cliquant sur Next. 

■

Une fois les règles créées, cliquez sur Finish. 

L’assistant de configuration des règles a créé, pour chaque case cochée, une section de connexion à la base dans le  fichier CustomSettings.ini et a ajouté cette section à la propriété Priority.  L’assistant ne permet pas de supprimer les sections créées dans le fichier CustomSettings.ini, même si les  cases correspondantes sont décochées lors d’une exécution ultérieure. 

Déclaration d’un nouveau poste Pour effectuer des déploiements personnalisés par poste, vous devez tout d’abord déclarer ce poste dans la base  de données et fournir des informations spécifiques permettant de l’identifier. Pour déclarer un nouveau poste :  ■

■

Ouvrez la console Deployment Workbench.  Développez le nœ ud Advanced Configuration du partage de déploiement pour lequel vous souhaitez provisionner  un poste. 

■

Développez le nœ ud Database. 

■

Faites un clic droit sur le nœ ud Computers et sélectionnez l’item New. 

■

■

■

Dans l’onglet Identity, entrez un identifiant de matériel, un identifiant unique (UUID), un numéro de série ou une  adresse physique de carte réseau (adresse MAC).  Dans  l’onglet  Details,  vous  pouvez  attribuer  une  valeur  à  n’importe  quelle  propriété  utilisée  par  l’agent  de  déploiement MDT.  Dans  l’onglet  Applications,  vous  pouvez  spécifier  quelles  sont  les  applications  à  installer  sur  ce  poste,  et  dans  quel ordre.  L’onglet ConfigMgr Packages fait référence aux packages SMS ou System Center Configuration Manager (dans le  cas de déploiements couplés à ces systèmes).  © ENI Editions - All rigths reserved - Kaiss Tag

134

- 35 -

L’onglet  Roles  permet  d’affecter  le  poste  à  un  ou  plusieurs  rôles  déclarés  dans  la  base  de  données  et  de  lui  appliquer les propriétés définies sur les rôles en question.  L’onglet Administrators permet de créer des comptes locaux administrateurs du poste ou d’ajouter des comptes  et des groupes existants.  ■

Cliquez sur OK. 

L’identifiant unique UUID est souvent affiché dans le BIOS de l’ordinateur ou lors d’une tentative d’amorçage  sur le réseau, à côté de l’adresse MAC. 

Déclaration d’un site La déclaration d’un site dans la base de données permet d’affecter les mêmes propriétés à tous les postes déployés  sur un même site réseau. L’identification du site se base sur l’adresse de la passerelle réseau par défaut affectée au  client, manuellement ou par le serveur DHCP du site. Un site peut être reconnu en fonction de plusieurs adresses de  passerelles par défaut. Pour déclarer un nouveau site :  ■

■

Ouvrez la console Deployment Workbench.  Développez le nœ ud Advanced Configuration du partage de déploiement pour lequel vous souhaitez déclarer un  site. 

■

Développez le nœ ud Database. 

■

Faites un clic droit sur le nœ ud Locations et sélectionnez l’item New. 

■

Dans l’onglet Identity, donnez un nom au site. 

■

Cliquez sur Add pour ajouter une adresse IP de passerelle par défaut permettant d’identifier ce site.  Les onglets Details, Applications, ConfigMgr Packages, Roles et Administrators ont le même usage que pour les  éléments de type Computer. 

■

Cliquez sur OK. 

Déclaration d’un rôle Les rôles permettent d’appliquer des profils types de configuration à des postes de travail déclarés individuellement,  à des sites réseau entiers, ou à des postes d’un fabricant ou d’un modèle donné. Pour déclarer un rôle :  ■

■

Ouvrez la console Deployment Workbench.  Développez le nœ ud Advanced Configuration du partage de déploiement pour lequel vous souhaitez déclarer un  rôle. 

■

Développez le nœ ud Database. 

■

Faites un clic droit sur le nœ ud Roles et sélectionnez l’item New. 

■

Dans l’onglet Identity, donnez un nom au rôle.  Les  onglets  Details,  Applications,  ConfigMgr  Packages  et  Administrators  ont  le  même  usage  que  pour  les  éléments de type Computer. 

■

- 36 -

Cliquez sur OK. 

© ENI Editions - All rigths reserved - Kaiss Tag

135

Déclaration de fabricants et de modèles La déclaration de fabricants et de modèles permet d’appliquer un ensemble de propriétés en se basant sur la nature  du  poste.  Ces  informations  sont  accessibles  via  des  requêtes  WMI  (propriétés  Manufacturer  et  Model  de  l’objet  Win32_ComputerSystem) ou via l’utilitaire MSINFO32.EXE. Pour déclarer un modèle :  ■

■

Ouvrez la console Deployment Workbench.  Développez le nœ ud Advanced Configuration du partage de déploiement pour lequel vous souhaitez déclarer un  modèle. 

■

Développez le nœ ud Database. 

■

Faites un clic droit sur le nœ ud Make and Model et sélectionnez l’item New. 

■

Entrez le nom du fabricant dans le champ Make. 

■

Entrez le nom du modèle dans le champ Model.  Les onglets Details, Applications, ConfigMgr Packages, Roles et Administrators ont le même usage que pour les  éléments de type Computer. 

■

Cliquez sur OK. 

© ENI Editions - All rigths reserved - Kaiss Tag

136

- 37 -

Prise en compte des données utilisateur  Lors du déploiement d’un système d’exploitation sur un poste neuf, aucun problème ne se pose quant à la sauvegarde  des  données  présentes  sur  le  disque  dur  :  le  constructeur  fournit  généralement  un  CD  contenant  le  système  d’exploitation et les pilotes, ou à défaut ces derniers sont disponibles sur son site Web de support. En revanche, dans  le cas de la réinstallation d’un poste en cas de problème avec le système d’exploitation ou lors du remplacement d’un  ordinateur par un autre, la prise en compte de données locales de l’utilisateur est indispensable.  À cette fin, Microsoft propose et intègre à WAIK pour Windows 7 un utilitaire appelé User State Migration Tool (USMT),  dans sa version 4. Utilisé dans le cadre d’un déploiement fait avec MDT, cet outil va pouvoir rechercher et sauvegarder  vers  un  partage  réseau  les  données  utilisateur  selon  les  paramètres  spécifiés,  puis  les  restaurer  une  fois  le  poste  réinstallé. Ces actions sont prises en charge nativement par la séquence de tâches Standard Client Task Sequence, à  travers les étapes State Capture/Non­Upgrade/Capture User State et State Restore/Restore User State.  Quatre propriétés du partage de déploiement entrent en compte pour la migration des données utilisateur :  Propriétés importantes pour la migration des données utilisateur UserDataLocation  Peut  être  soit  un  chemin  réseau  vers  lequel  sauvegarder  les  données  de  migration,  soit  AUTO  pour  stocker  les  données en local si la place est suffisante et si le scénario le permet, soit NETWORK pour utiliser l’emplacement spécifié  par les propriétés UDShare et UDDir.  UDShare  Partage réseau vers lequel stocker les données de migration.  UDDir  Sous­répertoire du partage réseau spécifié par UDShare dans lequel stocker les données de migration.  UDProfiles  Nom des profils locaux, séparés par des virgules, à sauvegarder.  ScanStateArgs  Arguments à passer à l’utilitaire USMT ScanState.exe, qui sert à sauvegarder l’environnement de l’utilisateur depuis le  poste source.  LoadStateArgs  Arguments à passer à l’utilitaire USMT LoadState.exe, qui sert à recharger l’environnement de l’utilisateur sur le poste  cible. 

Attention, MDT va automatiquement rajouter les arguments /hardlink, /nocompress, /decrypt, /key ou /keyfile  aux  utilitaires  LoadState.exe  et  ScanState.exe  si  le  scénario  l’exige.  N’ajoutez  pas  ces  arguments  dans  la  configuration du partage de déploiement.  Le fichier d’aide Using the Microsoft Deployment Toolkit disponible en téléchargement avec MDT 2010 présente tous les  scénarios de déploiement et la façon de prendre en charge des données utilisateur pour chacun d’eux. 

© ENI Editions - All rigths reserved - Kaiss Tag

137

- 1-

Résumé  À travers cette présentation du Microsoft Deployment Toolkit, vous avez pu constater qu’un pas supplémentaire était  franchi vers l’automatisation complète du déploiement de Windows. En se basant sur des outils comme WDS et WAIK,  MDT  apporte  de  nouvelles  fonctionnalités  comme  l’installation  dynamique  de  pilotes  de  périphériques,  ou  encore  la  prise en charge des packs linguistiques et des mises à jour.  Cependant, l’ensemble manque encore de souplesse, et si vous souhaitez automatiser entièrement le processus, des  informations sensibles comme des mots de passe doivent être stockées en clair dans des fichiers. Le chapitre suivant,  consacré au déploiement de Windows 7 avec System Center Configuration Manager vous montrera comment mettre en  œ uvre un processus de déploiement entièrement automatisé, sécurisé et performant. 

© ENI Editions - All rigths reserved - Kaiss Tag

138

- 1-

Présentation  Parmi les différentes solutions proposées pour déployer Windows, figure ZTI ou Zero Touch Installation. Cette solution  se base sur les outils de distribution d’applications de Microsoft. L’outil principal est System Center Configuration Manager  (SCCM). Le travail de ce logiciel est de permettre la gestion applicative d’une entreprise de grande envergure. L’ancêtre  de  SCCM  s’appelait  System  Management  Server,  il  avait  comme  tâches  principales  le  déploiement  d’applications  et  l’inventaire applicatif.  En effet, vous avez vu dans les chapitres précédents comment déployer des applications à travers les outils existants.  Le travail de SMS (et maintenant de SCCM) est de réaliser la même chose sur des environnements bien plus grands.  Sur des environnements utilisant des centaines de sites et des milliers de postes de travail, il devient impératif d’avoir  des outils solides permettant de gérer une énorme quantité de données (car même une installation de 10 Mo devient  énorme quand il faut la déployer sur 10000 postes par exemple) réparties sur un grand nombre de sites.  L’ancêtre de SCCM, SMS, se basait principalement sur le déploiement des applications et leur inventaire sur les postes  de travail. Au fil du temps, le produit a évolué pour implémenter des fonctionnalités supplémentaires comme :  ●

Le déploiement de systèmes d’exploitation. 

●

La gestion de la sécurité des postes à travers la mise en quarantaine. 

●

La gestion des licences applicatives. 

●

La gestion des dérives des comportements des postes de travail. 

●

Le déploiement des patchs de sécurité. 

Le but de ce livre, et de ce chapitre, n’est pas de réaliser un dossier exhaustif de toutes ces fonctionnalités. Nous nous  concentrerons  plutôt  sur  la  seule  partie  de  déploiement  des  systèmes  d’exploitation  et  un  peu  sur  le  déploiement  d’applications.  Ce déploiement se réalise à travers le système OSD (pour Operating System Deployment) qui est inclus par défaut dans  la  version  2007  de  SCCM.  Celui­ci  utilise  les  fonctions  des  Services  de  Déploiement  Windows  (voir  chapitre  Windows  Deployment Services) pour permettre à n’importe quel poste de travail du réseau d’accéder à un serveur pour recevoir  une image du système d’exploitation.  SCCM se lie à ce service pour que dès qu’un poste démarre sur le réseau, il contacte le serveur SCCM le plus proche.  Le grand nombre de fonctionnalités de SCCM rend le logiciel difficile d’accès de prime abord. Ceci est principalement dû  à un certain nombre de pré­requis indispensables à son installation. Nous allons nous concentrer, dans ce chapitre, sur  la mise en place de ces pré­requis ainsi que sur l’installation de SCCM 2007 en lui­même. 

© ENI Editions - All rigths reserved - Kaiss Tag

139

- 1-

Installation  Il  faut  savoir  que  l’architecture  SCCM  2007  est  une  architecture  multiserveurs.  Comme  pour  les  serveurs  Windows  2008,  les  différents  serveurs  SCCM  2007  se  séparent  en  rôles  (nous  en  verrons  certains  lors  de  l’installation)  ;  et  comme pour Active Directory, vous pouvez séparer votre infrastructure en différents sites. Attention, il est impératif de  ne  pas  confondre  les  sites  SCCM  avec  les  sites  Active  directory.  Ils  peuvent  correspondre  à  la  même  chose  dans  la  réalité, par exemple le site de Paris dans SCCM représentera sûrement le site de Paris dans Active Directory ; mais ces  deux sites sont définis d’une façon totalement différente dans les deux infrastructures.  Une des premières différences vient du fait que les sites SCCM se divisent entre sites primaires et sites secondaires.  Comme beaucoup d’applications sur de grandes infrastructures, SCCM se repose sur un système de base de données  relationnelles. Dans le cas de SCCM, chaque site primaire a sa propre base de données hébergée par Microsoft SQL  Server.  Cette base de données étant la pierre angulaire de SCCM, c’est le premier pré­requis à mettre en place. 

1. Installation de SQL Server 2008  SCCM est compatible avec SQL Server à partir de la version 2005 Service pack 2. Il est donc impossible de l’installer  (ou bien avec des erreurs) sur des versions antérieures. Dans les cas où vous souhaitez utiliser SQL Server 2005, il  est impératif de le mettre à jour dans sa version SP2 avant de tenter d’installer SCCM.  SCCM n’est pas compatible avec les versions gratuites de SQL Server (SQL Express). Il est impératif d’installer une  version  complète  de  SQL  Server  pour  gérer  SCCM.  En  revanche,  il  est  tout  à  fait  possible  d’utiliser  une  version  d’évaluation dans le cas de tests.  Nous allons ici installer Microsoft SQL Server 2008 sur notre serveur principal.  ■

Sur un serveur 2008 R2, dès le lancement de l’interface d’installation, un avertissement de compatibilité apparaît. 

Avertissement de compatibilité de SQL Server 2008 

■

Cet avertissement est important, car il est impératif d’installer le Service Pack 1 de SQL Server 2008 pour avoir une  compatibilité totale avec Server 2008 R2. À la différence des systèmes Windows, il n’existe pas de version de SQL  Server avec le Service Pack inclus par défaut. Il est donc nécessaire d’installer d’abord la version sans Service Pack  de SQL Server puis d’immédiatement mettre à jour l’installation avec le Service Pack. Donc pour avancer, cliquez sur  le bouton Exécuter le programme. 

© ENI Editions - All rigths reserved - Kaiss Tag

140

- 1-

Choix des types d’installation 

■

À  partir  de  cette  fenêtre  cliquez  sur  le  lien  Nouvelle  installation  autonome  SQL  Server  ou  ajout  de  fonctionnalités à une installation. 

Cluster de basculement : souvent, les personnes entendant parler de cluster pensent aux clusters de calcul.  Ces  systèmes  répartissent  la  charge  de  calcul  entre  plusieurs  serveurs  pour  permettre  de  les  réaliser  plus  vite qu’un serveur seul. Ce sont des clusters de type répartition de charge. Il existe un autre type de serveurs dit  de  basculement.  Leur  but  n’est  pas  de  répartir  la  charge  mais  que  le  service  soit  disponible  quel  que  soit  l’événement extérieur endommageant un serveur. Un cluster est au minimum composé de deux serveurs (appelés  nœ uds)  qui  sont  exactement  identiques.  Pour  garder  ce  statut  identique,  ils  communiquent  tous  les  deux  en  permanence  pour  rester  à  jour.  L’un  de  ces  nœ uds  répond  aux  demandes  des  ordinateurs  (il  est  défini  comme  actif)  tandis  que  l’autre  est  dormant  (défini  comme  passif).  Si  ce  serveur  actif  tombe  en  panne,  le  serveur  passif  devient  actif  presque  immédiatement  (le «  presque »  correspond  à  1,2  secondes  dans  le  cas  de  Windows).  Ceci  permet d’avoir un service aux utilisateurs actif à 99,999% (moins d’une heure d’arrêt par an). Ce type de cluster de  basculement  est  aussi  utilisé  dans  le  cas  d’un  géocluster :  les  deux  nœ uds  sont  alors  séparés  par  plus  de  50  kilomètres pour adresser le problème d’un sinistre sur le site possédant le nœ ud actif. 

■

- 2-

Après  les  fenêtres  standard  de  choix  de  licence  et  d’information,  vous  arrivez  sur  la  fenêtre  de  choix  des  composants à installer. 

© ENI Editions - All rigths reserved - Kaiss Tag

141

Composants SQL Server sélectionnés 

■

Sélectionnez Services Moteur de base de données, ainsi que l’option Outils de gestion ­ De base. 

■

Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

142

- 3-

Choix des instances 

■

■

Choisissez l’option Instance par défaut, indiquez l’emplacement d’installation de SQL Server. C’est aussi à partir de  cette fenêtre que vous pouvez repérer les instances de SQL Server déjà installées sur le serveur.  Cliquez sur Suivant. 

Ajout des comptes d’administration 

■

■

- 4-

À la différence des versions précédentes de SQL Server, la version 2008 ne crée pas automatiquement d’utilisateur  administrateur  sur  la  base  de  données :  il  est  impératif  d’en  ajouter  au  moins  un,  manuellement,  lors  de  l’installation  (l’assistant  d’installation  vous  empêchera  d’aller  plus  loin  si  vous  ne  le  faites  pas).  Cliquez  sur  le  bouton Ajouter l’utilisateur actuel, pour que votre compte apparaisse.  Cliquez sur le bouton Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

143

Installation terminée  Après différentes fenêtres d’installation, votre serveur est maintenant installé avec Microsoft SQL Server 2008.  ■

Cliquez sur le bouton Fermer. 

Immédiatement après l’installation, il est impératif de démarrer l’installation du service pack de SQL Server. Lorsque  vous téléchargerez la mise à jour SP1 de SQL Server 2008, vous découvrirez qu’il y a trois versions de celui­ci alors  qu’il n’y a qu’une seule installation de SQL Server 2008 :  ●

x86 (32 bits) 

●

x64 (64 bits) 

●

IA64 (64 bits pour processeurs Itanium). 

Ceci  est  dû  au  fait  que  l’installation  de  SQL  Server  2008  contient  les  trois  versions  mais  n’installe  que  celle  correspondant au système d’exploitation installé.  Donc,  si  vous  avez  installé  SQL  Server  2008  sur  Windows  Server  en  version  x64,  il  faudra  le  mettre  à  jour  avec  la  version x64 du service pack. 

2. Préparation d’Active Directory  Après l’installation du système de base de données, il est nécessaire de mettre en place les pré­requis permettant à  SCCM de communiquer avec Active Directory.  Le  premier  est  la  mise  à  jour  du  schéma  Active  Directory.  Celle­ci  se  réalise  facilement  avec  l’outil  EXTADSCH.exe,  disponible sur le média d’installation de SCCM. Comme toutes les mises à jour de schéma, il est nécessaire d’avoir les  droits d’administrateur du schéma pour la réaliser. De plus, il est impératif d’avoir réalisé une sauvegarde de l’Active  Directory  avant  cette  mise  à  jour.  Cette  mise  à  jour  déclenchera  une  réplication  sur  la  totalité  de  la  forêt  Active  Directory.    EXTADSCH est situé dans le répertoire \SMSSETUP\BIN\I386.

© ENI Editions - All rigths reserved - Kaiss Tag

144

- 5-

Emplacement de EXTADSCH 

■

Double cliquez sur le programme pour déclencher la mise à jour du schéma. 

Ce programme affichera une fenêtre de type ligne de commande, qui disparaitra rapidement. Pour savoir si cette mise  à jour s’est réalisée correctement, un fichier a été créé en local sur le serveur, à l’emplacement C:\ExtADSch.log, et  contient les informations de mise à jour.  L’infrastructure  SCCM  créera  des  informations  spéciales  directement  dans  le  domaine  Active  Directory,  à  travers  un  conteneur nommé  System Management.  Ce  dossier  n’étant pas créé par l’installation,  il  est  nécessaire  de  le  créer  manuellement.  Ce dossier sera ensuite rempli automatiquement par le serveur SCCM, à condition qu’il dispose des droits de le faire.  C’est pour cette raison qu’il est nécessaire de créer un groupe qui contiendra nos serveurs SCCM. Dans la console  Utilisateurs et ordinateurs Active Directory, il suffit de créer un groupe que nous appellerons Serveurs SCCM. 

- 6-

© ENI Editions - All rigths reserved - Kaiss Tag

145

Création du groupe de serveurs  Ce  groupe  contiendra  notre  serveur.  L’interface  d’ajout  d’utilisateurs  à  un  groupe  n’incluant  pas  par  défaut  les  ordinateurs  dans  sa  recherche,  il  faut  ajouter  ce  type  en  cliquant  sur  le  bouton  Types  d’objets… puis  en  cochant  l’option des ordinateurs. 

Ajout du serveur au groupe créé 

© ENI Editions - All rigths reserved - Kaiss Tag

146

- 7-

Ajout des ordinateurs à la liste de recherche  Le conteneur  System Management étant un dossier de type système, il n’est  pas  possible  de  le  créer  à  travers la  console Active Directory. Pour réaliser cet ajout, il faut passer par la console ADSI. Pour y accéder :  ■

Cliquez sur Démarrer ­ Exécuter. 

■

Entrez la ligne de commande ADSIedit.msc. 

Interface ADSI 

■

- 8-

Faites un clic droit sur Modification ADSI puis cliquez sur l’option Connexion.... 

© ENI Editions - All rigths reserved - Kaiss Tag

147

Paramètres de connexion 

■

Cliquez sur le bouton OK. Puis dirigez­vous dans le dossier CN=System. 

Dossier CN=System 

■

À l’intérieur du dossier, faites un clic droit puis choisissez l’option Nouveau et Objet.... 

© ENI Editions - All rigths reserved - Kaiss Tag

148

- 9-

Choix du type d’objet 

■

Sélectionnez l’option container puis cliquez sur le bouton Suivant. 

Nom du conteneur 

■

- 10 -

Dans la zone de texte Valeur, indiquez System Management (cette valeur n’est pas sensible au fait qu’elle soit en  minuscule ou majuscule). 

■

Cliquez sur Suivant puis sur Terminer. 

