Les fondamentaux du déploiement Windows_(Publié_SlideShare.net)

V 1.0
LES FONDAMENTAUX DU
DÉPLOIEMENT
WINDOWS
Christophe MANDIN
Formateur Systèmes Windows
E-mail : [email protected]
Comment déployer efficacement Windows 7 et Office
2010 ?
Notre "plan de vol" pour cette session
La difficulté principale de cette formation réside dans le fait d’assimiler rapidement les nombreux
acronymes et comprendre la finalité des outils associés
1ère partie
Survol rapide des processus d'installation Windows (hier vs aujourd'hui)
Présentation d’une installation de Windows 7 (plus poussé que « Suivant », « Suivant » … )
Présentation de WinPE – WIM et Sysprep (des fondamentaux à retenir …)
WAIK : Le outils et les fichiers de réponse (on attache bien sa ceinture …)
MDT : Installation ordonnancée dit "LiteTouch" (préparation du décollage …)
2ème partie
WDS : découvrir son intérêt (mais aussi ses contraintes)
Création d'un poste de référence via MDT (on lâche les chevaux ! ☺)
Gestion du cycle de vie avec WSUS, Active Directory et stratégies de groupe (vitesse de croisière …)
Aller plus loin avec WSUS (LUP) et MDT (DB)
Note : tous les outils mentionnés dans cette présentation sont inclus dans les produits Windows 7
Windows Server 2008R2 et/ou disponibles en téléchargement libre et gratuit
Comment déployer efficacement
Windows 7 et Office 2010 ?
Introduction
Rappels – On fait chauffer les moteurs ….
En premier lieu, il convient de « poser le décor » et distinguer quelques grandes évolutions du principe
d'installation de Windows NT
Génération
NT5
Windows 2000 Pro / Server
Windows XP
Windows Server 2003/R2
MsDos
NT 5.0.2195
NT 5.1.2600
NT 5.2.3790
WinPE 1.x
Réservé OEM et SA
☺ Rapidité + intégration des applications
Installation NT 5 via "Winnt32" ou "sysprep"
Dépendance matérielle forte
Imposé pour l'installation d'un nouveau type de PC (processus long et limité au système seulement)
Indépendance matérielle garantie !
Toute installation NT6 passe par "sysprep"
Préparation possible des machines en environnement virtuel ! ☺
Génération
NT6
Vista / Windows Server 2008
Windows 7 / Windows Server 2008 R2
Windows 8.0 / Windows Server 2012
Windows 8.1 / Windows Server 2012
NT 6.0.600x
NT 6.1.760x
NT 6.2.920x
NT 6.3.960x
WinPE est repositionné au
cœur des processus
d’installation et de
réparation et devient
« Public » ☺
x = ServicePack
WinPE 2.x
WinPE 3.x
WinPE 4.x
WinPE 5.x
Le processus d’installation « classique » de
Windows 7
Tout d’abord, commençons par détailler un mécanisme
d’installation de base
① L’ordinateur démarre sur un système de préparation
WinPE en l’occurrence
A partir d’un DVD, disque/clé USB ou PXE
② L’installation consiste à :
Préparer le support (Partitionnement / Formatage)
Extraire d’un fichier .WIM, l’image d’un système préparé (via
Sysprep) vers le disque de destination
Générer les fichiers nécessaires à l’amorçage
③ Lors du 1er redémarrage, le processus de préparation
prend le relais et procède à la configuration des pilotes
selon le matériel détecté
④ Au 2ème redémarrage, le processus d’installation finalise
la personnalisation d’utilisation (OOBE)
La structure simplifiée d'un DVD original
Avant d‘entrer dans le vif du déploiement, il est nécessaire de comprendre les
mécanismes d'installation de base et présenter le contenu d'un DVD original
DVD NT 6
Mécanisme d'amorçage
unifié quelque soit le
média (HDD, CD, DVD,USB,
PXE)
Bootmgr
Boot
Comparaison approximative
avec la génération NT 5
Chargeur d'amorce
Configurateur d'amorçage
(Directives)
~ NTLDR
~ BOOT.ini
BCD
HDD
NT 5
Outils
BCDEDIT.exe
BCDBOOT.exe
BOOT\BOOTSECT.exe
Sources
~ Winnt32.exe
Setup.exe
Programme d'installation
Boot.wim
Noyau Windows PE
Install.wim
Distribution(s) Windows
~ \i386
Programme d'accueil
Setup.exe
Setup.exe
N/A
CD
NT 5
Premier contact avec WinPE !
