MSI GPO

MSI GPO

Strategies de groupe (GPO) et deploiment d'aplications (MSI): Dans ce tuto je vais vous expliquer comment génèrer une application MSI à partir d'un logiciel (dans notre cas le lecteur VLC Media Player) et le deployer pour plusieurs utilisateurs par la stratégie de groupe (GPO).

1) Infrastructure (réseau et système)

Le réseau de la M2L est organisé en VLANs et comporte des commutateurs de niveau 2 et des routeurs. Le VLAN ADMIN est dédié aux serveurs : contrôleur de domaine, DHCP et serveur d’applications. Les ligues sont organisées aussi en VLANs. Au niveau du domaine la M2L et les ligues sont représentées en unités d’organisation. 

Mes serveurs sont en Windows Server 2003 x86 SP2 et les clients en Windows XP x86 SP3 ou Windows 7 x86.   

  Une stratégie de groupe sera appliqué aux utilisateurs dans l’unité d’organisation Ligue Tennis cette stratégie sera créé sur Active Directory dans le serveur de domaine qui fera en même temps office d’un serveur DHCP.

 Parmi ces GPO il y a notamment le déploiement d’applications MSI pour les utilisateurs de cette ligue.

                                                                                                                      

      Déploiement massif d’application MSI par stratégie de groupe:

 

 Une stratégie de groupe sera appliqué aux utilisateurs dans l’unité d’organisation Ligue Tennis cette stratégie sera créé sur Active Directory dans le serveur de domaine.

 Ces GPO visent à contrôler les paramètres systèmes de l’environnement des utilisateurs de la ligue concernée qui dépondra des recommandations du responsable de la ligue comme pour restreindre les actions et les risques potentiels comme le verrouillage du panneau de configuration. Ces GPO concerne aussi et surtout le déploiement d’applications MSI pour les utilisateurs de cette ligue, comme le déploiement du lecteur multimédia gratuiciel VLC media Player, que la ligue veut avoir sur ses machines pour permettre à tout le monde de visionner les vidéos des compétitions au ralenti (une des spécificités de ce logiciel) pour analyser les mouvements des sportifs et ainsi amélioré leurs performances.

 

Définition :

 

 Stratégie de groupe : ou (GPO Group Policy Object) : se sont des fonctions qui permettent de Controller et gérer l’environnement des utilisateurs (leurs comptes) ou leurs ordinateurs, d’une façon centralisé dans Active Directory, comme le verrouillage de certains fonctions de Microsoft, désactivation de l’utilisation de certains exécutables ou des paramètres d’internet explorer. Comme elles servent aussi à l’installation ou le déploiement de logiciels en (.msi) ou des scripts. Et ce on définissant des droits pour les utilisateurs ou les ordinateurs concernés.  

 Elles sont applicables aux Sites, Domaine et les Unités d’Organisation.  

 Ces stratégies sont importantes pour la sécurité du parc informatique de l’entreprise, et aussi pour automatiser des taches comme les déploiements. 

 

*.MSI: c’est une extension de fichier d’installation spécifique à Microsoft, pour des Packages Windows Installer.   

 

Déploiement de l’application VLC Media Player:

 

  Le Déploiement par stratégie de groupe permet d’ « envoyer » des applications sur les sessions des membres d’une unité d’organisation. Cependant un impératif  se pose à nous, les applications étant en .exe doivent être converties en .msi afin que ceux-ci puissent être déployés via la stratégie de groupe.

  Les fichiers MSI correspondent à des packages d’un ensemble de fichier permettant une installation automatisée des applications.

Leur principal intérêt est qu’avec ce type de fichier, un déploiement via GPO est possible ce qui facilite alors la mise en place des applications sur l’ensemble des postes puisqu’ainsi il n’est pas nécessaire d’intervenir sur les machines distantes. Cette conversion est rendu possible par le service WinINSTALL de Microsoft.

Le principe est simple, et se passe en 2 temps :

  • on réalise une première analyse du registre avant l’installation du logiciel que l’on désire déployer
  • on réalise dans un second temps, une nouvelle analyse du registre avec cette fois les modifications engendrées par l’installation du logiciel.

La différence entre ces 2 captures génère les valeurs de notre fichier MSI.

 

Réalisation d’une capture instantanée Avant:

 

La première phase consiste à réaliser une capture instantanée AVANT toutes modifications ; En règle générale, il est conseillé de réaliser cette analyse sur un système « vierge », juste après une réinstallation « propre » de Windows.

