WinPE WDS - MDT Les bases du déploiement Windows

Transcription

1 WinPE WDS - MDT Les bases du déploiement Windows Cet ouvrage explique les fondamentaux des technologies de déploiement Windows 7. Chaque composant et concept majeur est traité en détail avec une mise en pratique associée. c.mandin@gmail.com 16/02/2012

2 Table des matières AVANT-PROPOS INTRODUCTION LA PLATEFORME DE TEST LA VIRTUALISATION : TOUT UN PROGRAMME! LES RESSOURCES ET SUPPORTS DE STOCKAGE LES RESEAUX VIRTUELS PRECISIONS SUR LES VERSIONS DE WINDOWS... 9 CHAPITRE 1 - LE POSTE DU TECHNICIEN DE DEPLOIEMENT AVANT DE COMMENCER INSTALLATION DE LA PLATEFORME TECHNIQUE PRESENTATION AVERTISSEMENT INSTALLATION DE L'ORDINATEUR PHYSIQUE Phase initiale d'installation Phase finale d'installation Installation du rôle Hyper-V L'ENVIRONNEMENT DE MAQUETTAGE HYPER-V PRESENTATION CONFIGURATION DES RESEAUX VIRTUELS CONFIGURATION DU SERVEUR DHCP INTERNE FACULTATIF : CONFIGURATION DU ROUTEUR NAT CONFIGURATION DES STOCKAGES HYPER-V QUELQUES PRECISIONS SUR LES LICENCES CHAPITRE 2 : DECOUVERTE DE WINPE ET DES IMAGES WIM INTRODUCTION HISTORIQUE DE WINPE COMPRENDRE LA STRUCTURE DU DVD ET LES FICHIERS.WIM INTRODUCTION LES FICHIERS.WIM DETAILS / PERSONNALISATION DU NOYAU WINPE CHAPITRE 3 : PREPARATION DU POSTE DE REFERENCE INTRODUCTION INSTALLATION DU POSTE DE REFERENCE LA PROCEDURE D'AMORÇAGE - LES PARTITIONS Gestion de l'amorçage Démarrage sur disque virtuel INSTALLER SANS UTILISER LE PROGRAMME SETUP PAR DEFAUT Scénario 1 : Peuplement d'un disque virtuel (x86) Scénario 2 : A partir du DVD original et d'un partage en réseau (x64) CONFIGURATION DU POSTE DE REFERENCE Préparation initiale Installation des mises à jour et du service pack Installation d'un pack de langue Configuration des fonctionnalités Les pilotes de périphériques Page 1 / 409

3 Installation des applications PREPARATION DU POSTE MAITRE (SYSPREP) LE POSTE DE REFERENCE : TOUTE INSTALLATION PASSE PAR "SYSPREP" Utilisation de l'outil de préparation SYSPREP A propos de Windows XP (Sysprep) CAPTURE DE L'IMAGE PRESENTATION REALISATION DE L'IMAGE WIM Précautions à prendre avant l'exécution de "sysprep" : Exécution de "sysprep" et génération de l'image WIM CHAPITRE 4 : L'AUTOMATISATION DES INSTALLATIONS INTRODUCTION LE KIT DE DEPLOIEMENT AUTOMATISE WAIK PRESENTATION GENERALE Installation du kit Principes de l'outil IMAGEX Gestionnaire d'image système Windows (WSIM) GESTION DES FICHIERS DE REPONSE Le potentiel du fichier de réponse XML Les phases de configuration Création du fichier de réponse (Setup) La post-installation Particularités du fichier de réponse (Sysprep) MISE EN ŒUVRE DU FICHIER DE REPONSE PERSONNALISATION AUTOMATIQUE WINPE 3.0 AVEC WAIK PRESENTATION DES OBJECTIFS DE CET ATELIER FACULTATIF La structure de personnalisation Est-ce que tous les périphériques sont nativement reconnus par WinPE? Où dois-je installer mes outils? Est-ce que qu'un ou plusieurs outils doivent démarrer automatiquement? LE SCRIPT DE CREATION "MAKEPE3.CMD" Préparation de la structure de travail Ajout des fonctionnalités dans le noyau Modification du registre WinPE Finalisation CHAPITRE 5 : SERVICES DE DEPLOIEMENT WINDOWS (WINDOWS DEPLOYMENT SERVICES) INTRODUCTION PREPARATION DE LA MAQUETTE INSTALLATION ET CONFIGURATION DES PREREQUIS (1 ) Création du disque VHD (2 ) Extraction de l'iso Windows server 2008R2 vers le VHD (3 ) Création des machines virtuelles (4 ) Configuration initiale commune aux 2 machines virtuelles (5 ) Configuration du domaine Active Directory (6 ) Configuration du DHCP Configuration d'amorçage "affinée" d'un serveur WDS/PXE INSTALLATION DU ROLE "SERVICES DE DEPLOIEMENT WINDOWS" (WDS) Installation du rôle WDS Configuration initiale du rôle WDS CONFIGURATION DETAILLEE DE WDS Page 2 / 409

4 Ajout d'une image de démarrage Ajout d'images d'installation Réponse aux clients PXE VALIDATION ET TESTS FONCTIONNELS Tests d'installation Association d'un fichier de réponse Exemple de capture d'un poste Windows XP AMENAGEMENTS ET EXTENSIONS LIES A LA GESTION WDS Gestion des autorisations Gestion des pilotes Mise en œuvre de la multidiffusion Facultatif : Ajout d'un choix dépannage WinRE CHAPITRE 6 : MDT (MICROSOFT DEPLOYMENT TOOLKIT) INTRODUCTION INSTALLATION ET CONFIGURATION DU MDT DECOUVERTE DE L'ATELIER DE DEPLOIEMENT (DEPLOYMENT WORKBENCH) AJOUT D'UN SYSTEME D'EXPLOITATION AJOUT DES PILOTES AJOUT DE PACKAGES AJOUT D'APPLICATION CREATION D'UN SCENARIO (TASK SEQUENCE) CONFIGURATION DETAILLEE DU CLIENT "LITETOUCH" Préparation du client Génération du client "LiteTouch" VALIDATION DETAILLEE DES ETAPES DE MISE EN ŒUVRE CONFIGURATION AFFINEE DU MDT (FACULTATIF) COMPLEMENTARITE WDS ET MDT Intégration des clients LiteTouch dans WDS Intégration des mages WDS dans MDT Multidiffusion WDS LES RUBRIQUES DE CONFIGURATION AVANCEES Profils de sélection (Selection Profiles) Partages de déploiement liés (Linked Deployment Shares) Média (Media) La base de données (Database) Gérer la base de données MDT via Powershell (Optionnel) SURVEILLANCE (MONITORING) LES STRATEGIES DE GROUPE LOCALES (LGPO) DEPANNAGE ET DIAGNOSTICS MDT ANNEXES TELECHARGEMENTS MIEUX MAITRISER VOTRE PLATEFORME DE TEST HYPER-V ASSOCIER DYNAMIQUEMENT UN DISQUE USB DANS UNE MACHINE VIRTUELLE LE CONTROLE DE COMPTE D'UTILISATEUR (UAC) COMPLEMENTS DU CHAPITRE Identifier les comptes d'administrateurs LES EFFETS DU "VIRTUALSTORE" Principes du "virtualstore" Identifier les processus soumis au contrôle UAC MODIFIER LE COMPORTEMENT DU CONTROLE UAC Page 3 / 409