■

Cliquez avec le bouton droit sur le nouvel objet créé. 

© ENI Editions - All rigths reserved - Kaiss Tag

149

Modification des propriétés 

■

Sélectionnez l’option Propriétés. 

Ajout du groupe SCCM au permissions 

■

Ajoutez ensuite le groupe Serveurs SCCM créé précédemment avec l’autorisation Contrôle total. 

© ENI Editions - All rigths reserved - Kaiss Tag

150

- 11 -

Cliquez sur OK. 

■

3. Installation du rôle IIS  a. Ajout du rôle  Certaines des fonctionnalités de SCCM se basent sur IIS et ses fonctionnalités associées. Il est donc nécessaire de  l’installer. Pour cela, il faut vous diriger dans la console d’ajout des rôles de Serveur Windows 2008. 

Choix du rôle IIS 

- 12 -

■

Sélectionnez l’option Serveur Web (IIS). 

■

Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

151

Activation de l’ASP 

■

Dans les services de rôle, ajoutez l’option ASP ainsi que Publication WebDAV. 

L’option WebDav n’est pas accessible sur certaines versions de Windows Server 2008 ; dans ce cas, il est  nécessaire de le télécharger sur le site de Microsoft (faites une recherche sur « WebDav Server 2008 »). 

© ENI Editions - All rigths reserved - Kaiss Tag

152

- 13 -

Activation de la compatibilité IIS 6 

■

Faites défiler l’ascenseur, et cochez les options IIS 6 Management Compatibility. 

■

Cliquez sur le bouton Suivant. 

Récapitulatif des informations 

■

Cliquez sur le bouton Installer pour démarrer l’installation. 

Le rôle d’IIS est multiple pour SCCM. Une des grandes nouveautés de SCCM est que la plupart des communications  entre les clients et les serveurs se réalisent à travers les ports 80 et 443. Ces deux ports de communication sont  ceux utilisés pour les communications Internet, ce qui facilite fortement la gestion de flux (ces ports sont gérés par  IIS).  L’ASP  est  nécessaire  pour  permettre  à  SCCM  de  générer  des  rapports  Web  sur  les  différentes  activités.  WebDav  est, quant à lui, utilisé pour permettre la mise en place de l’équivalent d’un partage de fichiers via le protocole http,  nécessaire au client SCCM pour récupérer les programmes à travers le port 80. 

b. Installation des fonctionnalités supplémentaires  Les  derniers  pré­requis  sont  là  pour  permettre  une  meilleure  gestion  de  la  bande  passante,  lors  des  échanges  entre  les  serveurs  SCCM  et  les  clients.  Ces  deux  pré­requis  sont  Background  Intelligent  Transfer  Service  (BITS)  et  Remote Differential Compression (RDC). BITS permet à deux ordinateurs de s’échanger des données en arrière­plan  de leur activité principale. Il est aussi utilisé par les postes de travail pour télécharger leurs packages : en cas de  déconnexion réseau, le service permet la reprise du téléchargement à l’endroit où il a été interrompu.  RDC  assure  la  gestion  des  modifications  intervenues  sur  les  éléments  à  télécharger.  Si  vous  avez  modifié  un  package,  seule  cette  modification  sera  synchronisée  sur  les  différents  points  de  distribution.  Dans  les  anciennes  versions, toutes les données du package étaient répliquées à nouveau.  Par  exemple,  un  package  contenant  Microsoft  Office  fait  plus  de  400  Mo,  si  vous  changez  le  numéro  de  série  d’installation, seul celui­ci sera synchronisé entre vos serveurs. Précédemment, c’était les 400 Mo dans leur totalité  qui étaient échangés autant de fois qu’il y a de serveurs de distribution.  La  mise  en  place  de  ces  deux  pré­requis  se  réalise  à  travers  la  console  d’ajout  de  fonctionnalités  de  Windows 

- 14 -

© ENI Editions - All rigths reserved - Kaiss Tag

153

Server 2008. 

Activation de RDC 

■

Sélectionnez Compression différentielle à distance. 

Activation de BITS 

© ENI Editions - All rigths reserved - Kaiss Tag

154

- 15 -

■

Sélectionnez Service de transfert intelligent en arrière­plan (BITS). 

■

Cliquez sur Suivant. 

Récapitulatif des fonctionnalités activées 

■

Cliquez sur Installer pour lancer l’installation. 

4. Installation de SCCM 2007 SP2  Le Service Pack 2 de SCCM 2007 n’étant pas disponible en français lors de l’écriture de ce livre mais étant nécessaire  au déploiement de Windows 7, les ateliers et les illustrations sont réalisés en anglais. Une fois la totalité des pré­ requis mise en place, reste à installer SCCM 2007.  La procédure présentée ici ne décrit que les étapes importantes de l’installation, ont été omis les écrans ne  nécessitant que l’appui sur le bouton Suivant pour avancer. 

■

- 16 -

Lancez le fichier setup.exe depuis votre média d’installation SCCM 2007 SP2. 

© ENI Editions - All rigths reserved - Kaiss Tag

155

Choix du type d’installation 

■

Sélectionnez Install a Configuration Manager site server. 

■

Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

156

- 17 -

Sélection du paramétrage simple 

■

Choisissez Simple settings. 

■

Cliquez sur Suivant. 

Création du premier site 

- 18 -

■

Indiquez le code à utiliser pour votre premier site SCCM (PRI ici) ainsi que son nom usuel (Primary Site). 

■

Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

157

Sélection des pré­requis 

■

Sélectionnez l’option Check for updates and download newer versions to an alternate path. 

■

Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

158

- 19 -

Répertoire de sauvegarde des pré­requis 

■

Indiquez le chemin devant recevoir les pré­requis puis cliquez sur Suivant. 

Si vous prévoyez d’installer plusieurs serveurs SCCM, il n’est pas nécessaire de télécharger les pré­requis à  chaque  fois.  Il  suffit  de  copier  le  répertoire  spécifié  sur  le  disque  du  prochain  serveur  à  installer,  de  sélectionner  lors  de  l’installation  l’option  The  latest  updates  have  already  been  downloaded  to  an  alternative  path et d’indiquer le répertoire contenant déjà les composants téléchargés. De même, si votre serveur SCCM n’a  pas  accès  à  Internet,  vous  pouvez  télécharger  les  pré­requis  depuis  un  poste  ayant  un  accès  à  Internet,  sans  installer SCCM. Pour ce faire, lancez l’installation avec la commande setup.exe /preReq, seuls les pré­requis seront  alors téléchargés. 

Validation de l’installation 

Après  avoir  sélectionné  vos  options,  l’installation  de  SCCM  va  réaliser  une  vérification  des  pré­requis (SQL,  IIS,  Active  Directory,  etc.)  et  indiquer  ceux  manquants.  Les  lignes  précédées  de triangles  jaunes  sont  des  avertissements sur des pré­requis pouvant empêcher l’utilisation de certains rôles (ici, WSUS qui est un pré­requis  pour  gérer  les  mises  à  jour  à  travers  SCCM).  Ces  avertissements  ne  sont  pas  bloquants  pour  l’installation.  En  revanche, une croix rouge indiquera un pré­requis indispensable faisant défaut. Tant que celui­ci ne sera pas mis  en  place,  l’installation  ne  pourra  pas  continuer.  En  cliquant  sur  le  pré­requis,  l’assistant  affiche  des  informations  détaillées sur l’erreur dans le cadre inférieur. 

■

Cliquez sur Begin Install pour démarrer l’installation. 

Après plusieurs minutes, les différents éléments d’installation de SCCM auront été mis en place sur le serveur. 

- 20 -

© ENI Editions - All rigths reserved - Kaiss Tag

159

Configuration de SCCM 2007  1. Présentation des fonctionnalités  a. Distribution de packages  La première tâche de SCCM est l’installation d’applications à très grande échelle (un nombre pouvant dépasser 100  000  postes).  Mais  à  la  différence  de  l’installation  à  travers  les  stratégies  de  groupe  par  exemple,  il  n’est  pas  obligatoire  que  ces  installations  utilisent  des  fichiers  de  type  Windows  Installer  (fichiers  .msi).  Vous  pouvez  par  exemple utiliser SCCM pour exécuter un script de configuration du poste.  Toujours à la différence des autres systèmes de déploiement Microsoft, SCCM se base sur l’utilisation de points de  distribution, des emplacements réseau où seront entreposés les packages de distribution. L‘avantage de SCCM est  de gérer ces différents points de distributions pour limiter l’impact du déploiement d’un nouveau package sur votre  infrastructure.  En effet, avec les emplacements de distribution conventionnels (i.e. lorsque l’on utilise les stratégies de groupes),  dès  qu’une  nouvelle  application  est  ajoutée,  elle  est  immédiatement  copiée  sur  tous  ces  emplacements.  Ce  comportement  a  un  fort  impact  dans  une  très  grande  entreprise  disposant  de  nombreux  bureaux  répartis  sur  de  multiples endroits. Là où intervient SCCM, c’est que l’on peut :  ●

●

●

Sélectionner les points de distributions à mettre à jour de façon individuelle. Par exemple, il est inutile de  distribuer une application française en Chine.  Mettre en place des règles de synchronisation. Un point de distribution éloigné de la source recevra la mise  à jour d’un package avec une vitesse en adéquation avec sa connexion et l’encombrement de celle­ci.  Effectuer la gestion de la synchronisation : tout transfert entre le point de distribution est compressé pour  limiter l’occupation de bande passante. 

De même, la gestion des packages dans SCCM permet de gérer correctement la désinstallation des applications.  La distribution de packages reste la pierre angulaire de SCCM et la plupart des autres fonctionnalités se basent sur  cette capacité essentielle. 

b. Inventaire  La  fonction  d’inventaire  vient  en  complément  de  la  distribution  de  packages.  Elle  permet  de  connaître  les  composants matériels et logiciels de votre parc informatique.  Complémentaire  à  la  distribution  d’application,  l’inventaire  intervient  après  le  déploiement  d’un  package  pour  remonter les informations sur l’état de votre distribution dans un emplacement centralisé.  Cet  inventaire  permet  ainsi  de  tracer  les  modifications  sur  vos  postes  de  travail  et  de  déployer  des  packages  en  fonction de l’état de votre parc. Un exemple peut être de déployer le Service Pack 1 de Windows Vista seulement  sur les postes disposant de Windows Vista et non pas sur ceux ayant Windows XP. 

c. Autres fonctionnalités  À partir de ces deux fonctions de base, SCCM donne accès à des outils supplémentaires tels que :  ●

●

●

La  distribution  des  mises  à  jour  (Software  updates) :  se  basant  sur  l’infrastructure  WSUS,  cette  fonctionnalité permet d’utiliser l’architecture de distribution de SCCM pour installer les mises à jour sur votre  infrastructure.  Le déploiement des systèmes d’exploitation (OSD) : utilisant cette fois WDS, SCCM permet l’installation sur  vos  ordinateurs  d’un  système  d’exploitation  qui  utilisera  ensuite  le  client  SCCM  et  sa  distribution  de  packages. C’est cette fonctionnalité que nous allons aborder dans ce chapitre.  La  gestion  des  licences  (Asset  Intelligence) :  via  le  processus  d’inventaire,  SCCM  permet  d’avoir  des  statistiques détaillées sur l’utilisation des applications et des versions installées sur les postes. 

© ENI Editions - All rigths reserved - Kaiss Tag

160

- 1-

●

●

●

●

La  gestion  des  configurations  désirées :  toujours  en  utilisant  l’inventaire,  le  système  de  configuration  désirée  permet  de  définir  des  limites  à  l’utilisation  applicative  de  vos  postes.  Vous  pouvez  par  exemple  empêcher  l’installation  de  certains  logiciels  (surtout  s‘ils  sont  soumis  à  licence)  ou  encore  réaliser  des  actions automatiques comme l’envoi de message à l’utilisateur d’un poste posant problème.  Les  rapports :  toutes  les  actions  des  fonctionnalités  de  SCCM  sont  tracées  dans  la  base  de  données.  La  fonction  de  rapports  propose  un  site  Intranet  présentant  des  statistiques  et  tableaux  de  bord  sur  l’infrastructure SCCM. Il est également possible de créer ses propres rapports.  La  gestion  des  appareils  mobiles :  comme  pour  les  postes  fixes,  SCCM  peut  effectuer  la  gestion  et  le  contrôle des appareils mobiles (téléphone, PDA, etc.) via un client allégé spécifique à ces systèmes.  La gestion de la quarantaine réseau : utilisant le système de quarantaine de Windows 2008, SCCM permet  d’assurer une partie des fonctionnalités de quarantaine de ce système. SCCM est utilisé, dans ce cas, pour  gérer la sortie de quarantaine des postes en fournissant les packages de mise à jour à vos postes, pour  que leur état de santé corresponde aux règles établies par l’administrateur. 

2. Activation des composants supplémentaires  a. Fallback status, Server Locator, Reporting et Management Point  Pour  terminer  la  configuration  de  votre  serveur  SCCM,  il  est  nécessaire  d’ajouter  certains  rôles  supplémentaires.  Ces rôles sont :  ●

●

●

Status Report : ce rôle permet aux clients SCCM de remonter leurs informations d’état sur leurs activités.  Reporting  Point :  ce  rôle  met  en  place  un  serveur  Intranet  permettant  aux  administrateurs  d’accéder  aux  rapports d’information de SCCM.  Fallback Status point : ce rôle est mis en place pour permettre aux clients d’avoir accès au serveur, dans le  cas où un serveur de Management ne serait pas accessible. 

Pour ajouter des rôles supplémentaires (composants) :  ■

- 2-

Ouvrez la console SCCM et accédez à l’emplacement : Site Database, Nom de votre site (PRI ­ Primary site dans  notre cas), Site Settings, Site Systems, nom de votre serveur (\\WDS2K8 ici). 

© ENI Editions - All rigths reserved - Kaiss Tag

161

Fenêtre des composants SCCM 07 

■

Cliquez sur l’option New Roles dans le panneau d’actions (à droite de l’écran). 

© ENI Editions - All rigths reserved - Kaiss Tag

162

- 3-

Option d’ajout de rôles 

- 4-

■

Sélectionnez l’option Specify a fully qualified domain name (FQDN) for this site system on the intranet. 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

163

Choix des rôles 

■

Sélectionnez les options Server locator point, Reporting point et Fallback status point. 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

164

- 5-

Option du Server locator point 

■

- 6-

Confirmez les options par défaut de base de données en cliquant sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

165

Option du Reporting Point 

■

Confirmez les options par défaut de reporting en cliquant sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

166

- 7-

Option du fallback status point 

■

Confirmez les options par défaut de fallback en cliquant sur Next. 

Après l’implémentation de ces rôles, il est nécessaire de vérifier que le rôle principal, le Management Point est bien  configuré. Pour cela, toujours dans la même fenêtre :  ■

- 8-

Faites un clic droit sur la ligne ConfigMgr device management point puis sélectionnez Properties. 

© ENI Editions - All rigths reserved - Kaiss Tag

167

Option du Management Point 

■

Vérifiez que l’option Allow devices to use this management point est bien sélectionnée. 

■

Cliquez sur OK. 

Votre serveur dispose maintenant des rôles les plus utiles pour fonctionner. 

b. Mise en place des découvertes d’objets Active Directory  Malgré toutes les étapes précédentes, votre site SCCM n’a pas encore de lien direct avec l’Active Directory. Un coup  d’œ il aux regroupements (collections, en Anglais) SCCM vous montrera qu’elles ne contiennent aucun objet de votre  domaine.  Pour  que  la  base  de  données  de  SCCM  reflète  les  différentes  informations  de  votre  domaine,  il  est  nécessaire de mettre en place les mécanismes de découverte d’Active Directory.  Ces modes de découverte sont disponibles dans l’arborescence Site settings / Discovery Methods. 

© ENI Editions - All rigths reserved - Kaiss Tag

168

- 9-

Fenêtre Discovery methods 

■

Double cliquez sur Active Directory System Discovery. 

Propriétés de la découverte Active Directory 

- 10 -

© ENI Editions - All rigths reserved - Kaiss Tag

169

■

Cochez la case Enable Active Directory System Discovery. 

■

Cliquez sur l’étoile orange au­dessus de la liste. 

■

Sélectionnez les différents conteneurs devant être surveillés (ici nous avons choisi le conteneur "Computers"). 

■

Cliquez sur l’onglet Polling Schedule. 

Intervalles de vérification 

■

Vérifiez que l’intervalle de synchronisation vous convient (plus l’intervalle est petit, plus la base de données sera  sollicitée). 

■

Cliquez sur l’option Run discovery as soon as possible pour déclencher la découverte immédiatement. 

■

Cliquez sur OK. 

La découverte système va retrouver tous les ordinateurs de votre domaine. Les autres mécanismes de découverte  disponibles permettent de découvrir les utilisateurs et les groupes Active Directory. 

c. Création de limites de site (Boundaries)  Comme pour l’Active Directory, il est nécessaire, pour faire correspondre un site SCCM avec un site géographique,  de le lier à un élément physique de votre infrastructure.  Les limites de site permettent de définir le périmètre physique d’un site grâce à ses adresses réseau ou à des sites  Active Directory. Lier un site SCCM directement à des adresses IP permet d’avoir une relation immédiate entre votre  site et un élément physique. Le fait d’utiliser un site Active Directory vous permet d’homogénéiser les informations  de sites entre votre domaine AD et vos sites SCCM. Il ne faut pas oublier qu’il est aussi possible de lier des sous­ réseau IP directement à des sites AD, aussi depuis l’interface Sites et services Active Directory.  ■

Toujours dans la partie Site Settings, dirigez­vous sur Boundaries.  © ENI Editions - All rigths reserved - Kaiss Tag

170

- 11 -

■

Cliquez sur le lien New Boundary dans le panneau d’actions. 

Définition d’une limite de site 

■

■

■

Dans Type, sélectionnez IP Subnet (sous­réseau IP).  Indiquez, dans les zones de texte Network et Subnet mask, les informations correspondant au réseau de votre  site.  Cliquez sur OK. 

Le fait d’avoir créé cette limite permet à vos clients de détecter automatiquement leur site SCCM assigné. Ceci est  très important dans le cas d’ordinateurs portables se déplaçant d’un site à l’autre. 

- 12 -

© ENI Editions - All rigths reserved - Kaiss Tag

171

Déploiements de systèmes d’exploitation avec OSD  Comme  vu  précédemment,  Operating  System  Deployment  (OSD)  est  la  fonctionnalité  permettant  de  déployer  des  systèmes  d’exploitation  sur  les  postes  de  travail  à  travers  le  réseau.  Comme  d’autres  fonctionnalités  (telles  que  la  distribution de mises à jour), SCCM se base sur des outils existants pour leur ajouter des fonctions supplémentaires.  Ici, SCCM utilise le rôle WDS (Windows Deployment Service) de Windows Server, qui permet de distribuer des images via  le protocole PXE. Il est donc nécessaire d’installer ce rôle sur tout serveur SCCM qui utilisera le rôle PXE Service point.  Ce rôle est celui permettant à SCCM de contrôler la couche WDS du serveur. 

1. Implémentation de la distribution réseau  a. Configuration de WDS  L’installation de WDS se réalise à travers l’interface d’ajout de rôle. Après l’installation du rôle, il est nécessaire de  réaliser la configuration du service WDS.  ■

Dans Outils d’administration, cliquez sur Services de déploiement Windows. 

■

Dans Serveurs, sélectionnez votre serveur WDS puis faites un clic droit dessus. 

■

Sélectionnez l’option Configurer le serveur pour démarrer l’assistant. 

Interface d’administration de WDS 

■

Indiquez l’emplacement utilisé par le service pour stocker les images de démarrage. 

© ENI Editions - All rigths reserved - Kaiss Tag

172

- 1-

Choix du répertoire utilisé par WDS 

■

Cliquez sur Suivant. 

Choix de la méthode de réponse 

- 2-

© ENI Editions - All rigths reserved - Kaiss Tag

173

■

Activez la réponse automatique à toutes les demandes des clients et cliquez sur Suivant. 

Options DHCP 

■

Activez les options DHCP 60 et cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

174

- 3-

Fin de configuration de WDS 

■

■

À  la  fin  de  l’assistant,  il  vous  sera  proposé  d’ajouter  des  images  au  serveur  WDS.  Il  est  impératif  que  vous  n’activiez pas cette option. En effet, à partir de ce point, SCCM prendra la main pour contrôler votre serveur WDS.  Cliquez sur Terminer. 

b. Configuration du PXE sous SCCM  Pour lier votre service WDS à SCCM, il faut maintenant activer le rôle PXE service point sur votre serveur.  L’activation de ce rôle passe par l’assistant d’ajout de nouveaux rôles dans le système de site SCCM. 

- 4-

© ENI Editions - All rigths reserved - Kaiss Tag

175

Démarrage de l’assistant d’ajout de rôles 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

176

- 5-

Sélection du rôle PXE 

■

Sélectionnez PXE service point. 

■

Cliquez sur Next. 

Avertissement d’ouverture de port 

■

- 6-

Cette  fenêtre  d’avertissement  vous  indique  qu’il  est  nécessaire  d’ouvrir  des  ports  sur  votre  serveur.  Ceci  est  nécessaire si un pare­feu est implémenté sur votre serveur. Cliquez sur Oui. 

© ENI Editions - All rigths reserved - Kaiss Tag

177

Choix de la méthode de réponse de votre serveur 

■

Sélectionnez l’option Allow this PXE service point to respond to incoming PXE requests. 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

178

- 7-

Choix du compte à utiliser 

■

■

Sélectionnez  l’option  Use  the  PXE  service  point’s  computer  account  pour  indiquer  au  rôle  d’utiliser  le  compte  ordinateur  du  serveur  lors  de  l’accès  à  cette  fonctionnalité.  Cette  fenêtre  va  aussi  créer  un  certificat  pour  authentifier les communications entre le serveur et les clients PXE.  Cliquez sur Finish. 

c. Création d’un regroupement spécifique  Maintenant  que  les  éléments  de  base  ont  été  installés,  nous  allons  configurer  les  paramètres  supplémentaires  comme créer un regroupement qui rassemblera les différents ordinateurs à ajouter dans notre architecture SCCM.  ■

- 8-

Dirigez­vous dans la partie Computer Management ­ Collections. 