\Sources\Setup.exe
[Maj] + [F10]
Accès direct à l'invite de commande WinPE
\Sources\Recovery\Recenv..exe
(WinRE)
DEMO_00 : Aperçu du potentiel de WinPE
Client
LiteTouch
BOOT / DVD : appel de l’invite de commande WinPE
VER | SET PROC
(Connaître la version de WinPE)
Mountvol | Diskpart
(Gestion des disques)
WMIC LOGICALDISK GET Name, Description
(Enumérer les lecteurs)
WMIC BIOS GET VERSION
(Collecter des infos sur le matériel)
WMIC CSPRODUCT GET UUID
Startnet | Drvload
(Besoin réseau ? pani problème ☺)
NET USE Z: \\MDT\Tools /USER:Demo Pa$$w0rd
Sources\Setup.exe
(Maitrise du programme d’install.)
Stipuler / tester un fichier de réponse ponctuellement
Sources\Setup /unattend:z:\autounattend.xml
« Raccrocher » un serveur WDS en l’absence de boot PXE redémarrage
Sources\Setup /wds /wdsdiscover /wdsserver:WDS08R2.labs.local
WDSCapture.exe
(Générer une image WIM)
Génère une image WIM locale, puis export éventuel vers un serveur WDS
Sources\Recovery\Recenv.exe
(Besoin de réparer Windows)
Démo / Atelier
Possibilité de réaliser une installation « from scratch »
Maitrise du partionnement / formatage
Diskpart
Extraction manuelle d’une image WIM (Apply)
Gestion des fichiers d’amorçage
Outil
Bcdboot
Importance des pilotes réseaux sous WinPE pour l’éventuelle disponibilité des
sources et outils non présent sur le média
Utilité : Peuplement préalable d’un disque virtuel .VHD avant son
rattachement à une machine virtuelle (ou physique*)
Note : W7/2008R2 et ultérieurs prennent en charge nativement la création et
l’attachement des disques virtuels .VHD
Les fondamentaux du déploiement
Sysprep, images WIM et WinPE
Fondamentaux : C'est quoi « sysprep » ?
Outil de « dépersonnalisation » d'un système Windows
Nettoie les traces d'utilisation
! « Newsid » non
supporté sur NT6
Régénère l'identifiant de sécurité local (SID) de l'ordinateur
Réactive un processus de « re-personnalisation » (OOBE)
Présent dans le système d'exploitation sous "\windows\system32\sysprep"
Anciennement situé dans le fichier "\Tools\Deploy.cab" du CD Source NT5
A cocher si duplication
Correspondance
approximative avec
sysprep 2.0 (NT5)
Doit être réalisé sur tout
ordinateur dit de "référence"
destiné à être dupliqué
Mode OOBE ~ Receller
Mode AUDIT ~ Config.
Usine
Conseil : pour préparer un poste de référence, activez le compte Administrateur intégré (supprimer les
autres comptes) sur un ordinateur non membre d'un domaine
Sysprep (suite)
Les principaux effets de bord du nettoyage « sysprep » (
intégrer au fichier de réponse si besoin …)
Re-désactive le compte administrateur intégré
"cmd /c NET USER Administrator /Active:YES"
Purge les pilotes tiers
"PersistAllDeviceInstalls = True"
« Grille » la licence et une période de grâce
"SkipRearm = 1"
Réinitialise le profil utilisateur par défaut
"CopyProfile = True"
Directives à
Fondamentaux : Les fichiers WIM
Un fichier .WIM est une « archive » (~.zip spécialisé) contenant une (ou plusieurs)
image(s) d'une structure de dossier et de fichiers auxquels des métadonnées XML sont
associées.
!! Image WIM = structure de dossier et non une structure de disque
"Mono partition"
Parmi de nombreuses particularités, une image d’un fichier de fichier .WIM peut être
« montée » pour une maintenance hors ligne (Injection de packages, de pilotes, …)
Les outils de gestion :
DISM (inclus dans W7/2008R2 et/ou WAIK)
IMAGEX (WAIK)
GIMAGEX
7-Zip
WDSCapture (inclus dans WinPE DVD)
\Sources\Setup.exe
Outil de maintenance
!! pas de capture ni apply
Convivialité graphique
Windows oblige ☺
Pour visualiser le contenu d'un
.WIM (évitez les modifications)
!! Impose un « sysprep »
préalable
Fondamentaux : Les fichiers WIM
Structure d’un fichier .WIM
blocs de données
compressées (à plat)
Fichier WIM = IBS (Image Based System)
Table d'intégrité
Données XML
Table d'adresses
Métadonnées
des ressources
Ressource de fichiers
Table d'intégrité
Données XML
image 2
Table d'adresses
Métadonnées
des ressources
Entête
WIM
Ressource de fichiers
image 1
Descripteurs de structure des ressources (dossiers,
sécurité, attributs, etc. )
Caractéristiques et
infos sur l’image
APPLY
Nouveau .WIM
Fichier .WIM
Entête du fichier WIM
DELETE
Principe des commandes
- Apply
- Capture / Append
- Mount / Unmount
- Delete
- Info
- Export
CAPTURE
Dossiers et fichiers
(Base)
± Dossiers et fichiers
(∆1)
Dossiers et
fichiers
± Dossiers et
fichiers ( ∆ 2 )
APPEND
Image 1
(ex N°3)
EXPORT
MOUNT
UNMOUNT
Données XML
Données XML
Image 1
Données XML
INFO
Image 2
Image 3
Fondamental et « incontournable WinPE »
Remplace très avantageusement l’ancestral système DOS ☺
Système d'exploitation autonome basé sur un noyau Windows minimaliste (