5 Réglages simplifiés Réglages avancés Page 4 / 409

6 Avant-propos Avant-propos 1. Introduction Ce livre a pour but de focaliser le lecteur sur l'essentiel des outils Microsoft nécessaires aux installations automatisées de Windows NT6 - Autrement dit, le périmètre de cette étude est applicable de Vista à Windows Server 2008R2 en passant par le désormais célèbre Windows 7. Les présentations sont essentiellement axées autour de ces derniers, mais restent pleinement applicables aux prochaines évolutions des produits. En l'occurrence, la sortie imminente de Windows 8 ne remet aucunement en cause les principes fondamentaux traités dans cet ouvrage. En effet, la future version de Windows a pour principal objectif, la convergence des plateformes PC, téléphones mobiles et tablettes tout en offrant de nouvelles perspectives. Ces particularités étant susceptibles d'évoluer, nous les mentionnerons très ponctuellement en fonction de la pertinence contextuelle, et reporterons l'essentiel en annexe afin de ne pas alourdir inutilement la lecture. En matière de déploiement, il est naturel de s'interroger sur le gain d'efficacité opposé au temps consacré à sa mise en œuvre. Il est évident que le nombre de machines concernées à une incidence sur cette rentabilité mais ce ne doit pas être votre seul critère de choix. En fait, l'ampleur du sujet engendre inévitablement un sentiment de découragement ou de confusion face aux nombreux outils, et techniques d'installations proposées, et la divergence des besoins, des moyens humains ou matériels ou tout simplement financiers, peuvent influencer votre décision. L'objectif de cet ouvrage est donc de comprendre les principes fondamentaux des technologies de déploiement et de réparation Windows dans un cadre pratique. Après l'acquisition de ces principes essentiels, vous serez à même de poursuivre avec des solutions complémentaires ou spécialisées. 2. La plateforme de test Avant d'entamer une lecture efficace de ce document, nous vous conseillons de vous procurer un ordinateur PC relativement puissant et procéder au téléchargement d'un certain nombre de logiciels volumineux. En fait, ce que nous dénommerons la plateforme de test sera composée d'un système d'exploitation enrichi d'un environnement de virtualisation de machine (couramment appelé "bac à sable" de l'anglicisme "sandbox"). En matière de virtualisation de machines, il existe plusieurs solutions gratuites ou payantes, soit optimisées pour des besoins de production (type "serveur"), soit orientées test et maquettage (type "poste"). Ces dernières offrent généralement une plus grande interaction et souplesse entre les environnements physiques et virtuels. Cependant, nous devions opter pour une solution accessible au plus grand nombre sans promouvoir, ni discriminer tel ou tel produit. Page 5 / 409

7 Avant-propos Bien ne soit pas le cœur de cible du produit, nous avons retenu la solution Hyper-V de Windows Server 2008 R2 pour constituer notre plateforme de maquettage. Afin de pallier certaines contraintes liées à cet environnement "cloisonné', une configuration préalable sera expliquée dans le premier chapitre. Sous réserve d'acquérir les licences idoines, cette étude permettra de transposer aisément vos travaux vers une solution de production basée sur Hyper-V Note : Pour cette étude, nous n'avons pas retenu Windows 7 avec l'option Windows Virtual PC, du fait d'une limitation des machines virtuelles au mode 32 bits et donc l'impossibilité d'installer Windows Server 2008 R2 (uniquement 64bits) en tant que système "invité" Le matériel PC nécessaire : Processeur >1Ghz d architecture x64 avec assistance matérielle à la virtualisation (Intel-VT ou AMD-V) Un minimum de 2 Go de mémoire Disque dur de 80Go au minimum Les principaux logiciels à télécharger Bien que cet ouvrage s'adresse à des professionnels de l'informatique, tous les logiciels référencés dans ce document sont disponibles en téléchargement public afin de garantir une certaine autonomie des manipulations. Afin de préparer une lecture efficace de ce livre, nous vous proposons un tableau indicatif afin de recenser les principaux téléchargements; une description succincte ainsi que la taille approximative et le chapitre s'y rapportant. Il est évident que vous pouvez vous affranchir de certains téléchargements si vous disposer déjà de vos propres sources ou distributions. Téléchargements Objectif / Utilité [Chap.] Version d'évaluation de Windows Server 2008 R2 SP1 Windows7-USB-DVDtool Nécessaire à l'installation de la plateforme physique de test ainsi que pour les machines virtuelles (Contrôleur de domaine, DNS, DHCP et WDS) Outil graphique de transformation d'un fichier.iso ou distribution DVD Windows7 vers un support de type clé USB Taille [Ch 1] ~3,2Go [Ch 1] ~2,7Mo Version d'évaluation de Windows 7 Entreprise 32 bits Nécessaire pour les machines virtuelles de démonstration - Versions 32 et/ou 64 bits selon vos préférences [Ch 3] ~2,3Go Page 6 / 409

8 Avant-propos windows6.1-kb X86.exe Version d'évaluation de Windows 7 Entreprise 64 bits windows6.1-kb X64.exe Installe SP1 sur un ordinateur 32 bits équipé de Windows 7 Nécessaire pour les machines virtuelles de démonstration - Versions 32 et/ou 64 bits selon vos préférences Installe SP1 sur un ordinateur 64 bits équipé de Windows 7 ou ou Windows Server 2008 R2 [Ch 3] ~3,0Go [Ch 3] ~2,3Go [Ch 3] ~3,0Go Windows Automated Installation Kit (WAIK) Kit des outils et documents relatifs aux techniques de déploiement Microsoft. [Ch 4] ~1,7Go WAIK sp1 Mise à jour facultative du kit [Ch 4] RSAT_Windows_7_SP1- x86_fr_(kb958830) RSAT_Windows_7_SP1- x64_fr_(kb958830) Outils d'administration de serveur à distance pour Windows 7 32 bits Outils d'administration de serveur à distance pour Windows 7 64 bits ~1,3Go ~240Mo ~250Mo VirtualCloneDrive GImageX Et/ou 7-Zip WinImage ImgBurn Manipulation des fichiers.vhd Pour le montage des fichiers.iso au sein de la machine physique. Outil graphique pour la gestion des fichiers.wim (Voir aussi DISM en ligne de commande inclus dans Windows 7 et/ou le WAIK) Outil graphique pour la gestion graphique des fichiers de disquettes virtuelles (.IMG,.IMA ou.vfd) Outil graphique pour la création des fichiers.iso (Voir aussi OSCDIMG en ligne de commande inclus dans le WAIK) Les fichiers de disques virtuels.vhd sont pris en charge nativement par les versions Windows 7 / 2008R2 et ultérieures ~1,5Ko ~2Mo ~0,7Ko ~1,8Ko N/A Les indications et directives détaillées sur l'implémentation de ces logiciels et les liens de téléchargement seront précisées tout au long de ce document. (Rappelés en annexe ou lien complémentaire) 3. La virtualisation : tout un programme! Page 7 / 409