© ENI Editions - All rigths reserved - Kaiss Tag

179

Gestion des regroupements SCCM 

■

Cliquez sur le lien New Collection dans le panneau d’actions. 

Création d’un regroupement 

■

Indiquez­lui le nom du regroupement (ici Déploiement OSD). 

© ENI Editions - All rigths reserved - Kaiss Tag

180

- 9-

■

Cliquez sur Next. 

■

Cliquez sur Finish. 

d. Création d’un utilisateur de distribution  Après  la  création  d’un  regroupement,  nous  allons  créer  un  utilisateur  de  domaine  dont  le  client  SCCM  se  servira  pour s’authentifier sur le réseau.  ■

Dans  la  console Utilisateurs  et  ordinateurs  Active  Directory,  choisissez  l’emplacement qui verra cet utilisateur  créé puis faites un clic droit pour sélectionner l’option Nouveau, Utilisateur. 

Création d’un utilisateur AD 

- 10 -

■

Indiquez un nom à votre utilisateur. 

■

Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

181

Option d’utilisateur 

■

■

Indiquez un mot de passe puis sélectionnez les options l’utilisateur ne peut pas changer son mot de passe ainsi  que Le mot de passe n’expire jamais.  Cliquez sur Suivant. 

L’utilisateur venant d’être créé, nous allons donc le lier à nos clients SCCM ;  ■

Dans l’interface de gestion de SCCM, allez dans Site settings puis Client Agents. 

 

■

Double cliquez sur Computer Client Agent. 

© ENI Editions - All rigths reserved - Kaiss Tag

182

- 11 -

Configuration du client SCCM 

- 12 -

■

Dans l’onglet General cliquez sur le bouton Set… pour ajouter le nouvel utilisateur. 

■

Entrez le nom de l’utilisateur sous la forme DOMAINE\utilisateur. 

■

Cliquez deux fois sur le bouton OK. 

© ENI Editions - All rigths reserved - Kaiss Tag

183

Liste des comptes utilisés par SCCM 

■

Pour vérifier que l’ajout de l’utilisateur a bien été pris en compte, il vous suffit d’aller vers le répertoire Accounts.  Celui­ci liste tous les comptes déclarés dans votre infrastructure SCCM. 

2. Capture d’un poste de travail  Maintenant que les bases d’OSD ont été configurées, nous allons mettre en œ uvre la première fonctionnalité d’OSD  :  la  capture  d’un  poste  de  travail.  Cette  fonctionnalité  vous  permet  ainsi  d’installer  et  de  configurer  un  ordinateur  à  votre  convenance,  puis  de  capturer  ce  poste  pour  qu’il  puisse  être  dupliqué  autant  de  fois  que  nécessaire  sur  vos  autres postes de travail. 

a. Création d’un média de capture  La  capture  se  réalise  à  travers  l’utilisation  d’un  média  de  capture  (CD/DVD  ou  encore  une  clé  USB)  qui  copiera  ensuite le contenu de l’ordinateur sur un emplacement réseau. Il est donc impératif de créer un partage accessible  en écriture pour un utilisateur (nous utiliserons ici le compte administrateur de notre serveur). Nous appellerons ce  partage Captures.  ■

Dirigez­vous dans l’emplacement Computer Management, Operating System Deployment, Task Sequence. 

© ENI Editions - All rigths reserved - Kaiss Tag

184

- 13 -

Interface de gestion des séquences de tâches 

■

Cliquez sur le lien, dans la partie droite, nommé Create Task Sequence Media. 

Assistant de création d’un média de séquence de tâches 

- 14 -

■

Sélectionnez l’option Capture media. 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

185

Choix du type de média 

■

■

Sélectionnez CD/DVD Set, indiquez dans la zone de texte Media file l’emplacement où sera créé votre fichier iso  utilisé pour graver le CD.  Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

186

- 15 -

06ri062 

■

Indiquez  l’image  de  boot  à  utiliser.  Pour  éviter  tout  risque  d’incompatibilité,  il  est  conseillé  d’utiliser  l’image  de  démarrage de type x86 (32 bits) puisqu’elle pourra également être exécutée sur les ordinateurs 64 bits. Le choix  du  point  de  distribution  n’est  nécessaire  que  pour  réaliser  le  fichier  ISO,  il  n’est  pas  nécessaire  d’utiliser  un  serveur accessible par le poste à capturer, le média se suffit à lui­même. Cliquez sur Finish. 

Votre fichier ISO créé, il suffit ensuite de le graver pour l’utiliser sur le poste à capturer. 

b. Capture du poste de travail  ■

- 16 -

Sur  le  poste  de  travail  à  capturer,  insérez  le  média  de  capture  pour  qu’il  soit  lancé  à  travers  Windows  7.  Attention,  il  est  impératif  que  ce  poste  de  travail  appartienne  à  un  groupe  de  travail  et  non  à  un  domaine.  Le  système d’exécution automatique du média va lancer le système de capture. 

© ENI Editions - All rigths reserved - Kaiss Tag

187

Assistant de capture 

■

Cliquez sur Next. 

Identification du chemin de capture 

■

■

Indiquez le chemin UNC vers le fichier WIM devant recevoir la capture de votre poste de travail ainsi qu’un nom  d’utilisateur et son mot de passe. Ce compte doit impérativement avoir les droits d’écriture sur le partage.  Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

188

- 17 -

■

Cliquez sur Finish. 

L’assistant va préparer le poste de travail pour sa capture, redémarrer le poste de travail et capturer les disques  locaux vers une image WIM contenant l’intégralité des données du poste de travail.  À la fin de la capture, celle­ci apparaîtra dans l’emplacement Operating System Install Packages. 

Capture créée 

3. Création d’un déploiement  Cette  capture  pourra  être  utilisée  pour  un  déploiement  sur  notre  infrastructure.  Avant  de  l’utiliser, nous allons voir  comment créer un déploiement avec un DVD d’installation de Windows 7 Enterprise. 

a. Ajout d’un système d’exploitation  La  première  étape  est  l’ajout  d’un  système  d’exploitation  à  l’arborescence  OSD.  L’ajout  se  réalise  à  partir  d’un  emplacement réseau, il est donc nécessaire de copier le contenu de votre DVD d’installation de Windows 7 dans un  partage réseau accessible par votre serveur.  ■

- 18 -

Allez dans l’emplacement Computer Management, Operating System Deployment, Operating System Images. 

© ENI Editions - All rigths reserved - Kaiss Tag

189

Répertoire des systèmes d’exploitation 

■

Cliquez sur le lien à droite Add Operating System Image. 

Sélection de l’image d’installation 

■

Sélectionnez le fichier install.wim de votre installation Windows 7. 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

190

- 19 -

Informations de votre système d’exploitation 

■

Automatiquement, SCCM indiquera les métadonnées contenues dans l’image, modifiez­les si nécessaire. 

■

Cliquez sur Next jusqu’à la création de votre image. 

Image ajoutée  Maintenant que votre image a été déclarée dans SCCM, il est nécessaire de la copier sur vos points de distribution : 

- 20 -

© ENI Editions - All rigths reserved - Kaiss Tag

191

■

Allez dans l’emplacement  Computer Management, Operating System Deployment,  Operating System Images,  sélectionnez votre image puis cliquez sur le lien, en bas à droite, nommé Manage Distribution Points. 

Choix des points de distribution 

■

■

Laissez les options par défaut jusqu’à l’écran de sélection des points de distribution. Sélectionnez les deux points  disponibles.  Cliquez sur Next. 

La mise à jour des points de distribution se réalisera en arrière­plan. Étant donné le volume de données à copier  (plusieurs giga octets), cette opération de mise à jour durera plusieurs minutes et doit être réalisée dès le début. 

b. Création d’un package d’installation du client SCCM  L’image  d’un  système  d’exploitation  permet  de  l’installer  sur  vos  postes  de  travail.  Cependant,  pour  qu’il  puisse  communiquer avec votre architecture SCCM et recevoir ses configurations, il est nécessaire d’y installer dès le début  le client SCCM. Pour cela nous allons créer le premier package de notre architecture :  ■

Dirigez­vous vers l’emplacement Computer Management, Software distribution, Packages. 

© ENI Editions - All rigths reserved - Kaiss Tag

192

- 21 -

Gestion des packages SCCM 

■

Cliquez sur le lien dans le menu Actions à droite, New, Package from definition. 

Sélection de la définition 

■

- 22 -

Sélectionnez Configuration Manager Client Upgrade. 

© ENI Editions - All rigths reserved - Kaiss Tag

193

■

Cliquez sur Next. 

Choix du mode d’obtention 

■

Choisissez Always obtain files from a source directory. 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

194

- 23 -

Définition de l’emplacement des sources 

■

■

Dans  la  partie  Source  directory,  indiquez  le  chemin  UNC  vers  les  sources  du  client  SCCM  (\\\SMS_\Client).  Cliquez sur Next. 

  Après la création du package, il est nécessaire de le déployer sur les points de distribution. 

- 24 -

© ENI Editions - All rigths reserved - Kaiss Tag

195

■

Cliquez  sur  le  lien  en  bas  à  droite  nommé  Manage  Distribution  Point.  Il  vous  suffit  ensuite  de  reproduire  les  mêmes  étapes  que  lors  de  la  mise  à  jour  des  points  de  distribution,  pour  le  système  d’exploitation,  effectuée  précédemment. 

c. Création d’une séquence de tâches  Maintenant  que  nous  avons  créé  les  deux  éléments  principaux  de  notre  déploiement,  nous  devons  les  mettre  en  place dans une séquence de tâches. Il s’agit d’un ensemble d’actions réalisant l’installation d’un poste de travail.  ■

Pour créer une séquence de tâches, dirigez­vous vers l’emplacement Computer Management, Operating System  Deployment, Task Sequences. 

Interface de gestion des séquences de tâches 

■

Cliquez sur le lien à droite New, Task sequence. 

© ENI Editions - All rigths reserved - Kaiss Tag

196

- 25 -

Choix du type de séquence de tâches 

■

Sélectionnez l’option Install an existing Image package. 

■

Cliquez sur Next. 

Nom de la séquence de tâches  - 26 -

© ENI Editions - All rigths reserved - Kaiss Tag

197

■

■

Indiquez  un  nom  à  votre  séquence.  Cliquez  sur  le  bouton  Browse  pour  sélectionner  l’image  de  démarrage  à  utiliser.  Cliquez sur Next. 

Option d’installation du système d’exploitation 

■

■

Dans la partie Image package, cliquez sur Browse pour sélectionner l’image de Windows 7. Indiquez le numéro  de série de votre système (sur cette capture il s’agit d’un numéro de client KMS).  Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

198

- 27 -

Choix du domaine 

■

Indiquez les informations nécessaires pour joindre l’ordinateur au domaine (ou indiquez un groupe de travail). 

■

Cliquez sur Next. 

Choix du package d’installation client SCCM  - 28 -

© ENI Editions - All rigths reserved - Kaiss Tag

199

■

Cliquez sur Browse pour sélectionner le package du client SCCM. 

■

Cliquez ensuite sur Next. 

Choix de capture de l’état 

■

■

Désélectionnez  les  options  de  capture  des  paramètres  utilisateur.  Ces  options  ne  sont  utiles  que  si  vous  prévoyez la mise à jour d’un poste de travail tout en gardant les paramètres utilisateur.  Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

200

- 29 -

Option d’installation des mises à jour 

■

■

Cliquez sur Don’t install any software updates.  Cliquez  sur  Next.  Cet  écran  vous  permet  de  déclencher  l’installation  d’un  package  de  mise  à  jour  (il  est  nécessaire d’avoir ajouté le rôle d’installation des mises à jour). 

Votre séquence de tâches étant créée, il reste à l’assigner à vos postes de travail. 

d. Création d’une association d’ordinateur  Pour  déployer  cette  séquence  de  tâches,  il  est  nécessaire  de  la  publier  sur  les  comptes  ordinateurs  connus  de  SCCM.  Pour  cela,  une  association  d’ordinateur  est  nécessaire.  Celle­ci  permet  de  lier  un  identifiant  matériel  de  l’ordinateur  (l’adresse  MAC  ou  adresse  physique  de  la  carte  réseau  ici)  avec  un  compte  ordinateur  créé  dans  l’architecture SCCM.  ■

- 30 -

Dirigez­vous vers le dossier Computer Association. 

© ENI Editions - All rigths reserved - Kaiss Tag

201

Association Ordinateurs 

■

Cliquez sur le lien à droite Import Computer Information. 

Choix du type d’association 

■

Sélectionnez l’option Import single computer. 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

202

- 31 -

Information d’association 

- 32 -

■

Indiquez le nom de l’ordinateur et les informations sur l’élément physique (l’adresse MAC dans notre exemple). 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

203

Choix du regroupement 

■

Sélectionnez le regroupement créé au début (cf. Création d’un regroupement spécifique). 

■

Cliquez sur Finish. 

Désormais,  dès  que  votre  poste  de  travail  démarrera  sur  le  réseau,  il  sera  connu  par  SCCM  sous  le  compte  que  vous venez de créer. 

e. Déploiement  La dernière étape de configuration est la publication de notre séquence de tâches sur le poste de travail que nous  venons de créer.  ■

Revenez dans le dossier Task Sequences. Sélectionnez la séquence de tâches que vous avez créée. 

Administration des séquences de tâches 

■

Cliquez sur le lien en bas à droite Advertise. 

© ENI Editions - All rigths reserved - Kaiss Tag

204

- 33 -

Lien de la séquence avec un regroupement 

- 34 -

■

Donnez un nom à votre publication. 

■

Cliquez sur le bouton Browse… en face du champ Collection pour sélectionner votre regroupement. 

■

Sélectionnez l’option Make this task sequence available to boot media and PXE. 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

205

Choix de l’assignation 

■

■

Dans la partie Mandatory assignments, cliquez sur l’étoile orange et choisissez l’option As soon as possible pour  que la publication démarre dès que possible.  Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

206

- 35 -

Choix de distribution 

■

Cliquez sur Next. 

La  configuration  côté  SCCM  est  maintenant  terminée.  Il  ne  reste  plus  qu’à  démarrer  votre  poste  de  travail  sur  le  réseau pour obtenir cet écran : 

Démarrage PXE  Après le téléchargement de l’image de démarrage, l’installation se réalisera. Votre poste est ensuite inséré dans le  domaine et reconnu par SCCM.  - 36 -

© ENI Editions - All rigths reserved - Kaiss Tag

207

Installation de votre séquence de tâches 

4. Paramétrage supplémentaire  Nous venons de réaliser les actions de base pour déployer un poste de travail Windows 7 dans votre architecture.  Voyons ensemble certaines options supplémentaires pouvant être implémentées. 

a. Création d’un média d’installation  Il  est  parfois  impossible  de  réaliser  une  installation  à  travers  le  réseau  (problème  de  connexion,  peu  de  bande  passante  disponible  sur  les  postes).  SCCM  permet  également  d’installer  votre  système  d’exploitation  depuis  un  média  amovible  (DVD  ou  clé  USB).  La  procédure  à  employer  est  très  proche  de  celle  pour  créer  un  média  de  capture :  ■

Dirigez­vous dans le dossier Task Sequences. 

■

Sélectionnez votre séquence de tâches puis cliquez sur le lien en bas à droite Create Task Sequence Media. 

© ENI Editions - All rigths reserved - Kaiss Tag

208

- 37 -

Choix du type de média 

■

Cliquez sur l’option Stand­alone media. 

■

Cliquez sur Next. 

Emplacement de création du DVD  - 38 -

© ENI Editions - All rigths reserved - Kaiss Tag

209

■

■

Indiquez,  dans Media  size,  la  taille  des  DVD  que  vous  utiliserez.  Ce  paramètre  est  obligatoire  pour  que  SCCM  génère un ou plusieurs DVD d’installation. Choisissez le nom du fichier ISO qui sera créé.  Cliquez sur Next. 

Ajout d’un mot de passe au média 

■

■

Vous pouvez définir ici un mot de passe pour éviter qu’une mauvaise manipulation provoque la réinstallation d’un  poste de travail.  Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

210

- 39 -

Choix de la séquence de tâches assignée au média 

■

Cliquez sur Next. 

Choix du point de distribution 

- 40 -

© ENI Editions - All rigths reserved - Kaiss Tag

211

■

Sélectionnez le point de distribution à ajouter puis cliquez sur le bouton Add. 

■

Cliquez sur Next. 

Après  quelques  minutes  (en  fonction  de  la  quantité  de  données  à  ajouter),  un  fichier  ISO  est  créé.  Il  suffit  de  le  graver  sur  un  CD  et  d’amorcer  un  poste  de  travail  dessus  pour  lancer  l’installation.  Celle­ci  se  déroule  comme  l’installation à travers le réseau. 

b. Ajout de pilotes de périphériques  Une  des  premières  personnalisations  des  postes  est  la  gestion  des  pilotes.  Bien  que  Windows  7  inclue  un  grand  nombre  de  pilotes  de  périphériques,  au  fil  du  temps,  de  plus  en  plus  de  périphériques  ne  seront  pas  connus  nativement par le système d’exploitation. SCCM permet l’ajout de pilotes à la volée sans aucune difficulté.  Pour ajouter un pilote, il faut impérativement utiliser sa version décompressée. La version décompressée contient  un ensemble de fichiers (.dll, .sys ; etc.) ainsi que le paramétrage sous la forme d’un fichier avec l’extension .INF.  ■

Dirigez­vous à l’emplacement Drivers dans Operating System Deployment. 

■

Cliquez sur le lien à droite Import. 

Emplacement des pilotes de périphériques 

■

Indiquez l’emplacement contenant tous vos pilotes. 

■

Cliquez sur le bouton Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

212

- 41 -

Choix des pilotes à implémenter 

■

Sélectionnez tous les fichiers des pilotes que vous souhaitez ajouter. 

■

Cliquez sur le bouton Next. 

Ajout à un package  - 42 -

© ENI Editions - All rigths reserved - Kaiss Tag

213

■

■

Choisissez le package qui recevra ces pilotes (nous vous conseillons de faire un package par type de machines).  Si vous souhaitez créer un nouveau package, cliquez sur le bouton New Package....  Cliquez sur le bouton Next. 

Choix des images de démarrage 

■

■

Sélectionnez  les  images  de  démarrage  devant  recevoir  les  nouveaux  pilotes.  Nous  vous  conseillons  de  ne  sélectionner  que  les  images  correspondant  à  la  même  architecture  (32  ou  64  bits)  que  vos  pilotes.  De  plus,  ajoutez à ces images de démarrage seulement les pilotes indispensables (disques et réseaux).  Cliquez sur Finish. 

© ENI Editions - All rigths reserved - Kaiss Tag

214

- 43 -

Interface de gestion des pilotes  Cette  opération  ayant  mis  à  jour  votre  image  de  démarrage,  il  est  nécessaire  d’envoyer  cette  modification  à  vos  différents points de distribution. Cela s’effectue par le lien Update distribution point disponible après sélection de  vos images de démarrage dans le dossier Boot images. 

c. Ajout d’un package de système d’exploitation  Nous  avons  vu  toutes  les  étapes  d’installation  d’un  système  d’exploitation  à  travers  OSD.  En  revanche,  nous  n’avons nulle part utilisé le package de capture que nous avions réalisé.  ■

- 44 -

Pour  ajouter  le  package  de  capture  à  notre  installation,  rendez­vous  dans  le  dossier  Task  Sequences.  Sélectionnez la séquence de tâches que nous avons créée. 

© ENI Editions - All rigths reserved - Kaiss Tag

215

Administration des séquences de tâches 

■

Cliquez sur le lien Duplicate dans le panneau d’actions. 

Nouvelle séquence de tâches créée 

■

Sélectionnez la nouvelle séquence, cliquez sur le lien Edit. 

© ENI Editions - All rigths reserved - Kaiss Tag

216

- 45 -

Interface d’édition de séquence de tâches 

■

Cette  interface  vous  permet  d’éditer  les  séquences  de  tâches.  Cette  interface  est  très  proche  de  celle  de  MDT  2010 (avec plusieurs options en moins). Mettez­vous au niveau de la tâche Apply  Operating  System  Image et  sélectionnez l’option Apply operating system from an original installation source. 

■

Cliquez sur Browse pour sélectionner votre image de capture. 

■

Cliquez sur OK. 

Votre  nouvelle  séquence  de  tâches  utilisera  maintenant  votre  image  capturée.  Il  vous  suffit  ensuite  de  la  publier  comme pour la séquence précédente pour l’implémenter sur vos postes de travail. 

5. Conclusion  Nous avons vu dans ce chapitre comment utiliser la fonctionnalité OSD de SCCM 2007, pour déployer Windows 7 sur  une  infrastructure.  Cependant,  les  exemples  présentés  ici  ne  couvrent  que  des  cas  simples,  libre  à  vous  de  les  approfondir pour qu’ils correspondent à votre projet de déploiement.  D’autre part, vous avez pu constater que SCCM 2007 était un outil riche en fonctionnalités, mais beaucoup plus lourd  à mettre en œ uvre que WDS, MDT ou WSUS seuls, bien qu’il se base sur eux pour remplir ses fonctions. Son usage  est en réalité plus adapté aux grandes infrastructures ayant un nombre de postes de travail et de sites important  qu’aux petites structures monosites.  Cependant,  étant  donné  qu’il  se  base  sur  des  produits  sous­jacents  disponibles  individuellement,  l’investissement  humain et financier sur ces produits permettra de réutiliser une grande partie des acquis lorsque votre infrastructure  grandira et atteindra une taille où SCCM s’imposera. 