Invite de commande…)
Véritable pierre angulaire des solutions de déploiement, WinPE constitue un extraordinaire socle d'outils
pour la maintenance et le déploiement Windows
Outils déjà intégrés
- Diskpart
- BCDBoot
- BCDEdit
- Bootsect
- Chkdsk
- Drvload
- WPEUtil
- Startnet…
CD – DVD
Média PE
DISM "Mount"
DISM "Add-"
Fonctionnalités
- Scripting
- WMI
- HTA
- WDSCapture
- SETUP
- SRT (WinRE)
Noyau WinPE
(\Sources\BOOT.wim)
Features
(.CAB)
Drivers
(.INF)
BOOTMGR
\BOOT\BCD
ETFSBOOT.com
DISM "Add-"
Pilotes
- Cartes réseau
- Disques
- Chipset
BCDEDIT / BCDBOOT
OSCDIMG ….ISO
Sur un DVD original, il démarre « SETUP » par défaut
Disponible en version allégée dans le WAIK, le WinPE d’un DVD est déjà enrichi des principales
fonctionnalités
WinRE = WinPE avec outils de réparation
Processus d’initialisation WinPE
ie Client LiteTouch
X:\Deploy\Scripts\LiteTouch.wsf
Interprétation des
directives
Début
(RunSynchronousCommand)
Existe?
Oui
Installer
\Sources\Setup.exe
\Unattend.xml
Autounattend.xml
Oui
Existe?
Non
Non
Existe?
Oui
Choix
manuel
\Setup.exe
Installation
manuelle
Installation
automatisée
Non
X:\Windows\System32\
winpeshl.exe
Existe?
Réparer
\Sources\Recovery\Recenv.exe
Oui
X:\Windows\System32\
winpeshl.ini
LaunchApp
LaunchApps
Oui
X:\Windows\System32\
startnet.cmd
wpeinit
Exécution des
programmes
Non
Existe?
Initialisation des
couches réseau
Non
Invite de commande
Précisions : Partitions, Pilotes ,UAC
Dans l'hypothèse d'utiliser Bitlocker, (et masquer les fichiers d’amorce dans l’explorateur), le
processus d'installation de Windows 7 et Windows 2008R2 crée 2 partitions.
Pas de lettre par
défaut
invisible
dans l'explorateur
Système
Contient
les fichiers
d'amorçage
Active
Secteur
d'amorçage (MBR)
Démarrer
Contient le
système actuellement actif
ie C:\Windows ….
Pour palier cette particularité d'installation, le partitionnement doit être fait en amont ou
modifié via un fichier de réponse.
Le compte local d’administrateur intégré est désactivé sur les postes de travail
Le contrôle de compte d’utilisateur restreint potentiellement les comptes administrateurs (cf
Réactivation Admin. intégré)
Les pilotes OEM sont purgés par défaut lors de la préparation via sysprep
Présentation des outils relatifs au
déploiement Windows
Les outils du déploiement en bref
DISM L’outil de déploiement par excellence
Intégré dans Win7/2008R2, également
fourni par WAIK
SYSPREP : L’outil de préparation
Intégré dans les systèmes depuis Vista
DISKPART / BCDEDIT / BCDBOOT
Intégré dans les systèmes Windows
WinPE : Système autonome de préparation
et/ou de réparation
Intégré au DVD original, également fourni
par WAIK
WAIK : Kit des outils de déploiement
ImageX (Capture, Extraction WIM)
WSIM (Editeur Fichier de réponse .XML)
Fonctionnalités / Packages WinPE
Gestion des images WIM (hors ligne)
Montage / Démontage , Injection de pilotes ,
Activation de fonctionnalités
Nettoyage et mise en condition de duplication
d’un ordinateur de référence
Partition, formatage des disques, gestion de
l’amorçage
Un incontournable ! (sur CD, USB, PXE… à
toujours avoir sous la main ☺)
DVD original, intègre Setup, WDSCapture,
Et bien plus encore…
Kit facultatif, à installer sur l’ordinateur du
technicien de déploiement (et le MDT)
ImageX (Capture, Extraction WIM)
WSIM (Editeur Fichier de réponse .XML)
Fonctionnalités / Packages WinPE
Les outils complémentaires
PNPUTIL : Gestion des pilotes en ligne
Peuplement du magasin des pilotes d’un système en
ligne de commande (DISM également, mais plus orienté
gestion des pilotes hors ligne (.WIM)
SLMGR.vbs : Gestion locale des licences
VAMT : Gestion globale des licences
Informations, modification, activation locale des
licences en ligne de commande
Volume Activation Management Tool
Suivi des licences en volume
MDT : Séquenceur d’installation (…)
« L’usine à déployer efficacement »
(anciennement Business Desktop Deployment)
USMT : Migration de masse des données et
fichiers des utilisateurs
ACT : Gestion de la compatibilité
applicative
MAPT : Outil de recensement et
d’inventaire de migration Windows
Microsoft Deployment Toolkit
Gestion des sources, systèmes d’exploitation, pilotes,
applications, packages, séquences de tâches
(+ générateur WinPE/LiteTouch)
User State Migration Tool
Outil en ligne de commande comparable à « migwiz »,
son pendant graphique (Inclus dans le MDT)
Application Compatibility Toolkit
Ensemble d’outils d’évaluation de la compatibilité
applicative (Base SQL / Correctifs:SHIM )
Microsoft Assessment and Planning Toolkit
Evaluation du périmètre et des risques liés à la
migration (matériels et logiciels)
WAIK : C’est quoi exactement ?