9 Avant-propos Nous n'avons pas la prétention de faire l'apologie de la virtualisation dans cet ouvrage, mais dans ce genre d'environnement, le lecteur devra faire abstraction de certains éléments traditionnellement physiques: Autrement dit, la plateforme de test (physique) implémentera des machines virtuelles comme autant d'ordinateurs "dématérialisés" ayant accès à leur propres ressources virtuelles tels que des disques (.VHD,.VDI,.VMDK,.HDD), des disquettes (.VFD,.IMA,.IMG) ou encore des CD/DVD (.ISO) mais également des interfaces et commutateurs de réseaux virtuels. Source potentielle de confusion, la plateforme de test pourra exploiter directement les disques virtuels et les images.iso au même titre que des ressources physiques, ou inversement les machines virtuelles accéderont aux ressources physiques. Dans la mesure du possible, nous apposerons quelques illustrations et précisions pédagogiques, lors des passages techniquement délicats afin d'aider les néophytes en matière de virtualisation Les ressources et supports de stockage Ce schéma montre la "visibilité" des ressources d'une machine virtuelle (invité) vis à vis de son hébergeur (hôte). Celle-ci peut donc accéder à des ressources virtuelles (des fichiers) et/ou physiques selon vos préférences et vos besoins. Attention aux accès concurrents - Un environnement "virtualisé" ne vous affranchit pas de toutes les contraintes physiques. Autrement dit, contrairement à une image.iso, un lecteur de CD/DVD physique, ne pourra être utilisé simultanément par plusieurs machines, au même titre qu'un disque physique ou virtuel. De la même manière, l'ajout de mémoire, de processeur, de carte réseau ou toute autre modification de configuration d'une machine virtuelle, nécessite l'arrêt complet de cette dernière Les réseaux virtuels Ce schéma simpliste a pour but de montrer les types de communications possibles entre les machines virtuelles, l'hébergeur physique et le "reste du Page 8 / 409

10 Avant-propos monde" Là encore, il ne s'agit pas de présenter les concepts des réseaux mais plus de comprendre les fondamentaux d'un environnement virtualisé. Selon la solution de virtualisation retenue, les services réseau agissent au minimum au niveau de la commutation ("Switches" niveau 2) mais prennent généralement en compte les niveaux 3 et supérieurs, pour le routage. Un service DHCP local peut assurer le plan d'adressage interne dans le cadre d'un NAT. De fait, en raison de ces contextes d'exécution parallèles, la virtualisation de machine "cloisonne" les communications et les échanges de fichier entre les machines virtuelles et l'hébergeur. Selon la solution de virtualisation retenue, ces contraintes peuvent être assouplies par des compléments qui offrent des services de partage de fichier, de presse-papier ou encore d'accès plus direct aux périphériques physiques. Par exemple, dans l'environnement Hyper-V, l'échange de fichier entre les machines virtuelles et le monde extérieur ne peut se faire que via un accès réseau, connexion de lecteur ou bureau à distance. Il est également possible de générer un fichier.iso (CD/DVD virtuel) mais cette procédure unidirectionnelle est relativement lourde et rigide. Support USB : Bien que des solutions d'encapsulation USB sur TCP/IP existent pour pallier cette contrainte, le support des périphériques USB au sein des machines virtuelles est très souvent limité. De toute façon aucun environnement de virtualisation n'offre de support natif USB (démarrage). Pour cette raison, nous utiliserons le démarrage sur CD/DVD (ou fichier.iso) ou sur PXE via le réseau Précisions sur les versions de Windows Page 9 / 409

11 Avant-propos Cet ouvrage traite des évolutions en matière de déploiement disponibles depuis la nouvelle génération de systèmes d'exploitation Microsoft. Autrement dit, la version technique NT x induit indifféremment les désignations "commerciales" Windows 7 et Windows Server 2008 R2. Il convient donc de préciser que les principales évolutions présentées sont apparues avec les versions techniques majeures (pallier technique), ainsi que les binômes client / serveur qui partagent ces caractéristiques. Le schéma suivant symbolise grossièrement cette évolution et ces relations : Nous évoquerons donc fréquemment une génération telle que NT6, incluant Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 par opposition à la génération NT5 se référant à Windows 2000, Windows XP et Windows Server 2003 / R2. Précisions: Contrairement à Windows Server 2008 R2, Windows Server 2003 R2 était une mise à jour et non une version en tant que tel. Cette distribution suit donc les mêmes évolutions que Windows Server sp1. Ensuite, il convient de rappeler que Windows Server 2008 a été mis sur le marché avec le service pack 1 intégré ainsi qu'une version préliminaire de Hyper-V (Beta). Dans la même logique, c'est le client Vista SP1, soit NT qui lui correspond. Depuis le service pack 2, (NT ) les évolutions client / serveur sont liées. L'évolution des postes de travail, n'étant pas systématiquement "synchronisée" sur l'évolution des serveurs, un décalage peut exister et la cohabitation sera pleinement supportée. Toutefois, si la version des postes de travail est en avance de phase sur celle des serveurs, particulièrement en présence d'un domaine Active Directory, il conviendra d'installer les composants d'administration de serveur à distance sur un poste, afin de gérer pleinement les paramètres de cette version. (Remote Server Administration Tool for Windows 7) L'administration des serveurs est généralement réalisée au travers des bureaux à distance, toutefois, au même titre que "Adminpak.msi" pour Windows XP, il est également intéressant d'installer ce complément RSAT sur un poste de travail, afin d'accéder aux ressources locales de ce dernier, tels Page 10 / 409

12 Avant-propos que les groupes locaux, les systèmes de fichier, le registre, les services, qui ne seraient pas présentes sur le serveur. Le complément RSAT pour Windows 7 (32 et 64 bits) peut être téléchargé gratuitement à partir de l'adresse suivante : Nous n'entrerons pas dans les détails des fonctionnalités propres aux différentes versions de Windows 7 (les déclinaisons familiales étant exclues de notre périmètre d'étude). Toutefois, à titre indicatif, nous préciserons simplement que la version professionnelle couvre la plupart des besoins de base pour les postes fixes demeurants à l'intérieur de l'entreprise alors que les versions Entreprise ou Intégrale sont manifestement plus orientées "sécurité" et donc destinées à un parc d'ordinateurs itinérants. Page 11 / 409