- 46 -

© ENI Editions - All rigths reserved - Kaiss Tag

217

Présentation de WSUS  Tout  administrateur  système  connaît  l’importance  de  l’application  régulière  des  mises  à  jour  Microsoft  et  notamment  des  patchs  de  sécurité.  Ces  derniers  sont,  en  effet,  essentiels  pour  maintenir  votre  parc  informatique  à  l’abri  d’attaques informatiques visant vos systèmes d’exploitation.  Windows Server Update Services (WSUS) est la solution technique proposée par Microsoft afin de permettre une gestion  et un déploiement centralisés des mises à jour Microsoft.  Il  permet  d’utiliser le client Windows Update installé par défaut sur vos systèmes d’exploitation  afin  d’interroger non  plus le serveur de mises à jour Microsoft (www.windowsupdate.com) mais votre propre serveur de mises à jour WSUS.  Vous  aurez  alors  un  contrôle  fin  sur  les  mises  à  jour  à  télécharger  depuis  le  site  Microsoft  économisant  ainsi  votre  bande passante, ainsi que sur la stratégie de validation et de diffusion des mises à jour.  Ce client Windows Update peut être configuré par stratégie de groupes afin de spécifier les heures de déploiement, les  interactions avec l’utilisateur, l’obligation de redémarrer ou non à la suite d’une installation de patchs, etc.  Les  mises  à  jour  proposées  peuvent  être  des  services  packs,  des  ensembles  de  correctifs,  des  patchs  de  sécurité,  concernant  aussi  bien  les  systèmes  d’exploitation  Windows  2000  SP4,  XP,  Vista,  7,  Windows  Server  2003,  Windows  Server  2008,  2008  R2  que  les  applications  Microsoft  les  plus  courantes  (Office,  SQL  Server,  Exchange  Server,  ISA  Server, etc.).  Ces  mises  à  jour  sont  d’autant  plus  nécessaires  que  Microsoft  n’accepte  d’apporter  un  support  en  cas  de  problème  qu’aux applications ou systèmes d’exploitation ayant un niveau de service pack minimum.  Suivant votre infrastructure, WSUS peut se mettre à jour avec le site Microsoft ou bien avec un autre serveur WSUS  "maître". Vous pouvez ainsi avoir une hiérarchie de serveurs WSUS pour gérer vos environnements complexes. 

© ENI Editions - All rigths reserved - Kaiss Tag

218

- 1-

Mise en place de WSUS  WSUS  3.0  SP2  est  disponible  directement  depuis  la  console  Gestionnaire  de  serveur  de  Windows  Server  2008  R2,  Windows Server 2008 SP2, ou Windows Server 2008 avec le patch KB940518 installé.  Son téléchargement se fait alors de façon transparente (à condition que vous ayez un accès à Internet configuré sur ce  serveur)  depuis  le  serveur  Microsoft  ou  depuis  le  serveur  WSUS  maître  (ce  serveur  WSUS  devra  alors  avoir  approuvé  pour installation la mise à jour KB972493) ; sinon, pour les versions serveurs antérieures ou pour une installation hors  ligne, le fichier d’installation est téléchargeable à l’adresse suivante : http://go.microsoft.com/fwlink/?LinkID=161140 

1. Pré­requis à l’installation de WSUS 3.0 SP2  Avant  de  vous  lancer  dans  l’installation  et  la  configuration  de  WSUS,  sachez  que  plusieurs  pré­requis  doivent  être  respectés sur le futur serveur WSUS.  Le serveur doit respecter les pré­requis suivants :  ●

●

●

L’espace  disque  à  prévoir  est  de  1  Go  sur  la  partition  système,  2  Go  pour  la  partition  contenant  la  base  de  données et environ 30 Go pour la partition stockant les mises à jour (la volumétrie dépendra du nombre de  produits et de langues choisis).  WSUS 3.0 SP2 peut être installé sur les systèmes d’exploitation suivants :  ●

Windows Server 2008 R2. 

●

Windows Server 2008 SP1 ou versions ultérieures. 

●

Windows Server 2003 SP1 ou versions ultérieures. 

●

Windows Small Business Server 2008. 

●

Windows Small Business Server 2003. 

Les services suivants doivent également être installés :  ●

●

●

●

●

●

●

IIS 6.0 ou versions ultérieures (avec l’installation du composant ASP.NET et prise en charge des objets  COM+ réseau).  Microsoft.NET  Framework 2.0  ou  versions  ultérieures.  La  version  3.5  est  le  minimum  requis  si  vous  installez Microsoft Report Viewer.  Une  base  de  données  Microsoft  SQL  Server 2008  (Express,  Standard  ou  Enterprise  Edition),  SQL  Server 2005 SP2 ou bien encore la base de données interne de Windows.  Microsoft Management Console 3.0  Microsoft  Report  Viewer  Redistributable 2008  SP1.  Il  est  téléchargeable  à  l’adresse  suivante  :  http://www.microsoft.com/downloads/details.aspx?familyid=BB196D5D­76C2­4A0E­9458­ 267D22B6AAC6&displaylang=fr 

Le  compte  NT\Service  réseau  doit  avoir  les  permissions  Contrôle  total  sur  les  dossiers  %windir% \Microsoft.Net\Framework\v2.0.50727\Temporary ASP.Net Files et le dossier %windir%\temp.  En termes d’accès réseau :  ●

Le pare­feu du serveur WSUS doit être autorisé à se connecter au serveur de mises à jour en amont  (serveurs Microsoft sur Internet ou serveur maître WSUS). Les ports à autoriser sont les ports 80/TCP  et  443/TCP.  Si  votre  pare­feu  ne  le  permet  pas,  vous  pouvez  n’autoriser  que  les  accès  sur  les  URLs  spécifiques dont la liste est disponible à l’adresse suivante : http://support.microsoft.com/kb/885819 

© ENI Editions - All rigths reserved - Kaiss Tag

219

- 1-

●

Si vos postes clients doivent utiliser un serveur proxy pour accéder au serveur WSUS, il faut configurer  le client Windows Update pour utiliser celui­ci. Cette configuration se fait au travers de WPAD ou via la  commande  netsh.  La  commande  à  utiliser  doit  respecter  la  syntaxe  suivante  sous  Windows  Vista  et  Windows 7 :  netsh winhttp set proxy [proxy-server=][:port] [[bypass-list=]].

●

La commande équivalente sous Windows XP est : 

proxycfg -u. ●

Un accès Internet est nécessaire afin de récupérer le fichier source WSUS 3.0 SP2 qui sera téléchargé  par l’assistant de façon transparente. 

2. Installation de WSUS 3.0 SP2  Maintenant que vous connaissez les différents pré­requis, il vous est possible de démarrer l’installation de WSUS sur  votre Windows Server 2008 R2.  La première partie de l’installation consiste à installer les rôles et composants sur lesquels se reposera le rôle WSUS.  Il  s’agit  donc  d’installer  les  rôles  Serveur  d’applications  et  Serveur  Web  IIS  ainsi  que  les  quelques  autres  composants nécessaires.  ■

■

- 2-

Téléchargez  et  installez  le  Report  Viewer  2008  SP1.  L’installation  est  classique  et  ne  nécessite  aucune  configuration.  Ouvrez le gestionnaire de serveur puis choisissez  Ajouter des rôles et cochez Serveur d’applications et Serveur  Web (IIS). L’assistant ajout de rôles vous propose alors d’ajouter les fonctionnalités requises pour le rôle Serveur  d’applications. 

■

Acceptez en cliquant sur Ajouter les fonctionnalités requises. 

■

Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

220

 

■

Sur la page Services du rôle Serveur d’Applications, cochez .Net Framework 3.5.1. 

■

Acceptez les paramètres par défaut puis cliquez sur Suivant. 

 

■

Sur la page Services du rôle Serveur Web (IIS), laissez les paramètres activés par défaut et ajoutez également  les paramètres (et les services de rôles requis, si demandés) ASP.NET, Authentification Windows, Compression de  contenu dynamique et compatibilité avec la gestion IIS 6. 

© ENI Editions - All rigths reserved - Kaiss Tag

221

- 3-

■

Cliquez sur Suivant. 

 

■

■

- 4-

L’écran récapitulatif apparaît alors. Cliquez sur Installer pour débuter l’installation des composants.  Un  panneau  récapitulatif  vous  confirme  ensuite  que  l’installation  s’est  correctement  déroulée.  Si  les  mises  à  jour  automatiques ne sont pas activées, un message d’avertissement apparaîtra à la fin de l’assistant vous invitant à les  activer via le panneau de configuration. Cliquez alors sur Fermer. 

© ENI Editions - All rigths reserved - Kaiss Tag

222

  Une fois ces premiers composants installés, vous pouvez maintenant lancer l’installation de WSUS.  ■

Avant  de  vous  diriger  vers  le  gestionnaire  de  serveur  pour  installer  ce  rôle,  vérifiez  que  vous  avez  bien  donné  la  permission  Contrôle  Total  au  compte  Autorité  NT\Service  réseau  sur  les  dossiers  %windir% \Microsoft.Net\Framework\v2.0.50727\Temporary ASP.Net Files et sur le dossier %windir%\Temp. 

■

Ouvrez le gestionnaire de serveur, puis Ajouter des rôles. 

■

Choisissez alors le rôle Services WSUS (Windows Server Update Services). 

© ENI Editions - All rigths reserved - Kaiss Tag

223

- 5-

 

■

■

Cliquez  sur  Installer.  L’assistant  se  connecte  alors  à  Internet  afin  de  télécharger  automatiquement  le  fichier  d’installation (80 Mo environ). 

■

Une fois le fichier d’installation téléchargé, l’assistant d’installation WSUS 3.0 SP2 s’ouvre alors. Cliquez sur Suivant. 

■

À l’étape du contrat de licence, sélectionnez J’accepte les termes du contrat de licence. 

■

Cliquez sur Suivant. 

■

- 6-

Cliquez sur Suivant. 

Sélectionnez  alors  la  partition  sur  laquelle  seront  stockés  les  fichiers  de  mises  à  jour  téléchargés.  Bien  que  l’assistant  indique  un  minimum  de  6  Go,  il  est  généralement  conseillé  de  sélectionner  une  partition  non­système  d’au moins 30 Go. 

© ENI Editions - All rigths reserved - Kaiss Tag

224

 

■

Cliquez sur Suivant. 

 

■

L’assistant vous demande alors de sélectionner l’emplacement de la base de données utilisée par WSUS. Vous avez  le choix entre installer localement la base de données interne Windows ou utiliser un serveur SQL local ou distant.  Dans le cas d’un serveur SQL, entrez le nom de l’instance sous la forme \. Dans le cas  d’une  connexion  à  un  serveur  SQL,  l’étape  suivante  sera  d’établir  une  connexion  avec  ce  serveur.  Dans  notre  exemple, choisissez d’Installer la base de données interne Windows sur cet ordinateur. 

© ENI Editions - All rigths reserved - Kaiss Tag

225

- 7-

■

Cliquez sur Suivant. 

 

■

Sur la page Sélection du site Web, indiquez les préférences du site web. Si vous possédez déjà un site écoutant  sur le port 80, choisissez de Créer un site web Windows Server Update Services 3.0 SP2 afin que celui­ci écoute  sur  un  port  différent  (port  8530).  Dans  notre  exemple,  aucun  site  n’est  configuré  et,  par  conséquent,  l’option par  défaut Utiliser le site Web IIS par défaut existant est correcte. 

■

Cliquez sur Suivant. 

■

L’assistant affiche un récapitulatif des choix effectués précédemment. Cliquez sur Suivant pour lancer l’installation. 

Une fois l’installation terminée, vous devriez arriver à la fenêtre ci­dessous vous indiquant que tout s’est correctement  déroulé : 

- 8-

© ENI Editions - All rigths reserved - Kaiss Tag

226

 

■

L’assistant  Ajout  de  rôle  finit  alors  de  collecter  les  informations  relatives  à  l’installation.  Un  assistant  de  configuration de Windows Server Update Services se lance vous demandant de vérifier les différents points évoqués  précédemment  concernant  la  connectivité  réseau.  Vérifiez  à  nouveau  les  points  cités  ici  avant  de  continuer  en  cliquant sur Suivant. 

  L’étape  suivante  consiste  à  vous  inscrire  ou  pas  au  programme  d’amélioration  de  Microsoft  Update.  Votre  serveur 

© ENI Editions - All rigths reserved - Kaiss Tag

227

- 9-

WSUS  enverra  alors  des  informations  non  nominatives  à  Microsoft.  Ces  dernières  sont  très  utiles  à  l’éditeur  qui  recoupe réellement les données des différents serveurs pour proposer des produits de meilleure qualité. Libre à vous  de vous inscrire ou non à ce programme.  ■

■

Cliquez sur Suivant.  Choisissez  le  serveur  en  amont,  à  partir  duquel  ce  serveur  WSUS  ira  chercher  ses  mises  à  jour.  En  effet,  il  est  possible d’avoir une hiérarchie de serveurs. Cela est fort pratique dans les grandes entreprises où un processus de  gestion  de  patchs  (qualification,  tests,  etc.)  est  généralement  en  place  afin  de  détecter  et  corriger  les  effets  indésirables  sur  des  applications  suite  à  l’installation de ces patchs. (Plus d’infos sur le processus de gestion des  patchs  à  cette  adresse  :  http://technet.microsoft.com/fr­fr/library/dd550625.aspx).  L’avantage  d’avoir  un  serveur  WSUS en amont est que celui­ci diffusera uniquement les patchs testés et validés (par une équipe spécialisée) aux  autres  serveurs  WSUS  des  différentes  divisions  dépendantes.  Les  serveurs  enfants  s’appellent  des  serveurs  réplicas. Vous aurez ainsi la maîtrise sur les patchs installés sur l’ensemble  de  votre  entreprise.  L’autre avantage  d’avoir plusieurs WSUS répartis est l’économie de bande passante pour certains sites ne disposant pas d’un débit  important ; cet argument est moins recevable dans la mesure où un poste patché peut désormais servir de relais de  mise à jour (vous verrez cela un peu plus loin dans ce chapitre).  Dans  cet  exemple,  nous  avons  une  architecture  simple  qui  se  résume  à  un  seul  WSUS  qui  se  connecte  donc  à  Internet. Choisissez l’option Synchroniser à partir de Windows Update. 

■

Cliquez sur Suivant. 

 

■

■

- 10 -

Si votre serveur WSUS doit utiliser un proxy pour pouvoir se connecter au site de Microsoft, indiquez ici l’adresse du  proxy, ainsi que les identifiants éventuels. Si ce n’est pas le cas, ne cochez rien.  Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

228

 

■

■

Cette étape consiste à se connecter au serveur en amont (dans notre exemple au site Microsoft Windows update)  afin de tester les informations fournies précédemment et récupérer les informations sur les types de mises à jour,  les produits, les langues, etc.. Cliquez sur Démarrer la connexion.  Après quelques minutes, vous avez la possibilité de cliquer sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

229

- 11 -

 

■

■

- 12 -

Choisissez  les  langues  d’installation  des  mises  à  jour.  Ne  cochez  que  le  strict  nécessaire  suivant  les  langues  installées sur les systèmes d’exploitation de votre parc informatique.  Cliquez ensuite sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

230

 

■

■

Sélectionnez  alors  les  produits  que  vous  souhaitez  mettre  à  jour.  Une  longue  liste  d’applications  Microsoft  est  disponible. Par défaut, les systèmes d’exploitation clients et serveurs Windows sont sélectionnés.  Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

231

- 13 -

 

■

■

- 14 -

Indiquez alors les différents types de classifications pour lesquels les mises à jour seront téléchargées. Les options  par défaut sont correctes. Le Service Pack des produits précédemment sélectionnés peut être utile mais attention  cependant à l’espace disque nécessaire au stockage de celui­ci pour les différents systèmes d’exploitation.  Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

232

 

■

■

Choisissez  alors  le  type  de  planification  de  ce  serveur  afin  d’interroger  son  serveur  en  amont.  Préférez  une  planification quotidienne à une planification manuelle sauf si vous avez des contraintes fortes en termes de débit  réseau. Dans cet exemple, une interrogation quotidienne à 23 heures est effectuée.  Cliquez alors sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

233

- 15 -

  Vous  pouvez  alors  lancer  immédiatement  la  synchronisation  avec  le  serveur  en  amont.  Cela  ne  sera  pas  forcément  consommateur en termes de débit réseau dans la mesure où vous aviez précédemment indiqué que seules les mises  à jour approuvées seraient téléchargées. À ce moment de l’installation, aucune mise à jour n’a été approuvée et par  conséquent seule la liste des patchs à télécharger sera récupérée depuis Internet. En revanche, une fois les patchs  approuvés  depuis  la  console  WSUS  (cf.  Approbation  et  déploiement  des  mises  à  jour),  lancez  cette  première  synchronisation de préférence en heures non ouvrées.  ■

- 16 -

Choisissez Commencer la synchronisation initiale et cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

234

  La dernière fenêtre vous guide alors sur les pages d’aide des principales étapes à réaliser afin de pouvoir commencer  à réellement utiliser votre serveur WSUS. Vous verrez en détail un peu plus loin ce qu’il reste à effectuer.  ■

Cliquez sur Terminer. 

© ENI Editions - All rigths reserved - Kaiss Tag

235

- 17 -

  Le gestionnaire de serveur vous indique alors le résultat de l’installation.  ■

- 18 -

Cliquez sur  Fermer. En cas de problème, vous pouvez consulter les fichiers de log d’installation de WSUS dans le  dossier %tmp% de l’utilisateur. 

© ENI Editions - All rigths reserved - Kaiss Tag

236

Exploitation de WSUS 3.0 SP2  La  gestion  des  mises  à  jour  Microsoft  avec  WSUS  se  fait  au  travers  de  deux  outils.  La  console  MMC  dédiée  à  WSUS  pour gérer les mises à jour à installer et les stratégies de groupe afin de configurer les paramètres liés à l’installation  de ces mises à jour sur les postes clients. 

1. Configuration des postes clients WSUS  Avant toute chose, il convient de configurer les stratégies de groupe des postes clients afin que ces derniers soient  détectés par WSUS.  Pour  cela,  éditez  la  stratégie  de  groupe  impactant  le  groupe  d’ordinateurs  souhaité  afin  que  le  service  Windows  Update  du  poste  client  pointe  vers  le  serveur  WSUS  et  non  plus  le  serveur  Microsoft  Windows.  L’édition  d’une  stratégie au niveau du domaine peut tout à fait être envisagée si tous les postes de travail du domaine doivent se  mettre à jour sur un même serveur WSUS. Si ce n’est pas le cas, il faudra préférer définir cette stratégie de groupe au  niveau des unités d’organisation, contenant les ordinateurs pour lesquels vous souhaiterez avoir ce serveur WSUS  comme référence pour récupérer les mises à jour.  Plusieurs paramètres de stratégie concernent la configuration d’une stratégie WSUS sur les postes clients. 

a. Stratégie du client Windows Update  La  plupart  des  options  de  configuration  du  client  Windows  Update  se  configurent  au  niveau  de  la  stratégie  Configuration ordinateur/Stratégies/Modèles d’administration/Composant Windows/Windows Update. 

  Voici les paramètres les plus intéressants parmi ceux proposés au niveau de cette stratégie :  Paramètre 

Choix possible 

Configuration du service Mises à jour  Windows. 

Lorsque ce paramètre est activé, voici les options possibles :   2 ­ Notification des téléchargements et des installations. Cette  option affiche une notification avant le téléchargement et avant  l’installation des mises à jour à un utilisateur qui a ouvert une  session avec des droits Administrateurs.  3 ­ Téléchargement automatique et notification des 

© ENI Editions - All rigths reserved - Kaiss Tag

237

- 1-

installations. Cette option lance automatiquement le  téléchargement des mises à jour, puis affiche une notification  avant d’installer les mises à jour à un utilisateur qui a ouvert une  session avec des droits administrateurs.  4 ­ Téléchargement automatique et planification des  installations. Cette option lance automatiquement le  téléchargement des mises à jour puis les installe à la date et  l’heure que vous spécifiez. L’installation se déroule même si  l’utilisateur n’a pas les droits administrateurs.  5 ­ Autoriser l’administrateur local à choisir les paramètres.  Cette option permet une gestion locale de la stratégie de mise à  jour. Les administrateurs locaux peuvent utiliser le service Mises  à jour automatiques depuis le panneau de configuration pour  sélectionner l’option de configuration de leur choix.   Spécifier l’emplacement intranet du  service de mise à jour Microsoft. 

Ce paramètre est indispensable. Il permet d’indiquer le serveur  WSUS interrogé par les clients. Indiquez alors l’URL HTTP du  même serveur WSUS dans les zones Configurer le service  intranet de Mise à jour pour la détection des mises à jour et  Configurer le serveur intranet de statistiques. 

Fréquence de détection des mises à jour  Permet d’indiquer l’intervalle de temps, en heures, au bout  automatiques.  duquel le poste client ira vérifier la disponibilité de nouvelles  mises à jour. Lorsque ce paramètre n’est pas configuré ou est  désactivé, l’intervalle de temps par défaut est de 22 heures.  Autoriser les non­administrateurs à  Ce paramètre permet à un utilisateur sans droit de recevoir les  recevoir les notifications de mise à jour.  notifications de nouveaux patchs et de pouvoir installer des  mises à jour (sauf pour Windows 7).  Ce paramètre est désactivé par défaut.  Pas de redémarrage automatique avec  des utilisateurs connectés pour les  installations planifiées de mises à jour  automatiques. 

Si le paramètre est activé et qu’un utilisateur a une session  ouverte, le redémarrage n’est pas forcé sur le poste ; un  message invitant l’utilisateur à redémarrer s’affiche uniquement. 

Délai de redémarrage pour les  installations planifiées. 

Indique la durée en minutes avant que les mises à jour  automatiques ne procèdent à un redémarrage de l’ordinateur.   Par défaut, la valeur est de 15 minutes. 

Replanifier les installations planifiées  des mises à jour automatiques. 

Permet de définir une durée d’attente avant l’installation de  mises à jour planifiées qui n’ont pas pu avoir lieu plus tôt. 

Autoriser le ciblage côté client. 

Permet de définir le ou les noms de groupes cibles (séparés par  un point­virgule) configurés dans WSUS afin de déployer un  ensemble de mises à jour spécifique pour ce groupe en  question. 