Windows Automated Installation Kit est un ensemble d’outils et de documentation dédiés
aux déploiement Windows pour les plateformes x86, x64 et ia64. Ce kit gratuit est
téléchargeable à l’adresse suivante : http://www.microsoft.com/downloads/frfr/details.aspx?familyid=696dd665-9f76-4177-a811-39c26d3b3b34
Il contient principalement :
Un noyau WinPE de base
(fonctionnalités au choix)
ImageX – Gestion des images WIM
(+ DISM si besoin)
WSIM (Editeur de fichiers de réponse XML)
Oscdimg (Générateur d’image ISO)
Des documentations
DEMO_01a : Présentation WAIK
Installation du kit – Présentation des principaux outils
ImageX
GImageX
COPYPE
DISM
OSCDIMG
Les fichiers de réponse
Windows NT 5 utilisait plusieurs types de fichier de réponse, selon la méthode d'installation
retenue. (Unattend.txt, Winnt.sif, variante.udf, sysprep.inf, Riprep.sif …) - Ces fichiers
pouvaient être générés par l'assistant "Setup Manager" puis complétés via le bloc-notes
selon la documentation (cf . Ref.chm)
Dorénavant, NT6 n'utilise plus qu'un seul type de fichier de réponse "Unattend.xml"
Structuré autour des 7 "phases" d'action, la création initiale d'un tel fichier est très délicate. Pour
vous aider à gérer efficacement cette structure XML, vous devrez recourir à l'éditeur WSIM
(Windows System Image Manager) fourni avec le kit de déploiement
Le fichier peut être passé en paramètre de "sysprep.exe" et/ou de "setup.exe"
(Automatiquement si "autounattend.xml" présent sur média amovible)
Note : le MDT contient déjà les fichiers de réponse pré-renseignés
("Unattend.xml" pour les distributions NT6, "Unattend.txt" et "Sysprep.inf" pour les
distributions NT5)
WSIM : L'éditeur de fichier de réponse XML
Les phases du fichier de réponse
1 - windowsPE
Partitionnement et
formatage des
disques, Sélection
d’images d'installation,
clé produit
windowsPE
Réglages propres à
WinPE, telles que la
résolution écran, la
disposition du clavier, …
2 - offlineServicing
Ajout de composants,
traitement des mises à
jour, ajout de pilotes
complémentaire, packs
de langue…
3 - specialize
7 - oobeSystem
L'ordinateur passe en
mode "réinstallation",
personnalisations
spécifiques à l'image
Contrat de licence
(CLUF), Création de
comptes locaux,
réglages régionaux,
préférences de mises à
jour, …
4 - generalize
Supprime les
spécificités matérielles
et informations liées à
la machine et à
l'utilisation (Purge le
nom de l’ordinateur)
Régénère le SID
5 - auditSytem
6 - auditUser
Phases de configuration intermédiaire : passent l’ordinateur
en configuration usine afin de modifier les réglages par
défaut ( Idem distributions officielles DVD)
Une phase OOBE reste nécessaire.
Exemple de fichiers de réponse
Phase durant laquelle les instructions sont
réalisées
Directives issues des composants présents
dans l’image WIM
Architecture processeur
x86=32 bits | amd64= 64 bits
Image WIM utilisée en référence
(
cf fichier Catalogue)
DEMO_01b : Présentation WAIK
WSIM – Riche mais complexe ….
Images WIM | Fichiers Catalogue .CLG
(Si régénération catalogue
x86-x64 et ia64)
Préférez WAIK x86 car supporte toutes architectures
Modification des réglages (Foundation Package)
Conseil : Configurez « normalement » vos réglages et composants
préférentiels puis capturez une nouvelle image ( régénération catalogue)
– Utilisez les fichiers de réponse en dernier recours
Préférez MDT pour le partionnement des disques
Utilisez les fichiers de réponse pour modifier les valeurs par défaut
Pensez également à la maintenance hors ligne des images WIM via DISM (Clé de
licence, état des composants, etc.)