13 Chapitre 1 - Le poste du technicien de déploiement Chapitre 1 - Le poste du technicien de déploiement 1. Avant de commencer A partir d'un ordinateur ayant accès à Internet, et muni de votre identifiant "Windows Live ID", vous devrez télécharger la version d'évaluation 180j de Windows Server 2008R2 à partir de l'adresse suivante : puis le bouton "Commencer dès maintenant >>" Pour de plus amples informations sur cette procédure, reportez-vous à la rubrique "Téléchargements" du chapitre "Annexes" Nous considérons que vous êtes en mesure de graver le fichier.iso téléchargé vers un support de DVD. (Cette opération est simplissime et ne requiert aucun produit additionnel à partir d'un ordinateur sous Windows 7 équipé d'un graveur de DVD) Facultatif : Si à l'instar d'un "Netbook", votre ordinateur est dépourvu de lecteur DVD, mais autorise l'amorçage sur média USB, vous pouvez télécharger l'outil Microsoft : Cet utilitaire, a pour but de convertir très facilement, le fichier.iso original d'installation de Windows 7 (ou Windows 2008R2) vers une clé USB d'au moins 4Go ou un graveur de DVD. A partir d'un poste (Vista sp1 ou ultérieur), ouvrez une invite de commande en tant qu'administrateur puis exécutez les commandes suivantes: DISKPART LIST DISK C:\WINDOWS\SYSTEM32> DISKPART Microsoft DiskPart version Copyright (C) Microsoft Corporation. Sur l ordinateur : WIN7-PC DISKPART>LIST DISK N disque Statut Taille Libre Dyn GPT Disque 0 En ligne 232 G octets 102 M octets Disque 1 En ligne 3768 M octets 0 octets DISKPART> Repérez le lecteur USB : "Disque 1" dans notre cas SELECT DISK 1 CLEAN CREATE PARTITION PRIMARY Page 12 / 409

14 Chapitre 1 - Le poste du technicien de déploiement SELECT PARTITION 1 FORMAT QUICK FS=FAT32 LABEL=W2K8R2 ASSIGN LETTER=K EXIT EXIT DISKPART> SELECT DISK 1 Le disque 1 est maintenant le disque sélectionné. DISKPART>CLEAN DiskPart a réussi à nettoyer le disque. DISKPART>CREATE PARTITION PRIMARY DiskPart a réussi à créer la partition spécifiée. DISKPART>SELECT PARTITION 1 La partition 1 est maintenant la partition sélectionnée. DISKPART>ACTIVE DiskPart a indiqué la partition actuelle comme étant active. DISKPART>FORMAT QUICK FS=FAT32 LABEL=W2K8R2 100 pour cent effectués DiskPart a formaté le volume. DISKPART>ASSIGN LETTER=K DiskPart a correctement assigné la lettre de lecteur ou le point de montage. DISKPART>EXIT C:\WINDOWS\SYSTEM32>EXIT Dans notre exemple, la lettre d'unité affectée à la clé USB est "K:" Installez ensuite l'outil "Windows7-USB-DVD-Download tool" Cliquez sur les boutons "Next", "Install" puis "Finish". Une fois l'outil installé, lancez-le à partir du menu "Démarrer". Cliquez sur le bouton "Browse" afin de sélectionner le fichier.iso de Windows Serveur 2008R2 puis cliquez sur le bouton "Next" Page 13 / 409

15 Chapitre 1 - Le poste du technicien de déploiement Cliquez sur le bouton "USB Device". Si votre clé est correctement détectée, la lettre d'unité devrait apparaitre dans la liste déroulante. Cliquer sur le bouton "Begin copying". Page 14 / 409

16 Chapitre 1 - Le poste du technicien de déploiement Après avoir vérifié la taille du support USB, l'outil entame la conversion du fichier.iso vers la clé USB (Noter que la clé sera formatée, et la durée du processus de copie est variable, voire très long, en fonction des performances du support utilisé). Une fois l'opération terminée, cliquez sur la croix de fermeture de la fenêtre. Page 15 / 409

17 Chapitre 1 - Le poste du technicien de déploiement 2. Installation de la plateforme technique 2.1. Présentation A ce stade, vous devez disposer d'un ordinateur compatible (cf Avant-propos) et du DVD d'installation (ou clé USB) précédemment préparés. Schématiquement, nous allons cibler cette architecture: 2.2. Avertissement Afin de ne pas vous égarer dès le début, nous allons considérer cette phase comme une introduction à l'installation d'un poste ordinaire sous Windows 7 (Il s'agira en fait d'une installation de Windows Server 2008R2, mais très similaire sur cette procédure). Nous profiterons de cette phase pour découvrir quelques points clés en matière d'installation de ces systèmes d'exploitation. Pour des raisons de simplicité, nous installerons la plateforme avec amorçage unique avec les valeurs par défaut. En fait, il convient peut être de préciser que Windows Server 2008R2 ainsi que Windows 7 Entreprise et Intégrale sont en mesure de démarrer nativement un ordinateur physique sur des disques virtuels.vhd au même titre que sur une partition classique. De plus, le processus d'installation (Windows7 et 2008R2) créé par défaut 2 partitions dans l'hypothèse d'utiliser le chiffrement intégral de partition Bitlocker Structure de partition par défaut Pour rappel, surtout si vous n'avez jamais dissocié la partition d'amorçage de celle utilisée par le système Windows vous serez probablement surpris par les Page 16 / 409

18 Chapitre 1 - Le poste du technicien de déploiement indicateurs utilisé par Microsoft au niveau du gestionnaire de disques. En effet, vous observerez que la partition de démarrage (principale et active) contenant les fichiers d'amorçage est marquée "système" alors que la partition hébergeant le système "Windows" est estampillée "Démarrer". (cqfd) 2.3. Installation de l'ordinateur physique Phase initiale d'installation Après avoir inséré le DVD ou la clé USB préparés par vos soins sur l'ordinateur destiné à la future plateforme de test, démarrez ce dernier à partir de ce support. (Selon le modèle de l'ordinateur, cette opération peut nécessiter l'appui d'une touche de fonction ou dépend également de l'ordre de démarrage défini au niveau des réglages BIOS - Il est probable (si un système d'exploitation est déjà présent) qu'il faille appuyer sur une touche quelconque pour confirmer le démarrage sur le support amovible. L'initialisation de l'installation commence par une animation visuelle signifiant le chargement du noyau système - en l'occurrence WinPE (Windows PreInstallation Environnement), que nous détaillerons tout au long de cet ouvrage. Page 17 / 409

19 Chapitre 1 - Le poste du technicien de déploiement Au niveau de l'écran d'accueil "Installer Windows", sélectionnez "Français (France)" dans la liste déroulante "Format de l'heure et de la monnaie". La liste déroulante suivante, relative au clavier "AZERTY" devrait automatiquement basculer sur "Français". Du fait qu'il n'existe qu'une seule la langue sur cette distribution d'évaluation, la première liste déroulante n'offre aucun autre choix que "Français" Cliquez sur le bouton "Suivant" Cliquez sur le bouton "Installer maintenant" Page 18 / 409

20 Chapitre 1 - Le poste du technicien de déploiement Dans la liste, sélectionnez "Windows Server 2008 R2 Entreprise (Installation complète)" et cliquez sur le bouton "Suivant" Cochez la case "J'accepte les termes du contrat de licence " et cliquez sur le bouton "Suivant" Page 19 / 409