Dans l’exemple pris pour ce chapitre, il vous faut définir au moins le paramètre Configuration  du  service  Mises  à  jour Windows et Spécifier l’emplacement intranet du service de mise à jour Microsoft. Une fois ces paramètres  définis pour la première fois, il faut attendre que la stratégie soit appliquée sur les postes (90 minutes environ).  Vous  pouvez  forcer  l’application  de  cette  stratégie,  via  la  commande  gpupdate /force  à  lancer  depuis  le  poste client.  Une fois la stratégie appliquée, il faut attendre environ 20 minutes pour que l’ordinateur client contacte le serveur  WSUS.    Vous pouvez forcer cette détection via la commande wuauclt /detectnow.

b. Stratégies BITS des postes clients 

- 2-

© ENI Editions - All rigths reserved - Kaiss Tag

238

Background Intelligent Transfer Service (BITS) est un service optimisé de transfert de fichiers.  Des fichiers volumineux peuvent ainsi être téléchargés, grâce à ce protocole, sans occasionner de ralentissements  par  saturation  de  la  bande  passante  puisque  seule  la  bande  passante  libre  sera  utilisée  pour  effectuer  les  transferts.  BITS permet également de reprendre un téléchargement interrompu à l’endroit où celui­ci avait été interrompu.  Le  service  BITS  est  ainsi  utilisé  par  le  service  Windows  Update  pour  télécharger  les  mises  à  jour  disponibles  sur  votre serveur WSUS (ou même sur le site de Microsoft).  Il  est  possible  de  contrôler  plusieurs  paramètres  liés  à  BITS  et  ainsi  indirectement  à  la  configuration  du  client  Windows  Update  au  niveau  de  la  stratégie  Configuration  ordinateur\Stratégies\Modèles  d’administration\Réseau\Service de transfert intelligent en arrière­plan (BITS). 

  La configuration BITS est particulièrement intéressante si vous avez des clients Windows 2008/2008 R2, Vista ou 7  (mais elle n’est cependant pas obligatoire).  Voici les paramètres à retenir :  Paramètre 

Choix possible 

Autoriser la mise en cache de pair BITS.  Par défaut, cette option n’est disponible que pour les clients  Windows Vista et Windows 7.  La mise en cache de pair BITS est désactivée par défaut,  entraînant ainsi toujours un téléchargement de fichiers depuis le  serveur d’origine. Si vous activez ce paramètre, vos postes  clients iront chercher les mises à jour sur un poste client de leur  même réseau possédant déjà les fichiers. Dans un  environnement avec des postes à faible débit, cela représente  un avantage très intéressant.  Limiter la bande passante réseau  maximale pour les transferts BITS en  arrière­plan. 

Permet de définir le taux de transfert maximum (en kbit/s) utilisé  par BITS. La limite peut être définie uniquement pour une plage  horaire spécifique. 

Limiter la taille du cache de pairs BITS. 

Indique le pourcentage maximal d’espace disque de la partition  système utilisable pour le cache de pairs BITS. Une fois l’espace  disque spécifié dépassé, les fichiers sont supprimés. Par défaut,  cet espace représente 1% de la taille du disque système. 

© ENI Editions - All rigths reserved - Kaiss Tag

239

- 3-

Il est possible de configurer BITS au travers de la commande BITSAdmin.exe pour les versions antérieures à  Windows  7.  Avec  Windows  7,  PowerShell  vous  permet  de  gérer  BITS  après  avoir  importé  le  module  BitsTransfer. 

2. Présentation de la console WSUS 3.0 SP2  Démarrez la console d’administration WSUS depuis le Menu Démarrer ­ Outils d’administration ­ Windows Server  Update Services.  Afin de pouvoir administrer complètement le service WSUS, vous devez être membre du groupe Administrateur local  du serveur hébergeant WSUS ou faire partie du groupe Administrateurs WSUS.  Les  membres  du  groupe  Rapporteurs  WSUS  ont  un  accès  en  lecture  seule  afin  notamment  d’avoir  la  possibilité  d’éditer des rapports WSUS.  La plupart des paramètres nécessaires ont déjà été configurés via l’assistant d’installation. 

a. Configuration des mises à jour et des paramètres de synchronisation  Une fois la console WSUS ouverte, rendez­vous au niveau des Options.  Les paramètres Sources des mises à jour et serveur proxy, Produits et classifications, Fichiers et langues des  mises à jour et Planification de la synchronisation ont déjà été définis via l’exécution de l’assistant.  Vous pouvez à nouveau vérifier ces paramètres si vous le souhaitez.  Une  fois  la  vérification  effectuée,  lancez  la  première  synchronisation  en  vous  rendant  au  niveau  de  l’option  Synchronisations et cliquez sur Synchroniser maintenant.  Cette synchronisation est quasi immédiate car vous n’avez pas encore approuvé de mises à jour (ce paramètre est  modifiable au niveau de Options/Fichiers et langues des mises à jour). Cette synchronisation permet uniquement  de lister les mises à jour disponibles pour les produits choisis.  Pour cet exemple, les mises à jour seront approuvées un peu plus tard dans ce chapitre. 

b. Configuration des groupes d’ordinateurs  Les groupes d’ordinateurs permettent de définir les ordinateurs qui seront concernés par les mises à jour de votre  choix. Cela permet notamment de définir un périmètre pilote utilisé pour tester les patchs avant leur application sur  l’ensemble des ordinateurs.  Il  est  ainsi  conseillé  d’attribuer  des  postes  représentatifs  à  un  groupe  spécifique  et  d’appliquer  les  patchs  à  ce  groupe dans un premier temps. Si tout se déroule bien, vous pourrez alors choisir d’appliquer ce patch sur tous les  ordinateurs.  Par  défaut,  à  la  première  détection  d’un  ordinateur  par  WSUS,  celui­ci  est  ajouté  aux  deux  groupes  créés  par  défaut, à savoir le groupe Tous les ordinateurs et son sous­groupe Ordinateurs non attribués.  Créez  un  nouveau  groupe  en  faisant  un  clic  droit  sur  Tous  les  ordinateurs  puis  choisissez  Ajouter  un  groupe  d’ordinateurs... Indiquez alors le nom du groupe de votre choix (par exemple, Pilote).  Une fois le groupe créé, il faut donc attribuer un ou des ordinateur(s) au groupe. Pour cela :  ■

■

Si la liste est vide, au niveau du champ Etat, cliquez sur la liste déroulante et choisissez Toutes. 

■

Faites un clic droit sur cet ordinateur et choisissez Modifier l’appartenance. 

■

- 4-

Cliquez  sur  Ordinateurs  puis  sur  le  nom  du  groupe  affichant  l’ordinateur  que  vous  souhaitez  attribuer  à  ce  nouveau groupe. 

Cliquez sur Définir les groupes d’ordinateurs afin de sélectionner le groupe de votre choix (dans notre exemple,  le groupe Pilote). 

© ENI Editions - All rigths reserved - Kaiss Tag

240

  À noter qu’il est possible d’attribuer un groupe WSUS par défaut via le paramètre Autoriser le ciblage coté client  des stratégies de groupe appliquées aux postes en question. 

c. Approbation et déploiement des mises à jour  Maintenant que vous avez catégorisé (si besoin) les ordinateurs sur lesquels vous souhaitez déployer vos mises à  jour,  via  l’ajout  de  ces  derniers  dans  un  groupe  WSUS  spécifique,  il  vous  reste  à  approuver  les  patchs  identifiés  pour ces ordinateurs.  ■

■

Pour cela, cliquez sur Mises à jour ­ Toutes les mises à jour.  Dans  la  fenêtre  de  droite,  choisissez  Approbation  :  Non  approuvées  et  État  :  Nécessaire  puis  cliquez  sur  Actualiser. La liste des patchs non approuvés et à installer est alors affichée. 

Vous  pouvez  effectuer  cette  opération  au  niveau  des  mises  à  jour  de  sécurité  uniquement  si  vous  le  souhaitez, en effectuant cette même procédure à l’endroit de votre choix. 

© ENI Editions - All rigths reserved - Kaiss Tag

241

- 5-

 

■

Sélectionnez alors les mises à jour que vous souhaitez approuver. 

Pour en approuver plusieurs à la fois, maintenez la touche [Ctrl] avant de les sélectionner une à une. Si ces  mises à jour sont affichées de façon consécutive, la touche [Shift] permet de sélectionner toutes les lignes  entre la première et la dernière sélection. 

■

■

Faites  alors  un  clic  droit  sur  la  sélection  et  choisissez  Approuver.  La  fenêtre  qui  s’ouvre  alors  vous  invite  à  sélectionner le groupe d’ordinateurs et l’état de l’approbation.  Sélectionnez le groupe de votre choix (dans cet exemple, le groupe Pilote) en cliquant sur la flèche apposée au  nom du groupe et choisissez Approuvée pour l’installation.... 

 

- 6-

© ENI Editions - All rigths reserved - Kaiss Tag

242

Si vous faites à nouveau un clic droit sur le groupe de votre choix, il vous est possible de définir une Date  limite.  Passée  cette  date,  la  mise  à  jour  en  question  sera  automatiquement  installée  sans  délai  sur  les  postes  du  groupe  en  question.  Cette  date  limite  est  également  utile  pour  forcer  l’installation  de  patch  sur  un  poste  fraîchement  installé.  Il  faut  néanmoins  garder  à  l’esprit  qu’il  est  nécessaire  d’intégrer  régulièrement  les  dernières  mises  à  jour  de  sécurité  (ainsi  que  les  mises  à  jour  tierces  importantes  comme  les  plug­ins  Internet  Explorer) à votre DVD d’installation de Windows créé à partir d’un poste de référence ou de votre master. 

■

Cliquez  sur  le  bouton  Fermer  de  la  fenêtre  Progression  de  l’approbation  après  avoir  vérifié  que  tout  s’était  déroulé sans problème. 

Ceci ne représente qu’une manière de procéder car il aurait également été possible d’approuver  les  mises  à  jour  depuis le rapport d’état généré au niveau d’un ordinateur représentatif, se trouvant dans le groupe WSUS de votre  choix. 

  Il est également possible d’approuver automatiquement des mises à jour suivant des conditions que vous pouvez  établir (comme l’approbation automatique d’une classification ou d’un produit précis). L’approbation automatique se  configure au niveau de Options/Approbations automatiques.  Une  fois  les  mises  à  jour  approuvées,  celles­ci  sont  rapidement  mises  à  disposition  des  postes  clients  pour  installation (automatique ou pas, suivant les choix effectués précédemment par stratégie de groupe). 

 

3. Exploitation quotidienne  a. Rapports 

© ENI Editions - All rigths reserved - Kaiss Tag

243

- 7-

WSUS  propose  de  nombreux  rapports  permettant  de  vérifier  l’état  de  déploiement  des  patchs  ou  de  l’état  des  ordinateurs (synthèse de l’état des mises à jour, état détaillé des mises à jour, synthèse de l’état des ordinateurs,  etc.).  Tous ces rapports sont visibles depuis la console WSUS, au niveau du nœ ud Rapports. 

  Les  données  d’un  rapport  peuvent  parfois  mettre  jusqu’à  24  heures  pour  se  rafraîchir.  Il  est  possible  d’exporter ces rapports au format Excel ou PDF. 

b. En cas de problème...  Il arrive parfois de constater qu’un client n’arrive plus à se mettre à jour.  Voici les différents points à vérifier pour identifier le problème dans ce cas de figure :  ●

●

●

●

- 8-

Vérifiez la dernière fois que votre client s’est mis à jour, à l’aide des rapports WSUS ou de l’interrogation des  valeurs  LastSuccessTime  du  poste  client  se  trouvant  dans  les  sous­clés  de  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto  Update\Results\.  Examinez le fichier %systemroot%\WindowsUpdate.log du poste client posant problème, afin de détecter  toute anomalie.  Vérifiez que le poste client peut communiquer avec le serveur WSUS en vous connectant au serveur WSUS  depuis le navigateur du poste client et en vérifiant que la stratégie de groupe résultante du poste renvoie  bien vers le serveur WSUS (via la commande RSOP.msc).  Parfois lors de modifications de paramétrages, ces derniers ne sont pris en compte qu’après le redémarrage  du  service  Windows  Update  (wuauserv)  et  après  la  détection  du  poste  dans  la  console  WSUS  via  la  commande  wuauclt  /detectnow.  Il  faut  alors  attendre  une  dizaine  de  minutes  pour  voir  le  changement  apparaître sur la console WSUS. 

© ENI Editions - All rigths reserved - Kaiss Tag

244

System Center Configuration Manager  Afin d’être complet sur les solutions possibles, sachez également que SCCM permet une gestion des mises à jour.  Cette solution comporte plusieurs avantages comparés à WSUS :  ●

Un contrôle encore plus fin du déploiement et des rapports disponibles. 

●

L’intégration complète à NAP. 

●

La distribution de mises à jour aux utilisateurs nomades connectés depuis Internet. 

●

Un déploiement des mises à jour d’autres éditeurs que Microsoft, ce qui est un avantage conséquent lorsque  l’on connaît la criticité des mises à jour des plug­ins tiers installés sur les navigateurs des postes clients (Adobe  Reader, Adobe Flash, etc.). 

En contrepartie, cela nécessite une infrastructure plus lourde et plus coûteuse que WSUS seul.  Vous  trouverez  davantage  de  renseignements  sur  SCCM  à  l’adresse  suivante  :  http://technet.microsoft.com/fr­ fr/library/bb680701.aspx 

© ENI Editions - All rigths reserved - Kaiss Tag

245

- 1-

Conclusion  Ce  chapitre  vous  a  présenté  la  solution  gratuite  proposée  par  Microsoft  pour  gérer  les  mises  à  jour  des  postes  Windows.  L’installation  de  celles­ci  est  primordiale,  mais  doit  passer  par  un  processus  de  validation  robuste  afin  de  détecter tout effet de bord potentiel. 

© ENI Editions - All rigths reserved - Kaiss Tag

246

- 1-

Introduction  Ce chapitre d’études de cas présente la mise en œ uvre des outils étudiés dans cet ouvrage dans le cadre de situations  réelles. Deux cas, de taille différente, sont présentés et couvrent l’essentiel des situations rencontrées.  L’installation des outils utilisés dans ces cas n’étant pas détaillée dans ce chapitre, référez­vous aux chapitres  correspondants de ce livre. 

© ENI Editions - All rigths reserved - Kaiss Tag

247

- 1-

Cas n°1 : entreprise de moins de 50 postes  1. Présentation du cas  La  société  Bomobil  SARL  conçoit  et  réalise  des  meubles  artisanaux  depuis  son  siège  de  Bures­sur­Yvette.  En  plein  essor,  cette  société  compte  aujourd’hui trente­cinq  collaborateurs,  dont  seulement  une  quinzaine  est  équipée  d’un  ordinateur  personnel.  Trois  commerciaux  équipés  d’ordinateurs  portables  sillonnent  la  région  pour  rencontrer  les  clients mais reviennent régulièrement au siège.  Les postes utilisent actuellement Windows 2000 et Office 97. Mis à part les deux postes de l’atelier de fabrication qui  utilisent  un  progiciel  particulier  et  qui  sont  déconnectés  du  réseau,  les  autres  postes  du  siège  ne  disposent  que  d’outils bureautiques standard. Le progiciel de l’atelier nécessite la présence d’un dongle de sécurité au moment de  son installation. Une application de gestion commerciale est installée sur les portables des commerciaux.  En tant que coordinateur informatique, vous vous occupez seulement à temps partiel de l’informatique de la société.  Tous les utilisateurs étant actuellement administrateurs de leur poste, ils installent souvent des logiciels téléchargés  depuis Internet ou modifient le paramétrage par défaut du poste, ce qui provoque parfois un plantage et nécessite  une réinstallation complète.  Le rôle de serveur DHCP est assuré par un routeur d’accès à Internet géré par le fournisseur d’accès. Un seul serveur  Windows 2008 sert actuellement de contrôleur de domaine Active Directory, de serveur de fichiers et d’imprimantes. Il  est  également  infogéré  par  un  prestataire  et  vous  ne  pouvez  y  installer  d’application  ni  modifier  sa  configuration.  Vous êtes néanmoins autorisé à créer de nouveaux partages de fichiers. 

Schéma du cas n°1  Étant donné l’ancienneté des machines et la fin du support de Windows 2000, l’ensemble du parc va être remplacé  par des machines neuves. Vous voulez profiter de cette occasion pour déployer Microsoft Windows 7 Professionnel 32  bits  accompagné  de  Microsoft  Office  2007,  pour  profiter  des  dernières  évolutions  du  système  d’exploitation  et  de  cette suite bureautique. Pour cela, vous avez acheté un pack de 15 licences et vous disposez d’une clé d’activation  multiple (MAK) pour Windows 7 Professionnel.  D’autre part, vous souhaitez pouvoir automatiser la procédure d’installation des postes de travail et des applications  afin de gagner du temps et d’harmoniser les configurations. 

2. Solution proposée  a. Choix d’une méthode de déploiement  Dans  la  mesure  où  un  service  DHCP  existe  déjà  sur  le  réseau  et  qu’il  n’est  pas  possible  d’en  modifier  la  configuration,  il  n’est  pas  envisageable  de  rajouter  dans  l’étendue  DHCP  du  réseau  local  les  options  nécessaires  © ENI Editions - All rigths reserved - Kaiss Tag

248

- 1-

pour rediriger les clients PXE vers un serveur WDS. D’autre part, l’interdiction d’installer le rôle WDS sur le serveur  de l’entreprise rend de toute façon l’amorçage PXE des postes impossible.  Enfin,  l’isolement  du  réseau  des  postes  de  l’atelier  impose  la  mise  en  place  d’une  solution  de  déploiement  déconnectée, de type clé USB ou CD­Rom.  Puisqu’il s’agit de machines neuves, aucune donnée locale n’est à sauvegarder. 

b. Type d’image  Afin de gagner du temps lors du déploiement, le tronc commun des applications (suite Microsoft Office 2007 et outils  bureautiques)  sera  embarqué  dans  une  image  de  référence,  le  progiciel  d’atelier  et  l’application  de  gestion  commerciale seront, quant à eux, proposés en option lors de l’installation finale.  Étant donné l’implantation géographique et la culture de l’entreprise, seul le Français sera installé. 

c. Outils mis en œuvre  De  par  l’interdiction  d’installer  des  applications  supplémentaires  sur  le  serveur  Windows  2008,  l’installation  de  Microsoft Deployment Toolkit 2010 devra se faire sur un poste tiers. La console MDT se connectera à distance au  partage hébergé sur le serveur de fichiers. Windows Automated Installation Kit pour Windows 7 devra également  être installé sur ce poste. 

3. Mise en œuvre  a. Préparation de l’environnement  Seuls deux outils gratuits de Microsoft vont être nécessaires pour la réalisation de ce déploiement : MDT et WAIK.  D’autre  part,  un  partage  réseau  et  un  compte  d’utilisateur  devront  être  créés  pour  respectivement  stocker  les  fichiers du partage de déploiement et y accéder.  Pour préparer le déploiement ■

■

■

Installez Microsoft Deployment Toolkit 2010 x86 sur votre poste (cf. chapitre Microsoft Deployment Toolkit).  Installez Microsoft Automated Installation Kit for Windows 7 sur ce même poste (cf. chapitre Microsoft Automated  Iinstallation Kit).  Ouvrez une console Utilisateurs  et  ordinateur  Active  Directory pour créer le compte spécifique qui sera utilisé  pour  se  connecter  au  partage  de  déploiement.  Créez  ce  nouveau  compte  utilisateur  du  domaine  selon  les  paramètres suivants :  Champ 

- 2-

Valeur 

Nom complet  

USR Install Auto 

Nom d’utilisateur  

[email protected] 

Nom pre­Windows 2000  

BOMOBIL\usrinstall 

Mot de passe  

P@ssw0rd 

L’utilisateur doit changer le mot de passe à la  prochaine ouverture de session 

Non 

L’utilisateur ne peut pas changer de mot de passe 

Oui 

Le mot de passe n’expire jamais 

Oui 

Le compte est désactivé 

Non 

© ENI Editions - All rigths reserved - Kaiss Tag

249

■

Créez un nouveau dossier sur le serveur de fichiers pour héberger les fichiers du partage de déploiement. 

■

Activez le partage de fichiers sur ce nouveau dossier et configurez la sécurité de ce partage : 

Champ 

Valeur 

Nom du partage  

mdtds01$ 

Permissions de partage  

Tout le monde : Contrôle Total 

Permissions NTFS  

●

Administrateurs : Contrôle Total 

●

BOMOBIL\usrinstall : Lecture 

●

Votre compte : Modification 

●

SYSTEM : Contrôle Total 

Pour que le compte BOMOBIL\usrinstall puisse joindre les machines au domaine, quatre possibilités existent :  ●

Donner le droit d’administrateur de domaine à ce compte (déconseillé). 

●

Augmenter avec ADSI Edit la valeur de l’attribut LDAP msDS­MachineAccountQuota du domaine. 

●

Déléguer le droit de création d’objets ordinateur sur le conteneur par défaut du domaine. 

●

Précréer  les  comptes  d’ordinateur  dans  Active  Directory  et  donner  les  droits  à  usrinstall  d’utiliser  ces  comptes. 

C’est cette dernière solution que nous allons mettre en œ uvre. Pour cela :  ■

Ouvrez la console Utilisateurs et ordinateurs Active Directory. 

■

Faites un clic droit sur le conteneur Computers et sélectionnez l’option Nouveau ­ Ordinateur. 

© ENI Editions - All rigths reserved - Kaiss Tag

250

- 3-

Création d’un compte d’ordinateur 

■

■

■

■

- 4-

Entrez  le  futur  nom  de  l’ordinateur  dans  les  champs  Nom  de  l’ordinateur  et  Nom  d’ordinateur  (antérieur  à  Windows 2000).  Cliquez sur le bouton Modifier.  Entrez  le  nom  du  compte  qui  sera  autorisé  à  joindre  les  postes  au  domaine  (BOMOBIL\usrinstall  dans  notre  exemple).  Cliquez sur OK. 