La problématique de la « masterisation »
La problématique de la « masterisation »
La réalisation d’un poste de référence engendre des choix drastiques et parfois
contradictoires
Les réglages du système et de l’environnement
Les besoins/contraintes évoluent
Optez pour les fichiers de réponse et la configuration via les stratégies de groupe dans le
cadre d’un domaine Active Directory
Intégration des pilotes tiers
Alourdit l’image
Optez pour une distribution centralisée des pilotes (via WDS et/ou MDT)
Intégration des applications
Gain de temps mais pas d’évolution possible
Optez pour une installation « post-install » des applications
(via MDT pour les socles communs et/ou via GPO pour les applications à la demande)
Intégration des mises à jour et Service Packs
Evolutions permanentes
Optez pour une distribution dynamique des mises à jour, filtrées/ contrôlées via WSUS
Mettre à jour les master (Re-sysprep + capture) lorsque leur nombre est trop important
Gestion et activation des licences
Optez pour des licences en volume
Notez que les images WIM offrent de possibilités de maintenance hors ligne
Copie de fichiers, injection de pilotes, de packages (ie .MSU, .CAB) mais pas de MSI ou Setup
Principe de création d'une image de référence
① Boot (WinPE)
② Partition / Formatage
③ Extraction WIM ( Apply)
④ Install. / Config.
Sources
Apply
HDD
VHD
WIM
Référence
Sysprep
Médias:
- CD/DVD
- USB / HDD
- NET / PXE
- NET / Share
Capture
① Configuration
② Préparation (Sysprep)
③ Création WIM (Capture)
④ Export vers média
Processus simplifié d'un clonage
Génération WIM
Ordinateur source dit « de référence » (Master)
Installation
Configuration
« Master »
Préparation /
Nettoyage via
« SYSPREP »
Conception
.WIM
« Capture »
Démarrage
sur WinPE
Export
de l'image WIM
vers un Media
(DVD, WDS…)
IMAGEX /CAPTURE
ou
WDSCAPTURE
Installation WIM
cible (Destination)
Démarrage
sur WinPE
Extraction
.WIM
« Apply »
Démarrage
sur le disque
local
DISKPART + IMAGEX /APPLY (+BCDBOOT)
ou
SETUP (+autounattend.xml)
Interprétation
WINDEPLOY
(SYSPREP)
Personnalisation et
Finalisation
(OOBE)
1er Démarrage
2ème Démarrage
Configuration système et applications
Les fichiers de réponse sont limités à la configuration du système
L'installation d'application est réalisée manuellement afin d'être intégrée dans l'image
du poste de référence
L'application propose une technique d'installation automatisée (type MSI) :
Installation en mode silencieux « MSIEXEC /i Application.MSI /qn »
Déploiement à la demande via GPO
Installation via l'autologon (post-install)
Réalisation/modification d'un package MSI via des outils spécialisés et/ou
différentiation : (ORCA, Free AppDeploy Repackager, Wininstall LE, Wize Install Tailor)
Particularité de l'installation de la suite bureautique Microsoft Office :
≤ Office 2003 : Installation via des MSI + MST de personnalisation réalisable à partir du
CIW (Custom Installation Wizard) de l'ORK (Office Ressouce Kit) complémentaire.
≥ Office 2007 : Installation via SETUP (/Admin = Office Customisation Tool)
( L'installation via GPO doit être réalisée par script et non plus par l'affectation d'un
package MSI/MST)
Configuration automatisée de MsOffice
SETUP /ADMIN
DEMO_02
Enregistrez le fichier de personnalisation (.MSP) dans le dossier « Update » . Ce dossier permet de
stocker les correctifs et mises à jour qui seront implicitement intégrés lors du processus d'installation
Pour une installation silencieuse, utiliser la commande « setup /config ProPlus.WW/config.xml »
en ayant modifié le contenu comme suit : <Display Level="none" CompletionNotice="no"
SuppressModal="yes" AcceptEula="yes"/> (cf http://technet.microsoft.com/frfr/library/cc179195.aspx )
MDT (Microsoft Deployment Toolkit)
MDT (Microsoft Deployment Toolkit)
Gratuit ☺/ Anglais uniquement
Prérequis et implémentation très souples :
Windows NT6.x 32/64 bits en workgroup ou ActiveDirectory (sur lequel sont
installés Powershell et le WAIK)
Disque partagé en réseau sur le poste MDT ou un serveur SMB quelconque
La console MMC d'administration du « MDT » fédère graphiquement une