21 Chapitre 1 - Le poste du technicien de déploiement Cliquez sur "Personnalisée (Option avancée)" Page 20 / 409

22 Chapitre 1 - Le poste du technicien de déploiement Selon que votre ordinateur contient ou non, un système Windows déjà installé, le choix de la partition d'installation engendre l'une des actions suivantes Exemple de message d'avertissement pour un système Windows existant. Dans ce cas, le système précédent est préservé dans un répertoire "Windows.old". L'opération d'installation n'est pas destructive par défaut d'un contenu existant. Dans ce second exemple, le disque est vierge de toute partition. Vous pouvez également décider de détruire les éventuelles partitions existantes en utilisant le lien "Options de lecteurs (avancées)". En cliquant sur le bouton "Suivant" (de l'écran ci-après) le processus d'installation (Windows7 et 2008R2) va créer 2 partitions dans l'hypothèse d'utiliser le chiffrement intégral de disque Bitlocker, même si vous utilisez le choix "Disk options (advanced)" pour créer une partition unique. Voici la boite de dialogue affichée par le processus d'installation par défaut Page 21 / 409

23 Chapitre 1 - Le poste du technicien de déploiement Facultatif : 1er contact avec WinPE Nous reviendrons en détail sur ces outils à bien d'autres occasions, mais cette opération facultative peut constituer une bonne entrée en matière. Pour installer sur une partition unique (démarrage et système), vous pouvez à ce stade, (avant d'appuyer sur le bouton "Suivant" de l'écran précédent, appuyez sur les touches [Maj] + [F10] afin d'invoquer l'invite de commande WinPE. Utilisez ensuite les commandes suivantes: DISKPART SELECT DISK 0 CREATE PARTITION PRIMARY SIZE=80000 FORMAT QUICK FS=NTFS LABEL=W2008R2 EXIT EXIT Microsoft Windows [Version ] X:\Sources>DISKPART Microsoft DiskPart version Copyright (C) Microsoft Corporation. On computer: MINWINPC DISKPART>SELECT DISK 0 Disk 0 is now the selected disk. DISKPART>CREATE PARTITION PRIMARY SIZE=80000 DiskPart succeeded in creating the specified partition. DISKPART>FORMAT QUICK FS=NTFS LABEL=W2008R2 100 percent completed DiskPart successfully formatted the volume. DISKPART>EXIT X:\Sources>EXIT De retour dans l'interface graphique, utilisez le bouton "Actualiser" pour actualiser l'affichage. Une partition NTFS de 80Go devrait dorénavant être affichée et sélectionnée. Page 22 / 409

24 Chapitre 1 - Le poste du technicien de déploiement L'installation reprend son cours en cliquant sur le bouton "Suivant" Après l'extraction des fichiers vers le disque de destination, le système redémarrage automatiquement et poursuit son processus d'installation puis l'ordinateur redémarre une seconde et dernière fois. Page 23 / 409

25 Phase finale d'installation Chapitre 1 - Le poste du technicien de déploiement Cette phase finale d'installation, dénommée OOBE (Out Of Box Experience) est différente entre un serveur et un poste de travail et avant de revenir en détail sur cette étape particulièrement importante, il convient d'apporter d'ores et déjà quelques précisions : Sur une distribution "Poste de travail NT6", le compte d'administration intégré est désactivé et la phase finale OOBE invite l'installateur à créer un compte d'administrateur équivalent. La saisie d'un mot de passe associé à ce dernier est proposée mais n'est pas obligatoire. L'interface graphique d'installation conseille la saisie d'un mot de passe pour ce compte "sensible". Cependant en fonction du cadre d'exploitation, il faudra opter pour une politique de sécurité des comptes d'administration. Cette approche doit considérer les éléments suivants : Le compte administrateur intégré n'a aucun mot de passe et n'est protégé que par sa désactivation. Contrairement aux versions antérieures telles que Windows XP, où ce compte était opérationnel et protégé un mot de passe saisi durant la phase d'installation. Notez également que la protection par un mot de passe au niveau du système d'exploitation est insuffisante si l'accès physique à l'ordinateur n'est pas contrôlé et qu'un amorçage alternatif au disque système est possible (clé USB, CD, etc.) - Certains ordinateurs permettent de verrouiller l'accès à ces unité d'amorçage au niveau du BIOS, mais le mot de passe limitant l'accès à cette configuration peut être réinitialisé. La seule protection dans ce genre de cas (typiquement d'ordinateur portable) est de recourir à un système de chiffrement intégral des disques, tel que Bitlocker L'assistant d'installation impose la saisie d'une indication de mot de passe si ce dernier n'est pas vide - Cette option est principalement destiné aux usages personnels, au sein d'une structure de type groupe de travail. En effet, l'indication de mot de passe n'est visible qu'au niveau de l'écran d'accueil initial, hors ce dernier est modifié lors de l'adhésion à un domaine, et n'affiche plus d'information sur les comptes locaux. De plus, lorsqu'un ordinateur est membre d'un domaine Active Directory, la stratégie de groupe "Default Domain Policy" applique entre autres réglages, des contraintes de mot de passe. (Requis à l'activation du compte) Sur une distribution "Serveur", le compte d'administration intégré est le seul compte d'utilisateur disponible à la fin d'une installation et un mot de passe complexe (1) est requis pour achever cette phase. De plus, depuis Windows Server 2008, ce mot de passe est par défaut soumis à l'expiration Bien que cette remarque soit plutôt destinée à l'utilisation en groupe de travail, on pourrait considérer qu'un mot de passe vide est préférable à un mot de passe simpliste. En effet, depuis Windows XP, la stratégie de sécurité locale restreint les mots de passe vierges à l'utilisation de la console - Autrement dit, aucun accès distant n'est autorisé. Notez enfin que lorsque que les comptes locaux intégrés sont activés, désactivés ou bien renommés, ces modifications sont en fait stockées dans ces mêmes stratégies de sécurité. Nous reviendrons sur l'intérêt de centraliser ces réglages au sein d'une structure Active Directory. Page 24 / 409

26 Chapitre 1 - Le poste du technicien de déploiement Pourquoi tant d'insistance sur le compte "administrateur intégré"? Dans notre cas, du fait que nous sommes sur une distribution "serveur", nous utilisons le seul compte disponible pat défaut, qui n'est autre que l'administrateur intégré. Contrairement aux autres comptes membres du groupe local "Administrateurs", le compte intégré n'est pas soumis aux contraintes d'élévation de privilèges et est donc particulièrement exposé aux attaques potentielles. Pour plus d'information sur ce sujet, nous vous invitons à vous référer à l'annexe sur le contrôle de compte d'utilisateur (UAC). Notez que dans une distribution officielle nom des comptes et groupes prédéfinis sont initialement en anglais "Administrator", "Guest" et qu'ils sont renommés via la stratégie de sécurité locale associée à la langue d'installation. En matière de déploiement, particulièrement pour les phases de "pré-installation" (Avant OOBE), il conviendra donc de prendre en considération ces éléments en anglais. Ainsi la réactivation de ce compte peut être réalisée via la commande suivante : CMD /C NET USER ADMINISTRATOR /ACTIVE:YES Si vous effectuez les téléchargements à partir de cette plateforme de test, et à défaut d'un logiciel anti-virus, nous saurions trop vous conseiller d'utiliser un compte "équivalent administrateur". Reprenons maintenant, notre installation en attente et cliquez sur le bouton "OK" Saisissez et confirmez un mot de passe fort, conforme aux règles de complexité: Page 25 / 409