© ENI Editions - All rigths reserved - Kaiss Tag

251

Informations sur le compte d’ordinateur 

■

Cliquez sur Suivant. 

Définition du GUID 

■

Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

252

- 5-

Confirmation de création du compte 

■

Cliquez sur Terminer. 

■

Répétez l’opération pour les autres ordinateurs. 

b. Création du partage de déploiement  Le  partage  de  déploiement  sera  créé  à  distance  depuis  votre  poste  d’administrateur  via  la  console  Deployment  Workbench. Ce partage hébergera le système d’exploitation original et l’image de référence capturée, ainsi que les  applications et les séquences de tâches nécessaires à la génération et à la capture de l’image de référence.  ■

Exécutez la console MDT. 

■

Créez un partage de déploiement selon les paramètres ci­dessous : 

Champ 

■

■

- 6-

Valeur 

Deployment share path:  

\\serveur1\mdtds01$ 

Deployment share description:  

DS1 

Allow Image Capture:  

Cochez la case Ask if an image should be captured 

Allow Admin Password 

Décochez la case Ask user to set the local Administrator  Password 

Allow Product Key 

Décochez la case Ask user for a product key 

Modifiez les permissions NTFS du répertoire \\serveur1\mdtds01$\captures de manière à donner les droits de  modification  à  l’utilisateur  BOMOBIL\usrinstall  (nécessaire  pour  remonter  dans  ce  répertoire  l’image  WIM  qui  sera capturée).  Editez les propriétés du partage de déploiement DS1. 

© ENI Editions - All rigths reserved - Kaiss Tag

253

■

Dans l’onglet General, décochez la case Platforms Supported : x64. 

■

Dans l’onglet Rules, modifiez le contenu de la section [Default] selon le paramétrage ci­dessous : 

Paramètre 

Valeur et explication 

_SMSTSOrgName= 

Bomobil SARL, nom affiché dans la fenêtre de progression du  client MDT 

OSInstall= 

Y, autorise l’installation d’un système d’exploitation 

SkipBDDWelcome= 

YES, évite l’écran d’accueil du client MDT 

SkipSummary= 

YES, évite l’écran de résumé des actions prévues à la fin de  l’assistant du client MDT 

DeployRoot= 

\\serveur1\mdtds01$, chemin réseau du partage de  déploiement auquel le client doit se connecter 

UserID= 

usrinstall, nom du compte utilisé pour la connexion au partage  MDT 

UserPassword= 

P@ssw0rd, mot de passe du compte utilisé pour la connexion au  partage MDT 

UserDomain= 

BOMOBIL, domaine du compte utilisé pour la connexion au  partage MDT 

SkipLocaleSelection= 

YES, évite l’écran de configuration des paramètres régionaux 

KeyboardLocalePE= 

040c:0000040c, indique au client de déploiement d’utiliser le  clavier français 

KeyboardLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser le  clavier français 

UserLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser les  paramètres régionaux français 

UILanguage= 

fr­fr, langue de l’interface du système d’exploitation déployé 

SkipAdminPassword= 

YES, évite la saisie manuelle du mot de passe de  l’administrateur local pendant l’assistant 

AdminPassword= 

P@ssw0rd, mot de passe du compte administrateur local 

SkipBitLocker= 

YES, évite l’écran de configuration de BitLocker™ (programme de  chiffrement de disque) 

BDEInstallSuppress= 

YES, désactive l’installation de BitLocker™ 

SkipComputerName= 

YES, évite la demande de saisie d’un nom d’ordinateur (le nom  sera généré aléatoirement). 

SkipDomainMembership= 

YES, évite la demande d’adhésion au domaine ou à un groupe  de travail 

JoinWorkgroup= 

WORKGROUP, nom du groupe de travail que le poste doit  rejoindre 

SkipFinalSummary= 

NO, affiche l’écran de résumé des erreurs à la fin de l’installation 

© ENI Editions - All rigths reserved - Kaiss Tag

254

- 7-

■

SkipCapture= 

NO, sera utilisé lors de la capture de l’image de référence 

SkipProductKey= 

YES, évite la demande d’une clé de produit par l’assistant du  client MDT 

SkipTimeZone= 

YES, évite la demande de paramétrage de fuseau horaire 

TimezoneName= 

Romance Standard Time, le fuseau horaire de la France 

SkipUserData= 

YES, évite la demande de sauvegarde du poste et des données  utilisateur 

Dans l’onglet Rules, cliquez sur le bouton Bootstrap.ini et modifiez le contenu de la section [Default] du fichier  selon le paramétrage ci­dessous :  Paramètre 

■

Valeur et explication 

DeployRoot= 

\\serveur1\mdtds01$, chemin réseau du partage de  déploiement auquel le client doit se connecter 

UserID= 

usrinstall, nom du compte utilisé pour la connexion au partage  MDT 

UserPassword= 

P@ssw0rd, mot de passe du compte utilisé pour la connexion au  partage MDT 

UserDomain= 

BOMOBIL, domaine du compte utilisé pour la connexion au  partage MDT 

KeyboardLocalePE= 

040c:0000040c, indique au client de déploiement d’utiliser le  clavier français 

KeyboardLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser le  clavier français 

SkipBDDWelcome= 

YES, évite l’écran d’accueil du client de déploiement 

Fermez notepad et enregistrez le fichier. 

c. Import du système d’exploitation  ■

Insérez le média de Microsoft Windows 7 Professionnel 32 bits. 

■

Exécutez la console MDT. 

■

Développez le nœ ud du partage de déploiement DS1. 

■

À la racine du nœ ud Operating Systems, importez le système d’exploitation Windows 7 Professionnel : 

Paramètre 

- 8-

Valeur et explication 

Type of operating system to add: 

Full set of source files 

Source directory: 

Chemin vers le média de Windows 7 

Destination directory name: 

Windows 7 x86 

© ENI Editions - All rigths reserved - Kaiss Tag

255

d. Import de Microsoft Office 2007  ■

Insérez le média d’installation de Microsoft Office 2007. 

■

Exécutez la console MDT. 

■

Développez le nœ ud du partage de déploiement DS1. 

■

À la racine du nœ ud Applications, importez l’application Office 2007 : 

Paramètre 

Valeur et explication 

Type of application to add: 

Application with source files 

Publisher: 

Microsoft 

Application Name: 

Office 2007 

Source directory: 

Chemin vers le média d’Office 2007 

Command line: 

Setup.exe 

Importation de Microsoft Office 2007 

■

Affichez les propriétés de l’application importée Microsoft Office 2007. 

■

Dans l’onglet Office Products, cliquez sur le bouton Office Customization Tool. 

© ENI Editions - All rigths reserved - Kaiss Tag

256

- 9-

■

■

■

Dans  l’application  Outil  de  personnalisation  Office  qui  vient  de  s’ouvrir,  sélectionnez  Créer  un  fichier  de  personnalisation  de  l’installation  pour  le  produit  suivant  et  choisissez  le  produit  Office  dont  vous  disposez  dans la liste.  Cliquez sur OK.  Dans  la  section  Emplacement d’installation  et  nom  de  l’organisation,  saisissez  le  nom Bomobil  SARL  dans  le  champ Nom de l’organisation. 

■

Dans la section Licences et interface utilisateur, saisissez votre clé de produit dans le champ Clé du produit. 

■

Cochez la case J’accepte les termes du contrat de licence. 

■

Sélectionnez le niveau d’affichage Simple. 

■

■

■

Dans  la  section  Définir  les  états  d’installation  des  composants,  choisissez  les  applications  et  les  outils  de  la  suite Office que vous souhaitez installer.  Dans le menu Fichier, cliquez sur Enregistrer.  Enregistrez le fichier sous le nom Bomobil.msp dans le répertoire \\serveur1\mdtds01$\Application\Microsoft  Office 2007\Updates. 

e. Création des séquences de tâches  Deux  séquences  de  tâches  seront  nécessaires  pour  créer  l’image  de  référence  :  la  première  servira  à  installer  le  système  d’exploitation  Windows  7,  les  applications,  faire  le  paramétrage  manuel  nécessaire,  etc.  La  deuxième  servira à préparer le poste de référence et à effectuer la capture sous forme d’un fichier WIM.  Pour créer ces séquences de tâches ■

Exécutez la console MDT. 

■

Développez le nœ ud du partage de déploiement DS1. 

■

À  la  racine  du  conteneur  Task  Sequences,  créez  une  nouvelle  séquence  de  tâches  selon  les  paramètres  ci­ dessous :  Paramètre 

- 10 -

Valeur et explication 

Task sequence ID: 

0, identifiant interne de la séquence 

Task sequence name: 

Creation master, nom affiché 

Template: 

Standard Client Task Sequence, déploiement classique d’un  système d’exploitation 

Operating System: 

Windows 7 Professionnel, système d’exploitation à déployer 

Specify Product Key: 

Do not specify a product key at this time, la clé sera spécifiée  au moment du déploiement final 

Full Name: 

Bomobil, nom de l’utilisateur 

Organization: 

SARL, nom de l’organisation 

Internet Explorer Home Page: 

http://www.bomobil.fr, page d’accueil par défaut d’Internet  Explorer  © ENI Editions - All rigths reserved - Kaiss Tag

257

Admin Password: 

Do not specify an Administrator password at this time, le mot  de passe sera spécifié au moment du déploiement final 

Création de la séquence de tâches d’installation 

■

À  la  racine  du  conteneur  Task  Sequences,  créez  une  nouvelle  séquence  de  tâches  selon  les  paramètres  ci­ dessous :  Paramètre 

Valeur et explication 

Task Sequence ID: 

1 

Task Sequence name: 

Sysprep & capture 

Template: 

Sysprep and Capture 

Operating System: 

Windows 7 Professionnel 

Specify Product Key: 

Do not specify a product key at this time 

Full Name: 

Bomobil 

Organization: 

SARL 

Internet Explorer Home Page: 

http://www.bomobil.fr 

Admin Password: 

Do not specify an Administrator password at this time 

© ENI Editions - All rigths reserved - Kaiss Tag

258

- 11 -

Création de la séquence de tâches de capture 

■

■

Mettez à jour le partage de déploiement pour générer les images WIM et ISO.  Gravez  sur  un  CD  l’image  ISO  LiteTouchPE_x86.iso  générée  dans  le  répertoire  \\serveur1\mdtds01$\Boot.  Cette image contient le client MDT et est configurée pour se connecter directement au partage de déploiement,  en utilisant le compte BOMOBIL\usrinstall. 

f. Construction de l’image de référence  La  création  d’une  image  de  référence  permet  de  gagner  du  temps  en  préinstallant  les  logiciels  dans  l’image  capturée au lieu de les installer lors du déploiement.  Pour créer l’image de référence

- 12 -

■

Démarrez le poste de référence sur le CD gravé à l’étape précédente. 

■

Sélectionnez la séquence de tâches Creation master. 

■

Cliquez sur Next. 

■

Sélectionnez l’application Microsoft Office 2007. 

■

Cliquez sur Next. 

■

Sélectionnez l’option Do not capture an image of this computer. 

■

Cliquez sur Next. 

© ENI Editions - All rigths reserved - Kaiss Tag

259

Une fois l’installation terminée, l’assistant de configuration de Windows vous demande une clé de produit :  ■

Décochez la case Activer automatiquement Windows quand je serai en ligne. 

■

Cliquez sur Suivant. 

Une  session  est  ensuite  automatiquement  ouverte  sous  le  compte  de  l’administrateur  local  et  le  client  MDT  lance  l’installation de Microsoft Office 2007. Une fois tout le processus LTI terminé, un écran de résumé des erreurs est  affiché.  Le poste est désormais prêt à être capturé. Cependant, avant cela, effectuez les actions suivantes :  ■

■

■

■

Ouvrez le gestionnaire de périphériques, vérifiez que tout le matériel est bien détecté.  Ouvrez la console de gestion des disques, vérifiez que le partitionnement et l’affectation des lettres de lecteurs  sont corrects.  Lancez une recherche de mises à jour Windows Update et installez toutes les mises à jour importantes, ainsi que  les optionnelles, qui vous sont nécessaires.  Installez les applications communes qui ne disposent pas d’options d’installation automatique. 

g. Capture de l’image de référence  Une  fois  l’installation de référence vérifiée, le poste peut être préparé et capturé par le client MDT. Cette capture  doit être initiée depuis une session Windows ouverte sur le poste de référence, et non en amorçant le poste sur le  CD gravé.  Lors de cette étape, le client de déploiement MDT utilise le même fichier CustomSettings.ini que lors de la  construction du poste de référence, ce qui signifie que si l’option SkipCapture=YES est configurée dans ce  fichier, le client ne réalisera pas la capture. 

■

Ouvrez une session en tant qu’administrateur local sur le poste de référence. 

■

Ouvrez une fenêtre de commandes MS­DOS. 

■

Exécutez  la  commande  net  use  *  \\serveur1\mdtds01$  /user:BOMOBIL\usrinstall  et  saisissez  le  mot  de  passe du compte BOMOBIL\usrinstall lorsque vous y êtes invité. 

■

Exécutez la commande cscript \\serveur1\mdtds01$\scripts\litetouch.wsf. 

■

Sélectionnez la séquence de tâches Sysprep & Capture. 

■

Cliquez sur Next. 

■

Sélectionnez l’option Capture an image of this reference computer. 

■

Entrez le nom de fichier Windows7x86­Bomobil.wim dans le champ File name. 

© ENI Editions - All rigths reserved - Kaiss Tag

260

- 13 -

Paramètres de capture du poste 

■

Cliquez sur Next. 

Le client MDT va alors exécuter Sysprep, appliquer l’image Windows PE au poste, le configurer pour qu’il exécute ce  Windows  PE  au  prochain  redémarrage  et  redémarrer  le  poste.  Une  fois  redémarré,  le  poste  va  capturer  automatiquement  la  partition  préparée  avec  Sysprep.  L’image  capturée  sera  stockée  dans  le  fichier  \\serveur1 \mdtds01$\captures\Windows7x86­Bomobil.wim. 

h. Création d’une distribution par média  Afin  que  les  utilisateurs  nomades  puissent  réinstaller  eux­mêmes leur poste en cas de problème, une distribution  par média doit être créée ; pour cela : 

- 14 -

■

Créez un dossier C:\Media sur le poste où MDT est installé. 

■

Insérez le média de Microsoft Windows 7 Professionnel 32 bits. 

■

Exécutez la console MDT. 

■

Développez le nœ ud du partage de déploiement DS1. 

■

Créez un dossier Media sous chacun des nœ uds Applications, Operating Systems et Task Sequences. 

■

Dans le nœ ud Advanced Configuration/Selection Profiles, créez un nouveau profil de sélection nommé Media. 

■

Sélectionnez les dossiers Media créés sous les nœ uds Applications, Operating Systems et Task Sequences. 

© ENI Editions - All rigths reserved - Kaiss Tag

261

Création du profil de sélection 

■

Dans le conteneur Operating Systems/Media, importez l’image WIM capturée : 

Paramètre 

■

■

■

Valeur et explication 

Type of operating system to add: 

Custom image file, indique qu’il ne s’agit pas d’une image  originale 

Source file: 

\\serveur1\mdtds01$\captures\Windows7x86­ Bomobil.wim, chemin vers le fichier WIM de la capture 

Setup: 

Copy Windows Vista, Windows Server 2008, or later setup  files from the specified path, indique à MDT d’importer les  fichiers du programme d’installation depuis un média d’origine 

Setup source directory: 

Racine du média original de Windows 7 (d:\ par exemple) 

Destination directory name: 

Windows7x86­Bomobil, nom du répertoire dans lequel importer  l’image 

Renommez le système d’exploitation que vous venez d’importer en Windows 7 Pro x86 Bomobil.  Dans  le  conteneur  Applications/Media,  importez  l’application  utilisée  à  l’atelier  et  l’application  de  gestion  commerciale.  Dans  le  conteneur  Task  Sequences/Media,  créez  une  nouvelle  séquence  de  tâches  selon  les  paramètres  ci­ dessous : 

© ENI Editions - All rigths reserved - Kaiss Tag

262

- 15 -

Paramètre 

■

■

■

■

Valeur et explication 

Task sequence ID: 

2 

Task sequence name: 

Installer Windows 7 Professionnel x86 (Bomobil) 

Template: 

Standard Client Task Sequence 

Operating System: 

Media/Windows 7 Pro x86 Bomobil 

Specify Product Key: 

Specify a multiple activation key (MAK key) 

MAK product key: 

Entrez votre clé MAK 

Full Name: 

Bomobil 

Organization: 

SARL 

Internet Explorer Home Page: 

http://www.bomobil.fr 

Admin Password: 

Sélectionnez l’option Use the specified local Administrator  password, entrez le mot de passe administrateur local dans le  champ Administrator Password et confirmez­le dans le champ  Please confirm Administrator Password. 

Dans l’onglet OS  Info des propriétés de la séquence de tâches que vous venez de créer, cliquez sur le bouton  Edit Unattend.xml.  Une  fois  le  catalogue  de  composants  recréé  par  MDT,  Windows  System  Image  Manager  sera  lancé  et  le  fichier  Unattend.xml ouvert automatiquement.  Quittez  Windows  System  Image  Manager  et  enregistrez  le  fichier  en  quittant.  Cette  manipulation  permet  de  chiffrer le mot de passe du compte administrateur local dans le fichier XML.  Dans le nœ ud Advanced Configuration/Media, créez un nouveau média avec les informations suivantes : 

Paramètre 

Valeur et explication 

Media path: 

C:\Media, dossier où MDT copiera la structure 

Selection profile: 

Media, profil de sélection des éléments à inclure dans le média 

■

Dans l’onglet General des propriétés de MEDIA001, décochez la case Generate x64 boot image. 

■

Dans l’onglet Rules, modifiez le contenu de la section [Default] selon le paramétrage ci­dessous : 

Paramètre 

- 16 -

Valeur et explication 

_SMSTSOrgName= 

Bomobil SARL, nom affiché dans la fenêtre de progression du  client MDT 

OSInstall= 

Y, autorise l’installation d’un système d’exploitation 

SkipBDDWelcome= 

YES, évite l’écran d’accueil du client MDT 

SkipSummary= 

YES, évite l’écran de résumé des actions prévues à la fin de  l’assistant du client MDT 

© ENI Editions - All rigths reserved - Kaiss Tag

263

■

SkipLocaleSelection= 

YES, évite l’écran de configuration des paramètres régionaux 

KeyboardLocalePE= 

040c:0000040c, indique au client de déploiement d’utiliser le  clavier français 

KeyboardLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser le  clavier français 

UserLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser les  paramètres régionaux français 

UILanguage= 

fr­fr, langue de l’interface du système d’exploitation déployé 

SkipAdminPassword= 

YES, évite la saisie manuelle du mot de passe de  l’administrateur local pendant l’assistant 

SkipBitLocker= 

YES, évite l’écran de configuration de BitLocker™ (programme de  chiffrement de disque) 

BDEInstallSuppress= 

YES, désactive l’installation de BitLocker™ 

SkipComputerName= 

NO, demandera un nom d’ordinateur lors du déploiement 

SkipDomainMembership= 

YES, évite l’écran d’adhésion au domaine ou à un groupe de  travail 

DomainAdmin= 

usrinstall, nom du compte utilisé pour joindre le domaine Active  Directory 

DomainAdminPassword= 

P@ssw0rd, mot de passe du compte utilisé pour joindre le  domaine Active Directory 

DomainAdminDomain= 

BOMOBIL, domaine du compte utilisé pour joindre le domaine  Active Directory 

JoinDomain= 

BOMOBIL, le nom du domaine Active Directory à joindre 

SkipFinalSummary= 

NO, affiche l’écran de résumé des erreurs à la fin de l’installation 

SkipCapture= 

YES, l’image finale n’est pas à capturer 

SkipProductKey= 

YES, la clé a déjà été fournie lors de la création de la séquence  de tâches 

SkipTimeZone= 

YES, évite la demande de paramétrage de fuseau horaire 

TimezoneName= 

Romance Standard Time, le fuseau horaire de la France 

SkipUserData= 

YES, les données utilisateur locales ne seront pas  sauvegardées 

Dans l’onglet Rules, cliquez sur le bouton Bootstrap.ini et modifiez le contenu de la section [Default] du fichier  selon le paramétrage ci­dessous :  Paramètre 

Valeur et explication 

KeyboardLocalePE= 

040c:0000040c, indique au client de déploiement d’utiliser le  clavier français 

KeyboardLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser le 

© ENI Editions - All rigths reserved - Kaiss Tag

264

- 17 -

clavier français  SkipBDDWelcome= 

YES, évite l’écran d’accueil du client de déploiement 

■

Fermez le bloc­notes et enregistrez le fichier. 

■

Mettez à jour le contenu de MEDIA001. 

■

Gravez l’image LiteTouchMedia.iso générée dans C:\Media. 

Le  DVD  gravé  contient  l’image  capturée  du  poste  de  référence  (qui  embarque  Office  2007),  ainsi  que  les  sources  d’installation  de  l’application  atelier  et  de  l’application  de  gestion  commerciale.  Ce  DVD  peut  être  utilisé  pour  amorcer un poste et déployer Windows 7 sur celui­ci. 

4. Déploiement  Pour déployer l’image créée :  ■

Amorcez un poste sur le DVD gravé à l’étape précédente. 

■

Sélectionnez la séquence de tâches Installer Windows 7 Professionnel x86 (Bomobil). 

Sélection de la séquence de tâches 

- 18 -

■

Cliquez sur Next. 

■

Cochez les applications optionnelles à installer. 

© ENI Editions - All rigths reserved - Kaiss Tag

265

Sélection des applications optionnelles 

■

Cliquez sur Next. 

Installation de l’image en cours 

© ENI Editions - All rigths reserved - Kaiss Tag

266

- 19 -

Après avoir redémarré et installé les applications, l’assistant vous présente le rapport de déploiement : 

Compte rendu du déploiement    Attention, le client de déploiement laisse la session administrateur local ouverte à la fin du déploiement.