  1. Sélectionner le disque que vous désirez utiliser pour stocker les fichiers de travail temporaires.

  1. Sélectionnez ensuite les disques à surveiller pour identifier les changements qui pourraient intervenir suite à l'installation du logiciel.

  1. Il est ensuite possible d'exclure de la surveillance un certain nombre de répertoire. Sauf cas particulier, gardez les paramètres par défaut.

  1. WinINSTALL Discover  va alors réaliser un instantané de la configuration de l'ordinateur afin de pouvoir par la suite déterminer les changements effectués par l'application.

Réalisation d’une capture instantanée Après :

 

La phase d'installation de l'applicatif a réalisé des modifications à tous les niveaux du système. Il est donc nécessaire d'identifier toutes les modifications réalisées pour les reproduire lors de l'installation à partir du système Windows 2000.

  1. Allez dans Démarrer\Programmes\VERITAS Software\VERITAS Discover\ puis cliquez sur VERITAS Discover.

  1. Cliquez sur Next. VERITAS Discover va analyser les changements entre l'instantané Avant et l'état actuel du système pour en générer le lot Windows Installer de l'application.

  1. Une fois le package généré une boite de dialogue Conversion Successfull va s'afficher avec une liste d'avertissements (ex: référence à des chemins absolu,... ). Vous pouvez cliquez sur OK.

  1. Puis une nouvelle fois, cliquez sur OK dans la boite de dialogue After Snapshot Complete.

On retrouvera alors le fichier .msi produit dans le dossier source du logiciel originale.

Votre MSI est maintenant prêt à être déployé.

 

MISE EN PLACE DE GPO AFIN DE DEPLOYER LE PAQUET MSI :

Sur le poste de travail du serveur je crée un dossier de partage sur lequel j’applique un contrôle total pour tout le monde. Et dans lequel j’intègre mon application VLC.msi

Une fois ceci fait, Il faut aller sur Active Directory afin de crée une stratégie de groupe dans l’unité d’organisation « Escrime » sur le serveur d’application Windows 2003

 Afin de déployer notre package MSI précédemment créé, il nous faut l’intégrer à une GPO.

Pour cela, sur le contrôleur de domaine, il faut créer une stratégie de groupe sur l’unité d’organisation où on souhaite déployer notre logiciel qui l’OU « User » de la ligue Tennis qui contient les utilisateurs Didier, Nadia….

  1. On renomme notre GPO : VLC Media Player

  1. Editer cette nouvelle stratégie (click droit puis modifier), on va choisir configuration utilisateur, dans paramètres du logiciels, on clique avec le bouton droit sur installation de logiciel, puis Nouveau, Package

  1. On indique le chemin vers de notre fichier MSI qui est sur le lecteur réseau.

  1. L’assistant nous demande de sélectionnez le type de déploiement, car le système propose 3 types de déploiement Publié, Attribué ou Avancé:

                 1- Publié : L’application s’installe quand l’utilisateur la sélectionne dans le Panneau de configuration Ajout/Suppression de programmes. Ou       quand l’utilisateur double-clique sur un type de fichier lié à cette application.

           2-  Attribué : à un utilisateur, l’application s’installe la première fois que l’utilisateur l’a démarre. A un ordinateur, l’application s’installe au prochain démarrage de l’ordinateur.

          3- Avancé : cette option permet à l’utilisateur de personnaliser l’installation de l’application.

On confirme par OK apré avoir coché Attribué, et on verra rmonter l’application dans l’éditeur d’objet de stratégie de groupe.

  1. Enfin on applique notre GPO, et on actualise la stratégie de groupe avec la commande gpupdate /force.

Le déploiement de notre logiciel peut maintenant avoir lieu.

 

 Pour vérifier le bon fonctionnement du déploiement nous vérifierons que celui-ci est installé lors de l’ouverture de sessions d’un utilisateur de l’unité d’organisation dans laquelle la stratégie de groupe a été effectuée.

Nous constatons que sur la session « Didier » VLC media Player est présent dans le menu démarrer il ne reste plus qu’a l’utilisateur à  l’installer.

 

BATTERIE DE TESTS :

  • Connexion sur les sessions des utilisateurs à qui on a attribué l’installation de l’application « Didier, Nadia,… ».
  • Connexion sur une session d’un utilisateur à qui on n’a pas attribué l’installation de l’application (à l’extérieur de l’OU concerné par la GPO).
  • Vérifier que l’environnement est bien celle choisit dans la stratégie de groupe.
  • Retirer les autorisations au groupe utilisateurs authentifiés et tester à nouveau les déploiements.
  • Test de non régression pour les autres utilisateurs.