27 Chapitre 1 - Le poste du technicien de déploiement Rappels des exigences de complexité de mot de passe: comprend au moins six caractères ; contient une combinaison d au moins trois des caractères suivants : lettres en majuscules, lettres en minuscules, chiffres et symboles (signes de ponctuation) ; ne contient ni le nom du compte, ni le nom affiché de l utilisateur. Entrez par exemple "Pa$$w0rd" puis cliquez sur la flèche pour valider. Après affichage du message "Votre mot de passe a été changé", cliquez sur le bouton "OK" Sur une distribution "serveur" en mode "installation complète", la première ouverture de session est ponctuée par l'écran des taches de configuration initiales. Page 26 / 409

28 Chapitre 1 - Le poste du technicien de déploiement Cet assistant simplifié permet de définir rapidement les principaux réglages de l'ordinateur, tel que le nom de ce dernier, les paramètres réseau, l'ajout de rôle, etc. Vous pouvez cocher la case en bas à gauche "Ne pas afficher cette fenêtre à l'ouverture de session" et cliquez sur le bouton "Fermer". Cet assistant pourra être rappelé à tout moment via la commande "OOBE.exe". Propre aux installations de type "serveur", vous pourrez remarquer le nom cabalistique affecté automatiquement à l'ordinateur. Cliquez simplement sur le lien si vous souhaitez le changer De la même manière, l'ouverture de session avec un compte d'administration, lance automatiquement le programme "Gestionnaire de serveur". Vous pouvez cocher la case " Ne pas afficher cette console à l'ouverture de session" au niveau de la fenêtre de détails. Sur les distributions "serveur" cette console remplace la console "Gestion de l'ordinateur" dans le menu contextuel "Ordinateur" et est accessible via un raccourci dans la barre des tâches. Vous pouvez cependant continuer à utiliser la console "Gestion de l'ordinateur" via les outils d'administration du panneau de configuration ou le menu "Démarrer" ou bien saisir "compmgmt.msc" dans la zone de recherche ou une invite de commande Installation du rôle Hyper-V L'installation du rôle Hyper-V requiert un processeur compatible avec l'assistance matériel à la virtualisation (Intel-VT ou AMD-V), le support du jeu Page 27 / 409

29 Chapitre 1 - Le poste du technicien de déploiement d'instruction 64 bits ainsi que la prévention d'exécution de données (DEP) - Ces réglages sont parfois désactivés au niveau du BIOS. Pour vous en assurer, vous pouvez télécharger l'utilitaire générique gratuit "securable" à l'adresse suivante: Il suffit ensuite d'exécuter ce programme Vous pouvez également recourir aux outils respectifs des constructeurs Intel ou AMD dont les références de téléchargement sont précisées en annexe. Pour installer le rôle Hyper-V, vous pouvez utiliser la console "Gestionnaire de serveur" ou l'assistant de configuration des taches initiales "OOBE.exe". Cliquez ensuite sur "Ajouter des rôles" Dans la fenêtre "Assistant Ajout de rôle", cliquez sur le bouton "Suivant" puis cochez la case "Hyper-V" Page 28 / 409

30 Chapitre 1 - Le poste du technicien de déploiement Puis cliquez sur le bouton "Suivant" Cliquez de nouveau sur le bouton "Suivant" L'écran suivant est particulièrement important si vous ne maitrisez pas le fonctionnement des réseaux au sein d'hyper-v. En fait, cette fenêtre propose d'affecter (ou non) une ou plusieurs interfaces réseau physiques à un commutateur virtuel dit "Externe". Ainsi les machines virtuelles peuvent être reliées directement à l'extérieur. Ce réglage peut être assimilé à un mode Page 29 / 409

31 Chapitre 1 - Le poste du technicien de déploiement partagé, offrant l'accès réseau aux machines virtuelles connectées à ce commutateur virtuel, au même titre que la machine physique. (C'est la raison pour laquelle, en sélectionnant une interface, vous apercevriez une nouvelle carte réseau correspondant au port de connexion de l'hôte sur ce commutateur virtuel externe. (A moins de dédié l'interface physique au machines virtuelles, mais c'est un autre sujet). Cette configuration peut être modifiée ultérieurement en cas de besoin. En conséquence, afin d'éviter tout risque d'interaction malencontreuse lors du maquettage, ne cochez aucune case "Connexion au réseau local " et cliquez sur le bouton "Suivant". Dans la fenêtre "Confirmer les sélections pour l'installation", cliquez sur le bouton "Installer" Une fenêtre d'information indique qu'un redémarrage est en attente. Cliquez sur le bouton "Fermer" puis confirmez le redémarrage en cliquant sur le bouton "Oui". Après le redémarrage, ouvrez de nouveau la session avec le compte "Administrateur". Page 30 / 409

32 Chapitre 1 - Le poste du technicien de déploiement 3. L'environnement de maquettage Hyper-V 3.1. Présentation La découverte et prise en mains de l'environnement Hyper-V ne présente pas de difficulté majeure dans notre environnement de test. En effet, nous allons nous contenter de définir 2 réseaux virtuels indépendants et revenir rapidement sur les fondamentaux de gestion. Le Gestionnaire Hyper-V En premier lieu, l'outil d'administration "Gestionnaire Hyper-V" constitue le programme principal et il conviendra selon vos préférences, d'ajouter le raccourci sur votre bureau. Les machines virtuelles peuvent être contrôlées à partir de cette interface. Utilisez un double clic ou le menu contextuel sur une machine virtuelle pour ouvrir la console associée. Vous pouvez également utiliser le programme "C:\Program Files\Hyper- V\vmconnect.exe" pour accéder directement à la console de chaque machine virtuelle. Gestion de l'état des machines virtuelles Ce contrôle s'effectue au niveau global via de "Gestionnaire Hyper-V" ou par l'ouverture d'une fenêtre console de chaque machine virtuelle. Les différentes opérations sont disponibles à partir du menu "Action" ou plus simplement à partir du ruban d'icônes suivant: Page 31 / 409