structure de dossiers et de fichiers « Deployment Workbench ». (cette
structure est facilement « transportable »)
Composants / Principes MDT
③ Mise à disposition d'un
démarrage sur client LTI
④ Démarrage à
partir du média
WinPE LTI
Serveur WDS
Poste cible
« LiteTouch .wsf »
(WinPE)
Images de démarrage
WDS Facultatif :
PXE Client
Multicast
Images d'installation
⑥ Sélection et
exécution des
séquences de taches
⑤ Connexion
Serveur de fichiers ou media
Poste MDT
DeploymentShare$
Boot
② On alimente
facilement la structure
via la console
graphique
Operating system
Out of box drivers
Applications
Packages
Control
Deployment Workbench
(Console .msc)
WAIK
PowerShell
Gestion
① Installation de
l'outil MDT sur un
poste "technique"
MDT – Les séquences de taches
Le MDT prend en charge des scénarios complexes d'installation (dénommés
« séquences de tâches ») :
Test des prérequis / Sysprep / Capture
Scénarios compatibles avec les versions antérieures de Windows (ie XP, 2003 …)
Sauvegarde/restauration des paramètres utilisateur (USMT)
L'installation du système d'exploitation, des mises à jour
L'installation des pilotes, des applications
UNATTEND.XML
SYSPREP.INF
UNATTEND.TXT
Validation
Pré-requis
Capture
USMT
(scanstate)
PréInstallation
Installation
OS
Post
Installation
USMT
(loadstate)
TS.XML
Ces scénarios peuvent s’inscrire dans le cadre d’une mise à jour d’un même PC, d’un
nouveau PC, d’un transfert vers un nouveau PC ou réaliser des taches
complémentaires ou spécialisées
DEMO_03b : Débuter avec MDT
Premiers pas avec MDT
Ajout d'un système d'exploitation
Ajout d'application
Ajout de pilotes
Création d'une séquence de tâche « Install client »
Présentation du séquenceur - détail des tâches
L'onglet « OS » et fichier(s) de réponse
Configuration du « DeploymentShare »
« Propriétés »
Configuration générale : Onglet « Rules » (CustomSettings.ini et bootstrap.ini)
Configuration des clients LiteTouch : Onglet « Windows PE » x86 | x64
Générer WIM (et ISO)
Choix des pilotes
Génération des images clients LiteTouch
« Update DeploymentShare »
Maintenance et
gestion du cycle de vie
Histoire de ne pas perdre le nord !...
Poste de référence
SYSPREP
Médias
IMAGEX /CAPTURE
IMAGEX /APPLY
Distribution
INSTALL.WIM
(Generalize)
unattend.xml
DISKPART
WDSCAPTURE
BCDBOOT
WinPE
BOOT.WIM
SETUP
CD/DVD
Poste du « technicien de déploiement »
Windows AIK
WSIM (fichiers .XML)
Personnalisations WinPE
(IMAGEX, DISM,
OSCDIMG…)
USB
WDS (PXE)
autounattend.xml
Poste cible
Problématique du « master » (synthèse)
FileShare « Sources »
Cycle de vie du poste de travail
Applications
Configuration
Pilotes tiers
DHCP
Applications
Préférences
Packages
WDS
Correctifs
Pilotes
ADDS - GPO
DNS
Maintenance
Quelques exemples :
- Vieillissement de images
- Gestion des licences
- Evolutions des versions d’applications
- Temps d’intégration des mises à jour et correctifs
- Nouveaux pilotes OEM
- Evolutions des réglages, des choix de sécurité
WSUS
KMS
DEMO_04 : Créer un poste de référence avec
MDT
DEMO_04a :
Soit, on utilise le MDT pour automatiser l'installation du système, des
applications, en choisissant l'option « Capture » dans un scénario d'installation
standard, puis on laisse MDT faire le travail tout seul !...
Soit on configure « normalement » le poste de référence puis on sollicite une
séquence de tache spéciale « sysprep et capture »
Technique plus simple (+ Faire Snapshot avant si machine virtuelle)
Appel du séquenceur
\\MDT\DeploymentShare$\Scripts\LiteTouch.vbs
Le fichier de configuration global « customsettings.ini » sous l'onglet « Rules » a
été modifié afin de « reconnaître » (via l'adresse MAC) et nommer
automatiquement ce poste de référence et présélectionner les applications.
DEMO_04b :
L'image .WIM obtenue dans \DeploymentShare\Captures est ensuite
réinjectée en tant que nouveau système d'exploitation …
MDT : Personnalisation CustomSettings.ini
Modification du fichier de configuration « CustomSettings.ini »
Contrôle / masquage des écrans d’installation
Attention aux pièges (ie : !! si JoinDomain valorisé -> pas de capture !...)