- 20 -

© ENI Editions - All rigths reserved - Kaiss Tag

267

Cas n°2 : entreprise de 500 postes  1. Présentation du cas  La  société  Assuretoo  propose  des  contrats  d’assurance  pour  les  particuliers  et  les  professionnels  français  et  britanniques. Bien que son siège soit à Paris, elle a récemment acquis un concurrent basé à Londres. Le siège compte  une  population  de  350  collaborateurs  francophones  et  anglophones,  tandis  que  le  site  de  Londres  recense  150  collaborateurs,  tous  anglophones.  Une  vingtaine  de  managers  et  de  chargés  de  clientèle  équipés  d’ordinateurs  portables effectuent régulièrement des trajets entre Paris et Londres. La sécurité des informations personnelles des  clients  est  un  sujet  particulièrement  sensible  chez  Assuretoo  et  la  direction  s’inquiète  des  données  confidentielles  stockées sur les portables en cas de perte ou de vol de ceux­ci.  Tous  les  postes  sont  actuellement  équipés  de  Windows  XP  Professionnel  et  Office  2003,  en  français  à  Paris  et  en  anglais à Londres. Pour des questions réglementaires, les utilisateurs de Londres disposent en plus d’une application  de compatibilité particulière.  Le  service  informatique  est  basé  à  Paris,  mais  un  technicien  sous­traitant  intervient  à  la  demande  sur  le  site  de  Londres pour le support local. Son périmètre se limite à la gestion des comptes d’ordinateurs  et  d’utilisateurs dans  l’unité organisationnelle dédiée à Londres au sein de l’Active Directory.  L’ensemble du système d’information et de l’infrastructure est géré en interne par le service informatique. Les deux  sites sont reliés par une liaison à 10 Mbits/s, tandis que chaque site dispose d’un réseau local à 100 Mbits/s et de  son propre plan d’adressage IP.  Sur  la  demande  de  votre  manager,  en  tant  qu’ingénieur  poste  de  travail,  vous  devez  concevoir  le  futur  socle  du  groupe, basé sur Windows 7 Enterprise 32 bits et Office Professionnel 2007. Le nouveau poste devra pouvoir être  utilisé indifféremment par un Francophone ou un Anglophone, dans sa langue maternelle.  La société a acquis le nombre de licences Windows 7 Enterprise suffisant pour le déploiement. Leur activation se fera  via  un  serveur  KMS,  déjà  en  place  à  Paris  pour  l’activation  des  serveurs  Windows  2008.  Les  enregistrements  DNS  nécessaires à l’activation automatique des clients KMS sont déjà créés.  Chaque  site  dispose  d’un  contrôleur  pour  le  domaine  Active  Directory  assuretoo.local  (dcfr  pour  Paris,  dcuk  pour  Londres) qui assure également les fonctions de serveur DHCP et DNS pour le site.  Chaque serveur étant installé dans la langue du site, les manipulations décrites utiliseront successivement le  français et l’anglais. 

Architecture actuelle du cas n°2 

2. Solution proposée  © ENI Editions - All rigths reserved - Kaiss Tag

268

- 1-

a. Choix d’une méthode de déploiement  Chaque site disposant d’un service DHCP et tous les postes étant connectés au réseau, il est possible d’utiliser PXE  pour amorcer le déploiement. D’autre part, les deux réseaux locaux étant d’une capacité suffisante, l’intégralité du  déploiement pourra se faire par ce biais.  Un nouveau serveur WDS sous Windows 2008 sera mis en place sur chaque site pour servir les clients locaux du  site. Deux partages de déploiement seront créés sur le site de Paris : le premier servira à créer et capturer l’image  de référence de manière automatique, tandis que le deuxième sera le partage de production utilisé par les clients  finaux. Un seul partage de déploiement sera créé à Londres, et mis à jour depuis Paris.  Pour  les  portables,  l’activation  de  la  fonctionnalité  BitLocker™  sera  proposée  lors  du  déploiement.  En  fonction  du  matériel (présence d’une puce TPM ou non), le technicien choisira les paramètres les plus adaptés. 

b. Type d’image  Tous  les  postes  devant  disposer  des  mêmes  outils,  et  ceux­ci  supportant  l’installation  de  packs  de  langues,  une  image de référence commune sera réalisée et intégrera Office Professionnel 2007 Français et Anglais, ainsi que les  packs de langue Français et Anglais pour Windows 7.  L’application  spécifique  pour  les  utilisateurs  anglais  sera  installée  automatiquement  pour  les  postes  de  Londres  uniquement. 

c. Outils mis en œuvre  Le  rôle  Windows  Deployment  Services  sera  installé  sur  chaque  nouveau  serveur  WDS,  ainsi  que  Microsoft  Deployment Toolkit 2010 et Windows Automated Installation Kit, de manière à faciliter la conception et le support du  master. 

Architecture proposée pour le cas n°2 

3. Mise en œuvre  a. Installation des serveurs WDS  ■

- 2-

Installez Windows Server 2008 (Standard ou Entreprise) en créant deux partitions : la première pour le système  d’exploitation, la deuxième, d’une taille de 64 Go minimum, pour les déploiements. 

■

Installez le Service Pack 2 pour Windows 2008 et toutes les mises à jour ultérieures nécessaires. 

■

Ouvrez une session locale sur le serveur WDS de Paris, WDSFR.  © ENI Editions - All rigths reserved - Kaiss Tag

269

■

Joignez le domaine assuretoo.local et redémarrez le serveur. 

■

Ajoutez la fonctionnalité Windows PowerShell. 

■

Installez le rôle Services de déploiement Windows depuis la console de gestion du serveur. 

■

Ouvrez  la  console  des  Services  de  déploiement  Windows  et  configurez  le  serveur  selon  les  paramètres  ci­ dessous :  Champ 

Valeur et explication 

Chemin d’accès 

D:\RemoteInstall, emplacement de stockage des images et de  la configuration WDS 

Stratégie de réponse 

Répondre à tous les clients (connus et inconnus), stratégie de  réponse PXE 

Ajouter les images au serveur de  déploiement Windows maintenant 

Décoché, les images seront ajoutées ultérieurement 

■

Ouvrez une session sur le serveur WDS de Londres, wdsuk. 

■

Joignez le domaine assuretoo.local et redémarrez le serveur. 

■

Ajoutez la fonctionnalité Windows PowerShell. 

■

Installez le rôle Windows Deployment Services depuis la console de gestion du serveur. 

■

Ouvrez la console Windows Deployment Services et configurez le serveur selon les paramètres ci­dessous : 

Champ 

Valeur et explication 

Path: 

D:\RemoteInstall 

Answer policy: 

Respond to all (known and unknown) client computers 

Add images to the Windows Deployment  Server now: 

Décoché 

b. Configuration des serveurs DHCP  Les serveurs WDS n’étant pas eux­mêmes serveurs DHCP, il faut indiquer aux clients PXE l’adresse IP du serveur et  le  chemin  du  programme  d’amorçage  qu’ils  peuvent  télécharger  par  TFTP.  Ces  indications  se  font  via  les  options  DHCP de l’étendue.  Sur le serveur DHCP de Paris (DCFR) :  ■

■

■

Ouvrez la console DHCP.  Dans  l’étendue  du  site  de  Paris,  ajoutez  l’option  066  Nom  d’hôte  du  serveur  de  démarrage  et  affectez­lui  la  valeur 10.0.0.2.  Dans  l’étendue  du  site  de  Paris,  ajoutez  l’option  067  Nom  du  fichier  de  démarrage  et  affectez­lui  la  valeur  boot\x86\wdsnbp.com. 

Sur le serveur DHCP de Londres (DCUK) :  © ENI Editions - All rigths reserved - Kaiss Tag

270

- 3-

■

■

■

Ouvrez la console DHCP.  Dans  l’étendue  du  site  de  Londres,  ajoutez  l’option  066  Boot  Server  Host  Name  et  affectez­lui  la  valeur  192.168.0.2.  Dans  l’étendue  du  site  de  Londres,  ajoutez  l’option  067  Bootfile  Name  et  affectez­lui  la  valeur  boot\x86 \wdsnbp.com. 

c. Préparation de l’environnement  Les outils Microsoft Deployment Toolkit et Windows Automated Installation Toolkit for Windows 7 vont être installés  sur un poste de chaque site pour gérer le ou les partages de déploiement du site. Ces outils peuvent également  être installés sur les serveurs WDS, afin de disposer d’une gestion directe.  Un partage réseau sera créé sur chaque serveur WDS pour héberger le partage de déploiement. Un compte Active  Directory sera créé pour accéder à ces partages lors du déploiement et joindre les machines au domaine.  Pour préparer le déploiement ■

■

■

Installez Microsoft Deployment Toolkit 2010 x86 sur chaque serveur WDS (voir le chapitre Microsoft Deployment  Toolkit).  Installez  Microsoft  Automated  Installation  Kit  for  Windows  7  sur  ces  mêmes  serveurs  (voir  le  chapitre  Windows  Automated Installation Toolkit).  Ouvrez une console Utilisateurs et ordinateurs Active Directory pour créer le compte spécifique qui sera utilisé  pour  se  connecter  au  partage  de  déploiement.  Créez  ce  nouveau  compte  utilisateur  du  domaine  selon  les  paramètres suivants :  Champ 

■

■

Valeur 

Nom complet 

USR Install Auto 

Nom d’utilisateur 

[email protected] 

Nom pre­Windows 2000 

ASSURETOO\usrinstall 

Mot de passe 

P@ssw0rd 

L’utilisateur doit changer le mot de passe à la  prochaine ouverture de session 

Non 

L’utilisateur ne peut pas changer de mot de passe 

Oui 

Le mot de passe n’expire jamais 

Oui 

Le compte est désactivé 

Non 

Créez  un  nouveau  dossier D:\MDTBuild  sur  le  serveur  WDS  de  Paris  pour  héberger  les  fichiers  du  partage  de  déploiement servant à construire l’image de référence.  Activez le partage de fichiers sur ce nouveau dossier et configurez la sécurité de ce partage : 

Champ 

- 4-

Valeur 

Nom du partage 

mdtbuild$ 

Permissions de partage 

Tout le monde : Contrôle Total  © ENI Editions - All rigths reserved - Kaiss Tag

271

Permissions NTFS 

■

■

●

Administrateurs : Contrôle Total 

●

Votre compte : Modification 

●

SYSTEM : Contrôle Total 

Créez  un  nouveau  dossier  D:\MDTDS01  sur  chaque  serveur  WDS  pour  héberger  les  fichiers  du  partage  de  déploiement.  Activez le partage de fichiers sur ce nouveau dossier et configurez la sécurité de ce partage : 

Champ 

Valeur 

Nom du partage  

mdtbuild$ 

Permissions de partage  

Tout le monde : Contrôle Total 

Permissions NTFS  

●

Administrateurs : Contrôle Total 

●

ASSURETOO\usrinstall : Lecture 

●

Votre compte : Modification 

●

SYSTEM : Contrôle Total 

■

Ouvrez la console Utilisateurs et ordinateurs Active Directory. 

■

Si elles n’existent pas, créez une unité organisationnelle (OU) Londres et une autre Paris. 

■

Faites un clic droit sur l’OU de Paris et sélectionnez l’item Délégation de contrôle. 

© ENI Editions - All rigths reserved - Kaiss Tag

272

- 5-

Délégation de contrôle sur une OU 

■

Lorsque l’écran de bienvenue s’affiche, cliquez sur Suivant. 

■

Cliquez sur le bouton Ajouter. 

■

■

Entrez  le  nom  de  l’utilisateur  qui  effectuera  les  adhésions  au  domaine  (assuretoo\usrinstall  dans  notre  exemple).  Cliquez sur OK. 

Ajout de l’utilisateur délégué 

- 6-

■

Cliquez sur Suivant. 

■

Sélectionnez l’option Créer une tâche personnalisée à déléguer. 

© ENI Editions - All rigths reserved - Kaiss Tag

273

Sélection d’un modèle de délégation 

■

Cliquez sur Suivant. 

■

Confirmez le choix de l’option De ce dossier et des objets qui s’y trouvent. 

Sélection du type d’objets 

■

Cliquez sur Suivant. 

© ENI Editions - All rigths reserved - Kaiss Tag

274

- 7-

■

Sélectionnez l’autorisation Créer des objets Ordinateur. 

Sélection des autorisations 

■

Cliquez sur Suivant. 

Confirmation de la délégation 

■

- 8-

Cliquez sur Terminer. 

© ENI Editions - All rigths reserved - Kaiss Tag

275

■

Répétez l’opération pour l’OU Londres. 

Le compte ASSURETOO\usrinstall dispose maintenant du droit de créer des comptes d’ordinateur dans les OUs Paris  et  Londres,  c’est­à­dire  de  pouvoir  joindre  des  machines  au  domaine  ASSURETOO  à  condition  que  le  compte  d’ordinateur soit créé directement dans ces OUs (et non dans le conteneur par défaut du domaine, Computers en  général). 

d. Création du partage de déploiement de travail  Les partages de déploiement peuvent être créés depuis n’importe quelle console Deployment Workbench, dès lors  que  le  compte  de  l’utilisateur  est  habilité  à  écrire  dans  le  partage  réseau  correspondant.  Un  premier  partage  de  déploiement  de  travail  doit  être  créé  sur  le  site  de  Paris  pour  construire  et  capturer  l’image  de  référence.  Ce  partage hébergera le système d’exploitation Windows 7 original ainsi que les sources des applications et packs de  langue à embarquer.  Pour créer ce partage de déploiement :  ■

Exécutez la console MDT sur le serveur WDSFR. 

■

Créez un partage de déploiement selon les paramètres ci­dessous : 

Champ 

Valeur 

Deployment share path: 

\\wdsfr\mdtbuild$ 

Deployment share description: 

Build 

Allow Image Capture: 

Cochez la case Ask if an image should be captured 

Allow Admin Password 

Décochez la case Ask user to set the local Administrator  Password 

Allow Product Key 

Décochez la case Ask user for a product key 

■

Éditez les propriétés du partage de déploiement Build. 

■

Dans l’onglet General, décochez la case Platforms Supported: x64. 

■

Dans l’onglet Rules, modifiez le contenu de la section [Default] selon le paramétrage ci­dessous : 

Paramètre 

Valeur et explication 

_SMSTSOrgName= 

Assuretoo, nom affiché dans la fenêtre de progression du client  MDT 

OSInstall= 

Y 

SkipBDDWelcome= 

YES, évite l’écran d’accueil du client MDT 

SkipSummary= 

YES, évite l’écran de résumé des actions prévues à la fin de  l’assistant du client MDT 

SkipFinalSummary= 

NO, affiche l’écran de résumé des erreurs à la fin de l’installation 

DeployRoot= 

\\%WDSSERVER%\mdtbuild$, chemin réseau du partage de  déploiement auquel le client doit se connecter 

SkipLocaleSelection= 

YES, évite l’écran de configuration des paramètres régionaux 

© ENI Editions - All rigths reserved - Kaiss Tag

276

- 9-

■

KeyboardLocalePE= 

040c:0000040c, indique au client de déploiement d’utiliser le  clavier français 

KeyboardLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser le  clavier français 

UserLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser les  paramètres régionaux français 

UILanguage= 

fr­fr, langue de l’interface du système d’exploitation déployé 

SkipAdminPassword= 

YES, évite la saisie manuelle du mot de passe de  l’administrateur local pendant l’assistant 

AdminPassword= 

P@ssw0rd, mot de passe du compte administrateur local 

SkipBitLocker= 

YES, évite l’écran de configuration de BitLocker™ (programme de  chiffrement de disque) 

BDEInstallSuppress= 

YES, désactive l’installation de BitLocker™  

SkipComputerName= 

YES, évite la demande de saisie d’un nom d’ordinateur (le nom  sera généré aléatoirement). 

SkipApplications= 

NO, affiche la liste de choix des applications à installer 

SkipPackageDisplay= 

NO, affiche la liste des packs de langue à installer 

SkipDomainMembership= 

YES 

JoinWorkgroup= 

WORKGROUP, nom du groupe de travail que le poste doit  rejoindre 

SkipCapture= 

YES, évite la demande de capture 

DoCapture= 

YES, indique de capturer le poste à l’issu du déploiement 

BackupFile= 

MasterWindows7x86.wim, nom du fichier WIM de capture 

BackupShare= 

\\wdsfr\mdtbuild$, partage réseau où stocker le fichier WIM  de capture 

BackupDir= 

Captures, dossier du partage réseau spécifié par la propriété  BackupShare dans lequel stocker le fichier WIM de capture 

SkipProductKey= 

YES, évite la demande d’une clé de produit par l’assistant du  client MDT 

SkipTimeZone= 

YES, évite la demande de paramétrage de fuseau horaire 

TimezoneName= 

Romance Standard Time, le fuseau horaire de la France 

SkipUserData= 

YES, évite la demande de sauvegarde du poste et des données  utilisateur 

Dans l’onglet Rules, cliquez sur le bouton Bootstrap.ini et modifiez le contenu de la section [Default] du fichier  selon le paramétrage ci­dessous :  Paramètre 

- 10 -

Valeur et explication 

© ENI Editions - All rigths reserved - Kaiss Tag

277

■

■

■

DeployRoot= 

\\serveur1\mdtbuild$, chemin réseau du partage de  déploiement auquel le client doit se connecter 

SkipBDDWelcome= 

YES, évite l’écran d’accueil du client de déploiement 

KeyboardLocalePE= 

040c:0000040c, indique au client de déploiement d’utiliser le  clavier français 

KeyboardLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser le  clavier français 

Fermez le bloc­notes et enregistrez le fichier.  Dans  l’onglet  Windows  PE  x86  Settings,  changez  la  valeur  du  champ  Image  description  pour  Build  Master  (x86).  Décochez la case Generate a Lite Touch bootable ISO image. 

e. Import du système d’exploitation  ■

Insérez le média de Microsoft Windows 7 Entreprise x86 Français. 

■

Exécutez la console MDT. 

■

Développez le nœ ud du partage de déploiement Build. 

■

Dans le noeud Operating Systems, importez le système d’exploitation Windows 7 Entreprise x86 Français : 

Paramètre 

Valeur et explication 

Type of operating system to add: 

Full set of source files, l’import concerne un système  d’exploitation original complet 

Source directory: 

Chemin vers le média de Windows 7 

Destination directory name: 

Windows 7 x86, nom du répertoire où importer le système  d’exploitation 

f. Import et configuration de Microsoft Office 2007  ■

Insérez le média d’installation de Microsoft Office Professionnel 2007. 

■

Exécutez la console MDT. 

■

Développez le nœ ud du partage de déploiement Build. 

■

Dans le nœ ud Applications, importez l’application Office Professionnel 2007 Français : 

Paramètre 

Valeur et explication 

Type of application to add: 

Application with source files, le répertoire contient tous les  fichiers de l’application 

Publisher: 

Microsoft, nom de l’éditeur 

© ENI Editions - All rigths reserved - Kaiss Tag

278

- 11 -

Application Name: 

Office Professionnel 2007, nom de l’application 

Source directory: 

Chemin vers le média d’Office 2007 Professionnel 

Command line: 

setup.exe /config .\pro.ww\config.xml, ligne de commande à  exécuter 

Importation de Microsoft Office 2007 

■

Insérez le média contenant le pack de langue Office 2007 Anglais. 

■

Affichez les propriétés de l’application importée Microsoft Office Professionnel 2007. 

■

Dans l’onglet Office Products, cliquez sur le bouton Office Customization Tool. 

■

■

■

- 12 -

Dans  l’application  Outil  de  personnalisation  Office  qui  vient  de  s’ouvrir,  sélectionnez  Créer  un  fichier  de  personnalisation  de  l’installation  pour  le  produit  suivant  et  choisissez  le  produit  Office  dont  vous  disposez  dans la liste.  Cliquez sur OK.  Dans la section Emplacement d’installation et nom de l’organisation, saisissez le nom Assuretoo dans le champ  Nom de l’organisation. 

■

Dans la section Licences et interface utilisateur, saisissez votre clé de produit dans le champ Clé du produit. 

■

Cochez la case J’accepte les termes du contrat de licence. 

■

Sélectionnez le niveau d’affichage Simple. 

© ENI Editions - All rigths reserved - Kaiss Tag

279

■

■

Dans  la  section  Définir  les  états  d’installation  des  composants,  choisissez  les  applications  et  les  outils  de  la  suite Office que vous souhaitez installer.  Fermez l’outil  de  personnalisation  Office  et  enregistrez  le  fichier  sous  le  nom  Assuretoo.msp dans le répertoire  \\wdsfr\mdtbuild$\Application\Microsoft Office 2007 Professionnel\Updates. 

■

Appliquez les modifications. 

■

Cliquez sur le bouton Add.... 

■

Sélectionnez le dossier contenant le pack de langue anglais pour Office 2007 (i.e. les dossiers finissant par .en­ us). 

■

Dans la liste déroulante Office 2007 product to install, sélectionnez votre édition. 

■

Cochez les cases en­us et fr­fr. 

■

Cliquez sur le bouton OK. 

g. Importation du pack de langue  Le  système  d’exploitation  importé  initialement  étant  exclusivement  en  français,  il  vous  faut  rajouter  le  pack  de  langue anglaise correspondant à l’architecture du système d’exploitation déployé (x86 dans l’exemple ici).  ■

Insérez un média contenant le pack de langue anglais pour Windows 7 x86. 

■

Exécutez la console MDT. 

■

Développez le nœ ud du partage de déploiement Build. 

■

Dans le nœ ud Packages, importez le pack de langue anglais : 

Paramètre  Package source directory: 

Valeur et explication  Chemin vers le répertoire en­us contenant le fichier lp.cab 

h. Création de la séquence de tâches de construction  Une séquence de tâches doit être créée pour installer le système d’exploitation, les applications, le pack de langue  et capturer automatiquement le poste.  Pour créer cette séquence de tâches ■

Exécutez la console MDT. 

■

Développez le nœ ud du partage de déploiement Build. 