33 Chapitre 1 - Le poste du technicien de déploiement Dans le cas où le curseur de la souris serait "capturé" dans la console de l'ordinateur virtuel, vous devrez utiliser la combinaison suivante pour le libérer [Ctrl] + [Alt] + [Flèche gauche] Configuration des réseaux virtuels Pour nos besoins de test, nous allons créer un réseau virtuel "interne" que l'on nommera : INTERNE HOTE : Pour la communication entre la plateforme physique et les machines virtuelles Pour cela, à partir du "Gestionnaire Hyper-V", sélectionnez le nom du serveur puis dans le volet "Action", cliquez sur le lien "Gestionnaire de réseaux virtuels" Sélectionnez le choix "Nouveau Réseau virtuel" dans le cadre de gauche. Puis sélectionnez le type de réseau "Interne" dans le cadre de droite et cliquez sur le bouton "Ajouter". Dans le champ "Nom", entrez un label tel que "INTERNE HOTE" pour désigner ce réseau virtuel, vérifiez que l'option "Interne uniquement" est bien sélectionnée, puis cliquez sur le bouton "OK" pour rendre cette configuration effective. Page 32 / 409

34 Chapitre 1 - Le poste du technicien de déploiement Ce réseau virtuel interne a pour conséquence de créer une nouvelle carte réseau "virtuelle" sur la machine physique. Dans cet exemple, le nom attribué par défaut est "Connexion au réseau local 4" Afin d'éviter toute confusion, nous vous conseillons de renommer cette interface via le "centre de réseau et de partage". Utilisez un nom explicite tel que "Interface Interne Hôte". De la même manière, renommez l'interface physique connectée au réseau physique tel que "Interface Externe" 3.3. Configuration du serveur DHCP interne Dans le cadre de cette plateforme de test, nous aurons besoin d'une infrastructure réseau. Celle-ci pourrait être entièrement assurée par les machines virtuelles. Toutefois, pour des raisons de convivialité de communication entre ces dernières et le système hébergeur, nous allons implémenter un service DHCP sur la machine hôte afin de distribuer dynamiquement des adresses IP sur le réseau virtuel "Interne Hôte". En premier lieu, il est nécessaire d'affecter une adresse IP statique sur cette interface. A partir du "Centre de réseau et de partage", cliquez sur le lien "Interface Interne Hôte" puis accédez aux "Propriétés". Dans la liste des éléments, sélectionnez la ligne "Protocole Internet version 4 (TCP/IPv4)" puis cliquez sur le bouton "Propriétés". Dans la fenêtre de propriétés, entrez les valeurs suivantes: Adresse IP : Masque de sous-réseau : Laissez les autres champs vides et cliquez 2 fois sur le bouton "OK" puis le bouton "Fermer". Pour installer le rôle DHCP, vous pouvez utiliser la console "Gestionnaire de serveur" ou l'assistant de configuration des taches initiales "OOBE.exe". Cliquez ensuite sur "Ajouter des rôles" Page 33 / 409

35 Chapitre 1 - Le poste du technicien de déploiement Dans la fenêtre "Assistant Ajout de rôle", cliquez sur le bouton "Suivant" puis cochez la case "DHCP" Cliquez sur le bouton "Suivant", puis passez l'écran d'introduction à DHCP en cliquant de nouveau sur le bouton "Suivant". Important : Lors de la sélection des liaisons de connexion réseau, seules les interfaces connectées et disposant d'une adresse IP statique sont affichées. De ce fait, si vous avez affecté une adresse statique à une interface réseau physique, vous devez décocher la liaison DHCP sur celle-ci, sous peine de perturber le réseau auquel votre plateforme est connectée. De plus, si vous affectez ultérieurement une adresse IP statique sur une interface physique, assurez-vous de suspendre le service DHCP et modifiez les liaisons via la console DHCP. (Au niveau de la rubrique "IPv4 Propriétés ") Ne conservez cochée que la case correspondant à l'interface interne que vous avez configuré précédemment, soit " " puis cliquez sur le bouton "Suivant". Page 34 / 409

36 Chapitre 1 - Le poste du technicien de déploiement Au niveau des paramètres de serveur DNS IPv4, supprimez le contenu de tous les champs y compris l'adresses éventuellement présentes dans les champs serveur DNS préféré et secondaire, puis cliquez sur le bouton "Suivant". Passez l'écran "WINS n'est pas requis " en cliquant de nouveau sur le bouton "Suivant". Page 35 / 409

37 Chapitre 1 - Le poste du technicien de déploiement Sur l'écran "Ajouter ou modifier des étendues DHCP", cliquez sur le bouton "Ajouter" et entrez les valeurs suivantes dans la boite de dialogue "Ajouter une étendue ": Nom de l'étendue : INTERNE HOTE Adresse IP de départ : Adresse IP de fin : Type de sous-réseau : Câblé (Bail de 8 jours) Masque de sous-réseau: Passerelle par défaut : Cliquez sur "OK" pour valider puis sur le bouton "Suivant" Sur l''écran "Configurer le mode DHCPv6 sans état", sélectionnez l'option "Désactiver le mode sans état DHCPv6 pour ce serveur" puis cliquez sur le bouton "Suivant". Cliquez enfin sur le bouton "Installer" pour confirmer vos sélections. Une fois le processus d'installation du rôle achevé, aucun redémarrage n'est demandé, cliquez sur le bouton "Fermer" Facultatif : Configuration du routeur NAT A ce stade, il est possible d'établir des communications réseau entre la machine physique et les machines virtuelles. Toutefois, si vous souhaitez offrir un accès externe aux machines virtuelles tel que l'accès à Internet, il est nécessaire d'installer et configurer les services de routeur sur la machine physique en procédant comme suit. Pour installer les services de routage et d'accès distant, vous pouvez utiliser la console "Gestionnaire de serveur" ou l'assistant de configuration des taches initiales "OOBE.exe". Cliquez ensuite sur "Ajouter des rôles" Page 36 / 409

38 Chapitre 1 - Le poste du technicien de déploiement Dans la fenêtre "Assistant Ajout de rôle", cliquez sur le bouton "Suivant" puis cochez la case "Services de stratégie et d'accès réseau" Cliquez sur le bouton "Suivant", puis passez l'écran d'introduction en cliquant de nouveau sur le bouton "Suivant". Cochez la case "Services Routage et accès distant" puis cliquez sur le bouton "Suivant" et enfin sur le bouton "Installer" Une fois le rôle installé, cliquez sur le bouton "Fermer". Utilisez le menu "Démarrer Outils d'administration Routage et accès distant" puis sélectionnez le nom du serveur au niveau de la console et utilisez le menu "Action Configurer et activer le routage et l'accès à distance" ou le menu contextuel. Cliquez sur le bouton "Suivant" pour passer l'écran de bienvenue de l'assistant. Page 37 / 409

39 Chapitre 1 - Le poste du technicien de déploiement Sélectionnez l'option "NAT (Network address translation" puis cliquez sur le bouton "Suivant". Sélectionnez la ligne correspondante à l'interface connectée au réseau externe. Dans notre exemple "Interface Externe" puis cliquez sur le bouton "Suivant". Page 38 / 409