Inhibez / commentez les lignes en ajoutant un point-virgule au début
Ajout d’une section « spéciale poste de référence (adresse MAC) »
MDT : Réalisation d’une image « gold »
(MDT) Création d’une séquence de « sysprep et capture »
Cette séquence doit être appelée manuellement à partir du poste opérationnel via le script
« litetouch.vbs »
Note : Les séquences d’installation standard proposent de réaliser une capture à l’issue d’une
installation automatisée
(POSTE) Installation (manuelle ou auto) d’une machine virtuelle de référence
Réactivation du compte d’administrateur intégré
Configuration manuelle des composants/fonctionnalités
Ajout / configuration des applications intégrées dans l’image
Personnalisation du profil d’utilisateur par défaut (pensez à fermer puis rouvrir la session)
Installer les éventuels correctifs et mises à jour via Windows Update
Réaliser un cliché instantané de la machine virtuelle
(MDT) Configuration de la séquence de capture
Ajout de la directive « copyprofile = true » dans le fichier « unattend.xml »
(POSTE) Exécutez la tache de capture via l’exécution de la commande :
\\MDT\DeploymentShare$\Scripts\LiteTouch.vbs
La console de gestion WDS
≥ Windows
2003 sp1*
Images WIM de distribution OS ( ~INSTALL.wim de DVD
et/ou personnalisés)
Contrôle du
service et des
propriétés du
serveur
Images de démarrage WinPE ( ~BOOT.wim de DVD
et/ou WinPE personnalisés)
Clients PXE en attente de confirmation d'un démarrage
(cf propriétés du serveur)
Déclaration et gestion des flux d'images d'installation
disponibles en multidiffusion
Windows Server
2008
Gestion des pilotes (mise à dispo durant l'installation
et/ou injection dans les images de démarrage WinPE)
Nouveauté
Nouveautés
Windows Server 2008
R2
Complémentarité WDS et MDT
W
D
S
M
D
T
Windows Server + Active Directory, DNS et DHCP.
Prise en charge native des images WIM Démarrage (WinPE) et Installation (Distributions)
2008 support du mode Multicast
2008R2 support des packages de pilotes (intégration simplifiée aux images WinPE et mise
à disposition des clients durant les phases d'installation)
Peut être utilisé pour publier les clients LiteTouch via PXE
L'association des fichiers de réponse reste à votre charge
Ne requiert pas de domaine
Au besoin, MDT prend en charge de l'adhésion aux domaines
Peut référencer des images WDS et peut exploiter le mode Multicast
MDT gère ses propres packages de pilotes (vs intégration WDS2008R2)
Utilisez la "database" et les "rôles" pour des distributions mieux maitrisées
Idéalement, utilisez le MDT pour le pilotage des installations (fabrication, déploiement
dynamique) et WDS pour le stockage des images (déploiement de masse, images plus "statiques")
DEMO_05 : Débuter avec WDS
« Dématérialisation » du DVD orignal
Images de démarrage
Images setup (par défaut)
Déclinaison en image de capture
Ajout du WinRE
Images d'installation
Groupes d'images
Propriétés du serveur
Démonstration avec un client PXE
Options DHCP 060 versus 066, 067
Les apports de l’Active Directory et des
stratégies de groupe (GPO)
WSUS, GPO
Configuration « aval »
Les stratégies de groupe
Gérer la sécurité des postes via les stratégies de groupe « classiques »
Groupes locaux restreints
Comportement du contrôle de compte d’utilisateur (UAC)
Gérer la configuration des postes via les « préférences » de stratégies de
groupe
Gestion graphique des conditions équivalente à des scripts WMI complexes
Ne passez pas à coté …
Rétroactif sur Windows XP sp2 (cf KB943729) ☺
N’implique aucun mode fonctionnel de domaine particulier
Outils des gestion GMPC.msc +Editeur (GPEdit.msc ) ≥ Windows Server 2008
Conseil : téléchargez et installez RSAT (KB958830) sur un poste Windows 7
pour créer et/ou gérer les stratégies de groupe qui seront déposées dans
l’Active Directory
Gestion des stratégies de groupe avec une « visibilité » locale d’un poste de travail
et non d’un serveur ou contrôleur de domaine
Gestion des préférences
Modèle d'administration Ms-Office (GPO)
Gestion centralisée des réglages Office via les stratégies de groupe
Télécharger les modèles d'administration ADM / ADMX pour la version
Office puis les importer dans un objet de stratégie de groupe : à copier selon
dans :
ADMX
ADM
« C:\Windows\PolicyDefinitions » (NT6)
« C:\Windows\inf » + Ajout/Suppression de modèle (NT5)
DEMO_06 : Active Directory et GPO
Demo sur les GPO préférences
Impact sur les environnements d’utilisation
Puissance/ Intéret du ciblage par paramètre
Demo sur les GPO Classiques
Gestion de la sécurité
(Comportement UAC, groupes restreints, pare-feu …)
Coté client : "GPRESULT /H Rapport.htm"
Rappels - Précisions sur les privilèges
d'installation
Ne nécessitant pas d'élévation de privilèges