■

À  la  racine  du  conteneur  Task  Sequences,  créez  une  nouvelle  séquence  de  tâches  selon  les  paramètres  ci­ dessous :  Paramètre 

Valeur 

Task sequence ID: 

0 

Task sequence name: 

Build Master (x86)  © ENI Editions - All rigths reserved - Kaiss Tag

280

- 13 -

Template: 

Standard Client Task Sequence 

Operating System: 

Windows 7 Entreprise 

Specify Product Key: 

Do not specify a product key at this time 

Full Name: 

Assuretoo 

Organization: 

Assuretoo 

Internet Explorer Home Page: 

http://intranet.assuretoo.local 

Admin Password: 

Do not specify an Administrator password at this time 

Création de la séquence de tâches de construction 

■

Mettez à jour le partage de déploiement pour générer l’image WIM. 

■

Ouvrez la console WDS. 

■

Déployez le nœ ud wdsfr.assuretoo.local. 

■

- 14 -

Ajoutez l’image  LitetouchPE_x86.wim générée dans  D:\MDTBuild\Boot aux images de démarrage du serveur  WDS. 

© ENI Editions - All rigths reserved - Kaiss Tag

281

Ajout d’une image de démarrage à WDS 

i. Construction de l’image de référence  La  création  d’une  image  de  référence  permet  de  gagner  du  temps,  en  préinstallant  les  logiciels  dans  l’image  capturée au lieu de les installer lors du déploiement sur le poste final.  Pour créer l’image de référence ■

■

Démarrez le poste de référence sur le réseau.  Entrez  les  informations  d’identification  du  compte  que  vous  avez  autorisé  en  modification  sur  le  répertoire  D:\MDTBuild. 

© ENI Editions - All rigths reserved - Kaiss Tag

282

- 15 -

Authentification pour l’accès au partage de déploiement 

- 16 -

■

Cliquez sur OK. 

■

Sélectionnez la séquence de tâches Build Master (x86). 

■

Cliquez sur Next. 

■

Entrez un nom temporaire d’ordinateur (ex : PCREFW7). 

■

Cliquez sur Next. 

■

Sélectionnez le pack de langue supplémentaire Language Pack ­ English (en­US) ­ English. 

© ENI Editions - All rigths reserved - Kaiss Tag

283

Sélection des packs de langue à installer 

■

Cliquez sur Next. 

■

Sélectionnez l’application Microsoft Office 2007 Professionnel. 

© ENI Editions - All rigths reserved - Kaiss Tag

284

- 17 -

Sélection des applications optionnelles 

■

■

Cliquez sur Next.  Sélectionnez  l’option  Capture  an  image  of  this  reference  computer  (les  champs  Location  et  File  name  sont  normalement déjà préremplis avec les valeurs renseignées dans le fichier CustomSettings.ini). 

Paramètres de capture du poste 

■

Cliquez sur Next. 

Après installation du système d’exploitation et de Microsoft Office Professionnel 2007, MDT initie la préparation à la  capture avec l’outil Sysprep et redémarre le poste pour en capturer le disque C: sous forme d’une image WIM. Cette  image WIM sera stockée dans le répertoire \\wdsfr\mdtbuild$\captures sous le nom MasterWindows7x86.wim.  Cette  image  contient  le  système  d’exploitation  Windows  7  Entreprise  et  Microsoft  Office  2007  Professionnel,  tous  deux en langue française et anglaise. 

j. Création des partages de déploiement de production  Un second partage de déploiement sur le site de Paris servira de partage de déploiement principal pour les clients  du site et mettra à jour un partage répliqué à Londres.  Pour créer ce partage de déploiement :  ■

Créez un partage de déploiement selon les paramètres ci­dessous : 

Champ 

- 18 -

Valeur et explication 

Deployment share path: 

\\wdsfr\mdtds01$, chemin UNC vers le partage réseau 

Deployment share description: 

DS01 Paris, nom affiché du partage de déploiement 

© ENI Editions - All rigths reserved - Kaiss Tag

285

■

Allow Image Capture: 

Décochez la case Ask if an image should be captured, le  comportement sera défini ultérieurement 

Allow Admin Password 

Décochez la case Ask user to set the local Administrator  Password, le comportement sera défini ultérieurement 

Allow Product Key 

Décochez la case Ask user for a product key, le comportement  sera défini ultérieurement 

Dans  le  nœ ud Advanced  Configuration/Linked  Deployment  Share, créez un nouveau partage de déploiement  lié selon les paramètres ci­dessous :  Champ 

Valeur et explication 

Linked deployment share UNC path: 

\\wdsuk\mdtds01$, chemin UNC vers le partage cible 

Selection profile: 

Everything, profil de sélection contenant les éléments à  répliquer  Merge the selected contents into the target deployment share,  la réplication effectuera une mise à jour et non un remplacement 

■

Éditez les propriétés du partage lié LINKED001. 

■

Décochez la case Automatically update boot images after replicating content to this linked deployment share. 

■

Cliquez sur OK. 

■

Editez les propriétés du partage de déploiement DS01 Paris. 

■

Dans l’onglet General, décochez la case Platforms Supported: x64. 

■

Dans l’onglet  Windows  PE  x86  Settings, remplacez la valeur du premier champ Image description  par Master  Windows 7 x86. 

■

Décochez la case Generate a Lite Touch bootable ISO image. 

■

Dans l’onglet Rules, modifiez le contenu de la section [Settings] selon le paramétrage ci­dessous : 

Paramètre  Priority 

■

Valeur et explication  DefaultGateway, IsLaptop, Default 

Modifiez le contenu de la section [Default] selon le paramétrage ci­dessous : 

Paramètre 

Valeur et explication 

_SMSTSOrgName= 

Assuretoo, nom affiché dans la fenêtre de progression du client  MDT 

OSInstall= 

Y 

SkipBDDWelcome= 

YES, évite l’écran d’accueil du client MDT 

SkipSummary= 

YES, évite l’écran de résumé des actions prévues à la fin de  l’assistant du client MDT  © ENI Editions - All rigths reserved - Kaiss Tag

286

- 19 -

■

- 20 -

SkipFinalSummary= 

NO, affiche l’écran de résumé des erreurs à la fin de l’installation 

DeployRoot= 

\\%WDSSERVER%\mdtds01$, chemin réseau du partage de  déploiement auquel le client doit se connecter 

UserID= 

usrinstall, nom du compte utilisé pour la connexion au partage  MDT 

UserPassword= 

P@ssw0rd, mot de passe du compte utilisé pour la connexion au  partage MDT 

UserDomain= 

ASSURETOO, domaine du compte utilisé pour la connexion au  partage MDT 

SkipLocaleSelection= 

YES, évite l’écran de configuration des paramètres régionaux 

SkipBuild= 

YES, évite la sélection manuelle d’une séquence de tâches 

BuildID= 

0, identifiant de la séquence de tâches à utiliser 

SkipAdminPassword= 

YES, évite la saisie manuelle du mot de passe de  l’administrateur local pendant l’assistant 

AdminPassword= 

P@ssw0rd, mot de passe du compte administrateur local 

SkipBitLocker= 

YES, évite l’écran de configuration de BitLocker™ (programme de  chiffrement de disque) 

BDEInstallSuppress= 

YES, désactive l’installation de BitLocker™ 

SkipComputerName= 

NO, demande un nom d’ordinateur lors du déploiement 

SkipApplications= 

YES, évite le choix d’applications optionnelles à installer lors du  déploiement 

SkipDomainMembership= 

YES, évite l’écran d’adhésion à un domaine ou un groupe de  travail 

DomainAdmin= 

usrinstall, nom du compte utilisé pour joindre le domaine Active  Directory 

DomainAdminPassword= 

P@ssw0rd, mot de passe du compte utilisé pour joindre le  domaine Active Directory 

DomainAdminDomain= 

ASSURETOO, domaine du compte utilisé pour joindre le domaine  Active Directory 

JoinDomain= 

ASSURETOO, nom du domaine à rejoindre 

SkipCapture= 

YES, ne demande pas la capture ou non du poste 

DoCapture= 

NO, ne pas faire de capture du poste une fois déployé 

SkipProductKey= 

YES, évite la demande d’une clé de produit par l’assistant du  client MDT 

SkipTimeZone= 

YES, évite la demande de paramétrage de fuseau horaire 

Créez une section [DefaultGateway] contenant les paramètres ci­dessous : 

© ENI Editions - All rigths reserved - Kaiss Tag

287

Paramètre 

■

Valeur et explication 

10.0.0.254= 

Paris, cette section contiendra les paramètres spécifiques au  site de Paris 

192.168.0.254= 

Londres, cette section contiendra les paramètres spécifiques au  site de Londres 

Créez une section [Paris] contenant les paramètres ci­dessous : 

Paramètre 

■

Valeur et explication 

KeyboardLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser le  clavier français 

KeyboardLocalePE= 

040c:0000040c, indique au client de déploiement d’utiliser le  clavier français 

UserLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser les  paramètres régionaux français 

UILanguage= 

fr­fr, langue de l’interface du système d’exploitation déployé 

TimeZoneName= 

Romance Standard Time, fuseau horaire de la France 

MachineObjectOU= 

ou=Paris,dc=assuretoo,dc=local, chemin LDAP de l’unité  organisationnelle où créer le compte d’ordinateur 

Créez une section [Londres] contenant les paramètres ci­dessous : 

Paramètre 

■

Valeur et explication 

KeyboardLocale= 

en­GB, indique au système d’exploitation déployé d’utiliser le  clavier anglais 

KeyboardLocalePE= 

0809:00000809, indique au client de déploiement d’utiliser le  clavier anglais 

UserLocale= 

en­GB, indique au système d’exploitation déployé d’utiliser les  paramètres régionaux anglais 

UILanguage= 

en­us, langue de l’interface du système d’exploitation déployé 

TimeZoneName= 

GMT Standard Time, fuseau horaire du Royaume­Uni 

MachineObjectOU= 

ou=Londres,dc=assuretoo,dc=local, chemin LDAP de l’unité  organisationnelle où créer le compte d’ordinateur 

MandatoryApplications001= 

Vide, contiendra le GUID de l’application de compatibilité  spécifique au site de Londres une fois celle­ci importée (cf.  Import de l’application de compatibilité pour Londres) 

Créez une section [IsLaptop] contenant les paramètres ci­dessous : 

Paramètre  SkipBitLocker= 

Valeur et explication  NO, affiche l’écran de configuration de BitLocker™ 

© ENI Editions - All rigths reserved - Kaiss Tag

288

- 21 -

■

Cliquez  sur  le  bouton  Bootstrap.ini  et  modifiez  le  contenu  de  la  section  [Settings]  selon  le  paramétrage  ci­ dessous :  Paramètre  Priority 

■

Valeur et explication  DefaultGateway, Default 

Modifiez le contenu de la section [Default] du fichier selon le paramétrage ci­dessous : 

Paramètre 

■

Valeur et explication 

DeployRoot= 

\\%WDSSERVER%\mdtds01$, chemin réseau du partage de  déploiement auquel le client doit se connecter 

UserID= 

usrinstall, nom du compte utilisé pour la connexion au partage  MDT 

UserPassword= 

P@ssw0rd, mot de passe du compte utilisé pour la connexion au  partage MDT 

UserDomain= 

ASSURETOO, domaine du compte utilisé pour la connexion au  partage MDT 

SkipBDDWelcome= 

YES, évite l’écran d’accueil du client de déploiement 

Créez une section [DefaultGateway] contenant les paramètres ci­dessous : 

Paramètre 

■

Valeur et explication 

10.0.0.254= 

Paris, cette section contiendra les paramètres spécifiques au  site de Paris 

192.168.0.254= 

Londres, cette section contiendra les paramètres spécifiques au  site de Londres 

Créez une section [Paris] contenant les paramètres ci­dessous: 

Paramètre 

■

Valeur et explication 

KeyboardLocale= 

fr­fr, indique au système d’exploitation déployé d’utiliser le  clavier français 

KeyboardLocalePE= 

040c:0000040c, indique au client de déploiement d’utiliser le  clavier français 

Créez une section [Londres] contenant les paramètres ci­dessous: 

Paramètre 

- 22 -

Valeur et explication 

KeyboardLocale= 

en­GB, indique au système d’exploitation déployé d’utiliser le  clavier anglais 

KeyboardLocalePE= 

0809:00000809, indique au client de déploiement d’utiliser le  clavier anglais 

© ENI Editions - All rigths reserved - Kaiss Tag

289

■

Fermez le bloc­notes et enregistrez le fichier. 

Les  propriétés  réservées  DefaultGateway  et  IsLaptop  permettent  de  configurer  des  valeurs  du  fichier  CustomSettings.ini  et  Bootstrap.ini  selon,  respectivement,  l’adresse  de  passerelle  par  défaut  du  poste  déployé et le fait qu’il s’agisse d’un portable ou pas. 

k. Import de l’image de référence capturée  ■

Insérez le média de Microsoft Windows 7 Entreprise x86 Français. 

■

Dans le nœ ud Operating Systems, importez un nouveau système d’exploitation. 

■

Sélectionnez le type Custom image file. 

■

Cliquez sur Next. 

■

Cliquez sur le bouton Browse et sélectionnez le fichier D:\MDTBuild\Captures\MasterWindows7x86.wim. 

■

Cliquez sur Next. 

■

Sélectionnez  Copy  Windows  Vista  (…)  or  later  setup  files  from  the  specified  path  et  indiquez  la  racine  du  média d’installation de Windows 7 Entreprise x86 Français dans le champ Setup source directory. 

■

Cliquez sur Next. 

■

Confirmez le nom de répertoire de destination proposé en cliquant sur Next. 

■

Confirmez l’import en cliquant sur Next. 

■

Renommez l’image importée en Master Windows 7 Entreprise x86. 

l. Import de l’application de compatibilité pour Londres  ■

Exécutez la console MDT. 

■

Développez le nœ ud du partage de déploiement DS01 Paris. 

■

Dans le nœ ud Applications, importez l’application de compatibilité spécifique pour Londres : 

Paramètre 

■

Valeur et explication 

Type of application to add: 

Application with source files 

Publisher: 

Editeur de cette application 

Application Name:  

Accounting Application 

Source directory: 

Chemin vers les sources de cette application 

Command line: 

Ligne de commande pour installer cette application silencieusement 

Ouvrez le fichier D:\MDTDS01\Control\Applications.xml avec Internet Explorer. 

© ENI Editions - All rigths reserved - Kaiss Tag

290

- 23 -

■

■

Copiez la valeur de l’attribut guid du nœ ud XML de l’application (accolades comprises).  Collez  cette  valeur  dans  la  propriété  MandatoryApplications001  de  la  section  [Londres]  du  fichier  CustomSettings.ini. 

m. Création de la séquence de tâches finale  Une  seule  séquence  de  tâches  sera  disponible  pour  les  déploiements  finaux  sur  les  postes  de  travail.  Cette  séquence utilisera l’image WIM de référence capturée et se basera sur les informations configurées dans le fichier  CustomSettings.ini pour déterminer la configuration particulière du poste en fonction du site réseau. D’autre part,  l’installation de BitLocker™ ne sera faite que sur les ordinateurs portables (i.e. ceux pour qui la valeur de propriété  réservée IsLaptop sera vraie).  Pour créer la séquence de tâches finale ■

Exécutez la console MDT. 

■

Développez le nœ ud du partage de déploiement DS01 Paris. 

■

À  la  racine  du  conteneur  Task  Sequences,  créez  une  nouvelle  séquence  de  tâches  selon  les  paramètres  ci­ dessous :  Paramètre 

- 24 -

Valeur et explication 

Task sequence ID: 

0 

Task sequence name: 

Master Windows 7 x86 

Template: 

Standard Client Task Sequence 

Operating System: 

Master Windows 7 Entreprise x86 

Specify Product Key: 

Do not specify a product key at this time 

Full Name: 

Assuretoo 

Organization: 

Assuretoo 

Internet Explorer Home Page: 

http://intranet.assuretoo.local 

Admin Password: 

Sélectionnez l’option Use the specified local Administrator  password, entrez le mot de passe administrateur local dans le  champ Administrator Password et confirmez­le dans le champ  Please confirm Administrator Password. 

© ENI Editions - All rigths reserved - Kaiss Tag

291

Création de la séquence de tâches finale 

■

Éditez les propriétés de la séquence de tâches que vous venez de créer. 

■

Dans l’onglet OS Info, cliquez sur le bouton Edit Unattend.xml. 

■

■

Une  fois  le  catalogue  de  composants  recréé  par  MDT,  Windows  System  Image  Manager  sera  lancé  et  le  fichier  Unattend.xml ouvert automatiquement.  Quittez  Windows  System  Image  Manager  et  enregistrez  le  fichier  en  quittant  (cette  manipulation  permet  de  chiffrer le mot de passe du compte administrateur local dans le fichier XML). 

n. Mise à jour des partages de déploiement  Le  partage  de  déploiement  de  production  de  Paris  étant  désormais  configuré,  celui­ci  peut  être  mis  à  jour  de  manière à générer l’image de démarrage nécessaire pour le déploiement des postes.  Pour mettre à jour le partage de Paris ■

Exécutez la console MDT. 

■

Faites un clic droit sur le partage de déploiement DS01 Paris. 

■

Sélectionnez l’option Update Deployment Share. 

■

Sélectionnez l’option Optimize the boot image updating process. 

■

Cliquez sur Next deux fois. 

© ENI Editions - All rigths reserved - Kaiss Tag

292

- 25 -

■

Cliquez sur Finish. 

Pour mettre à jour le partage de Londres ■

Développez le nœ ud du partage de déploiement DS01 Paris. 

■

Dans le nœ ud Advanced Configuration/Linked Deployment Shares, faites un clic droit sur le lien LINKED001. 

■

Sélectionnez l’item Replicate Content. 

Selon  la  taille  et  le  nombre  de  systèmes  d’exploitation  et  d’applications  présents  dans  le  partage  de  déploiement,  les  données  de  réplication  peuvent  représenter  plusieurs  giga  octets  à  transférer  vers  le  réplica.  Tout le contenu du partage de déploiement de production de Paris est alors copié vers le partage de production de  Londres : systèmes d’exploitation, applications, pilotes de périphériques, packages, séquences de tâches, etc. Les  images de démarrage situées dans le répertoire Boot du partage de déploiement source ne sont pas répliquées,  mais sont entièrement recréées à distance.  Cependant, la réplication native de MDT n’inclut pas les fichiers  CustomSettings.ini, BootStrap.ini et Settings.xml  présents  dans  le  répertoire  Control  du  partage  de  déploiement  source.  Or,  ces  fichiers  contiennent  à  eux  trois  toutes  les  propriétés  du  partage  de  déploiement  :  ils  doivent  donc  être  régénérés  pour  le  site  de  Londres  en  ouvrant le partage de déploiement depuis une console MDT et en le configurant.  Pour configurer le partage de déploiement de Londres ■

et 

BootStrap.ini 

depuis 

\\wdsfr\mdtds01$\Control 

■

Ouvrez une session sur le serveur WDSUK. 

■

Exécutez la console MDT. 

■

Faites un clic droit sur le nœ ud Deployment Shares. 

■

Sélectionnez l’option Open Deployment Share. 

■

Indiquez l’emplacement \\wdsuk\mdtds01$. 

■

Cliquez sur Next deux fois. 

■

Cliquez sur Finish. 

■

Affichez les propriétés du partage de déploiement que vous venez d’ajouter. 

■

Dans l’onglet General, remplacez la valeur du champ Description par DS01 Londres. 

■

Décochez la case Platforms Supported: x64. 

■

- 26 -

Copiez  les  fichiers  CustomSettings.ini  \\wdsuk\mdtds01$\Control. 

vers 

Dans l’onglet  Windows  PE  x86  Settings, remplacez la valeur du premier champ Image description  par Master  Windows 7 x86. 

■

Décochez la case Generate a Lite Touch bootable ISO image. 

■

Cliquez sur OK. 

■

Faites un clic droit sur le partage de déploiement DS01 Londres. 

© ENI Editions - All rigths reserved - Kaiss Tag

293

■

Sélectionnez l’option Update Deployment Share. 

■

Sélectionnez l’option Optimize the boot image updating process. 

■

Cliquez sur Next deux fois. 

■

Cliquez sur Finish. 

o. Mise à disposition des images de démarrage finales  Les images WIM de démarrage générées lors de la mise à jour des partages de déploiement doivent maintenant  être mises à disposition des clients, via le serveur WDS.  Pour cela :  ■

Connectez­vous au server WDSFR. 

■

Exécutez la console WDS. 

■

Ajoutez l’image de démarrage D:\MDTDS01\Boot\LiteTouchPE_x86.wim. 

■

Désactivez l’image de démarrage Build Master (x86). 

■

Connectez­vous au serveur WDSUK (avec le Bureau à distance par exemple). 

■

Exécutez la console WDS. 

■

Ajoutez l’image de démarrage D:\MDTDS01\Boot\LiteTouchPE_x86.wim. 

p. Déploiement  Le déploiement des postes est extrêmement simple :  ■

Amorcez un poste de Londres sur le réseau 

■

Une fois le client de déploiement chargé, entrez le nom de l’ordinateur. 

© ENI Editions - All rigths reserved - Kaiss Tag

294

- 27 -

Saisie du nom d’ordinateur 

■

Cliquez sur Next. 

Installation entièrement automatisée de Windows 7 

- 28 -

© ENI Editions - All rigths reserved - Kaiss Tag

295

Tout le reste est effectué automatiquement en fonction des informations fournies dans le fichier CustomSettings.ini.  Le poste appartenant au réseau de Londres, MDT installera l’application comptable spécifique à ce site.  Pour enrichir ce scénario, vous pouvez :  ●

●

●

●

Mettre en place USMT pour migrer les données des utilisateurs.  Configurer  automatiquement  BitLocker™  pour  les  portables  au  lieu  de  proposer  l’écran  de  configuration  manuelle (mais cela dépend de la présence ou non d’une puce TPM).  Mettre  en  place  la  base  de  données  MDT  pour  automatiser  entièrement  les  déploiements  en  fonction  du  GUID des postes.  Intégrer des langues supplémentaires dans l’assistant d’installation. 

© ENI Editions - All rigths reserved - Kaiss Tag

296

- 29 -