Installation d'application (MSI) via GPO
Installation d'un périphérique dont le pilote est présent dans le magasin de
confiance « driverstore » (WindowsUpdate | local filerepository | DevicePath)
Installation d'une mise à jour via le service Windows Update
Postes ≥ Vista
Service d'installation des compléments ActiveX pour le
compte des utilisateurs standards
Le service « AxInstSV : programme d'installation ActiveX » doit être démarré
Réglages via GPO : Sites approuvés / Mode d'installation
Pilotes d'impression
L'installation du pilote (fourni par le serveur) peut
engendrer une invite de confirmation. Cf. GPO … Ordinateur … Modèles
d'administration … Imprimantes … Restrictions Pointer et imprimer
Allez plus loin …
Allez plus loin avec WSUS
« Local Update Publisher » (ou LUP ) est un projet open source basé sur l’API
Microsoft qui vous permet de publier vos propres mises à jour à travers Windows
Server Update Services. LUP peut distribuer des packages MSI, MSP ou EXE ainsi
que toutes les mises à jour de programmes tels qu’Adobe Acrobat Reader, Flash,
Firefox ou encore Java. http://localupdatepubl.sourceforge.net/fr/index.html
Allez plus loin avec MDT
CustomSettings.ini
Database
Powershell + Module MDTDB
http://blogs.technet.com/b/mniehaus/archive/2009/05/15/manipulating-the-microsoftdeployment-toolkit-database-using-powershell.aspx
http://blogs.technet.com/cfs-file.ashx/__key/communityserver-componentspostattachments/00-03-24-15-04/MDTDB.zip
+ plein d'explications et astuces relatives au déploiement Windows sur le site
de Yannick Plavonil (MVP) http://www.revuedugeek.com/
A propos de licences …
Selon la distribution, plusieurs types de licence sont possibles :
Type
Utilisation / Cible
Editions
Vente au
détail
Licence unitaire indépendante pouvant être installée sur le matériel compatible de votre
choix.
Activation en ligne ou par téléphone
(définitive sauf changement de matériel ou réinstallation
Réactivation )
Familiale
Intégrale (Ultimate)
Professionnelle
Licence unitaire liée au matériel avec lequel elle est « offerte » (ou liée)
Pré activée par le fabriquant
(définitive sauf changement de matériel ou réinstallation
Pas de Réactivation )
Dans un cadre d'un accord contractuel, le fabriquant peut fournir une clé générique
valide sur ses matériels uniquement
Familiale
Starter
Professionnelle
Licence en volume permettant l’activation d’un nombre limitée de machines.
(définitive sauf changement de matériel ou réinstallation
Réactivation )
Activation en ligne ou par téléphone
Professionnelle
Entreprise
Licence en volume (numéro unique) permettant l’activation simplifiée des machines via un
collecteur KMS (Poste ou serveur ayant une clé KMS activée et un accès à Internet) - ≥
25 postes, ≥ 5 Serveurs )
Par opposition à VLK 1.0, l’activation n’est pas définitive et doit être renouvelée dans un
délai maximum de 6 mois.
Entreprise
Professionnelle
(Retail)
OEM
(Original Equipment
Manufacturer)
MAK
(Multiple Activation
Key)
KMS
(Volume License Key
2.0)
Pour rappel, dans le cadre d’un déploiement de masse, les versions OEM ne peuvent pas être utilisées en tant que poste de
référence (master) – Par définition, cette licence est liée au matériel sur lequel elle est installée. Pour les mêmes raisons,
l’utilisation dans un environnement virtuel est proscrite.
A propos de licences …
Pour gérer localement vos licences, (état d’activation,
numéro, expiration, etc …) un outil « SLMGR.vbs ».
Quelques exemples :
Commande
Objectif
SLMGR –XPR
Permet d’afficher la date d’expiration de la licence
SLMGR –IPK N°Licence
Permet d’affecter un nouveau numéro de licence
SLMGR –DLV
Permet d’afficher les informations détaillées de licence
SLMGR –SKMS AdresseIP*
Permet de demander l’activation auprès du serveur KMS dont l’adresse IP ou le nom
est stipulé.
SLMGR –ATO
Déclenche le processus d’activation
SLMGR –CPKY
Efface la clé produit du registre (évite sa divulgation en cas d’attaque)
SLMGR –REARM
Relance la période de grâce d’activation (3 fois maximum)
Par défaut, les versions Enterprise essaient de localiser le serveur KMS via une requête DNS basée sur les
enregistrements _SRV. Consultez le site de Microsoft pour connaître l’implémentation d’une infrastructure KMS.
http://technet.microsoft.com/fr-fr/library/bb490214.aspx
A propos de licences …
Pour gérer et suivre globalement l’activation des
licences, vous pouvez utiliser l’outil gratuit de Microsoft :
Volume Activation Management Tool (VAMT)
Les outils VAMT, ainsi que le service d’activation KMS, peuvent être téléchargés via le Microsoft
Deployment Toolkit ou WAIK 2.0
Fin de la session
Nous espérons que vous avez effectué un vol agréable sur notre
compagnie et espérons vous retrouver bientôt sur nos lignes …. ☺
Questions