40 Chapitre 1 - Le poste du technicien de déploiement Sélectionnez la ligne correspondante à l'interface connectée au réseau virtuel interne. Dans notre exemple "Interface Interne Hôte" puis cliquez sur le bouton "Suivant" et le bouton "Terminer". Vous pouvez fermer la console de "Routage et d'accès distant" Dans le cas où vous souhaiteriez offrir un accès Internet aux machines virtuelles connectée sur le réseau interne, vous devrez récupérer l'adresse DNS du fournisseur d'accès et la renseigner au niveau des options de l''étendue "INTERNE HOTE" du DHCP Hôte Configuration des stockages Hyper-V Bien que cette opération ne soit pas impérative, nous allons modifier l'emplacement par défaut pour le stockage de disques durs virtuels et la configuration des ordinateurs virtuels. Pour cela, à partir du "Gestionnaire Hyper-V", sélectionner le nom du serveur puis dans le volet "Action", cliquez sur le lien "Paramètres Hyper-V". Dans le cadre de gauche, sélectionnez "Ordinateurs virtuels" puis utilisez le bouton "Parcourir" afin d'accéder au disque physique "C:" dans lequel vous créerez un nouveau dossier "C:\Hyper-V" puis cliquez sur le bouton "Sélectionner un dossier" (Le nouveau chemin devrait apparaitre en gras) Renouvelez l'opération en sélectionnant "Disques durs virtuels" puis utilisez le bouton "Parcourir" afin d'accéder au disque "C:" dans lequel vous créerez un nouveau dossier "C:\Hyper-V\VHDs" et cliquez sur le bouton "Sélectionner un dossier" Page 39 / 409

41 Chapitre 1 - Le poste du technicien de déploiement Cliquez sur le bouton "OK" de la fenêtre "Paramètres Hyper-V" pour valider les modifications. 4. Quelques précisions sur les licences Maintenant que l'installation du socle de base est pratiquement achevée, nous vous proposons de présenter ou rappeler le mécanisme de licences appliquées à cette nouvelle génération de système Windows. En effet, dans un cadre de déploiement, la gestion des numéros de licence et l'activation associée constituent un choix stratégique pour l'entreprise. Les principaux types de licence : La gestion des licences est un sujet compliqué influencé par de nombreux facteurs et surtout lié à un contrat d'utilisation avec Microsoft. Dans les grandes lignes on pourra distinguer 4 grandes familles de licence: Type Utilisation / Cible RETAIL (Vente détail) OEM au (Original Equipment Manufactur er) MAK Contexte : Licence unitaire indépendante pouvant être installée sur le matériel compatible de votre choix. Durée : Définitive sauf si changement de matériel) Activation en ligne ou par téléphone Contexte : Licence unitaire liée au matériel avec lequel elle est offerte (donc liée) Pré activée par le fabriquant Durée : Définitive sauf changement de matériel utiliser la clé mentionnée sur l'étiquette apposée sur le boitier de l'ordinateur Dans un cadre contractuel, une clé globale propre au matériel peut être délivrée par le fabriquant Contexte : Licence en volume permettant l activation de Page 40 / 409

42 Chapitre 1 - Le poste du technicien de déploiement (Multiple Activation Key) KMS (Volume License Key 2.0) plusieurs machines en quantité limitée. Durée : Définitive sauf changement de matériel Activation en ligne ou par téléphone Contexte : Licence en volume (numéro unique pour l'entreprise) permettant l activation de toutes les machines Délivrées dans le cadre d'un contrat Microsoft. Activation par l'hôte KMS «Key Management Server» Par opposition à VLK 1.0, l activation KMS n est jamais définitive et doit être renouvelée dans un délai maximum de 6 mois. Le mécanisme d'activation des clés KMS repose sur l'utilisation d'un service (sppsvc) s'exécutant sur une machine (non dédiée) Vista ou ultérieur ayant une clé KMS installée et activée, ainsi qu'un accès à Internet. Cette machine centralise ensuite les demandes d'activation KMS (port 1688), puis soumet une requête globale d'activation chez Microsoft (toutes les 25 demandes pour les postes de travail et 5 pour les serveurs). Un serveur Windows 2003sp1 ou ultérieur peut également remplir cette fonction grâce à un service additionnel téléchargeable gratuitement sur le site de Microsoft. La localisation d'un serveur KMS peut être automatisée en créant un enregistrement de type service "_VLMCS" sur un serveur DNS compatible et accessible par les clients. (cf - en anglais) Dans le cadre d un déploiement de masse, vous devez utiliser une clé de licence OEM associée à un contrat avec le fabriquant En effet, les numéros des clés apposées sur le boitier sont liées unitairement au matériel sur lequel le système est installé. Pour les mêmes raisons, l utilisation de ce type de" licence dans un environnement virtuel est proscrite. De la même manière, les licences "d'instances virtuelles" sont liées à la licence du matériel physique sur lequel cette dernière est installée. Elles ne sont pas cessibles à une autre machine, qu'elle soit physique ou virtuelle. Afin d'assurer un suivi centralisé des licences, Microsoft propose l'outil VAMT (Volume Activation Management Tool) en téléchargement gratuit. Pour un inventaire efficace du parc via cet outil, les ordinateurs sollicités doivent accepter le traitement des requêtes WMI au travers leur pare-feu. Les clés par défaut : Ces clés de licence sont pré renseignées dans la distribution, ou contenues dans le fichier "Sources\Product.ini" du DVD d'installation, et sont utilisées pour définir le mode de licence par défaut tant qu'aucune clé valide n'a été renseignée. Par exemple, les versions «Entreprise» sont destinées par défaut à utiliser des licences KMS alors que les versions Professionnelles utilisent par défaut des licences MAK. Il est cependant possible de changer le type de licence pour ces 2 versions. Page 41 / 409

43 Chapitre 1 - Le poste du technicien de déploiement Note : Du fait que le numéro de licence est la clé qui détermine la version du système, la présence du fichier "Sources\EI.cfg" du DVD d'installation permet de définir la distribution installée par défaut si aucune clé n'est renseignée durant le processus d'installation initial. Dans le cadre d'une distribution d'images multiples, la suppression de ce fichier entrainera l'affichage des images disponibles dans la distribution. Principes de l'activation de licence: Lors d'une nouvelle installation, sans renseigner la clé de licence, le système est en période grâce initiale (généralement 30 jours pour les postes de travail et 60 jours pour les serveurs). A l'issue de cette période, le système passe en mode notification et indique régulièrement à l'utilisateur qu'il peut être en présence d'un logiciel contrefait, et engendre des redémarrages intempestifs sur les versions serveurs. Cette période de grâce peut être réinitialisée un certain nombre de fois (généralement 3) en attendant la saisie de la clé définitive. Bien que nous reviendrons plus tard sur cette particularité, mais il convient de noter que ce compteur de réinitialisation est, par défaut décrémenté de 1, à chaque exécution de la commande "sysprep". Pour connaitre l'état de licence d'un système Windows appuyez sur les touches [Win] + [Pause] ou utilisez le menu contextuel "Propriétés" sur l'icône "Ordinateur". Pour connaitre et gérer pleinement les licences, utilisez le script "SLMGR.vbs" à partir d'une invite de commande Administrateur. Utilisez le commutateur "/?" pour connaitre toutes les options possibles. Tableau des principaux commutateurs : SLMGR DLI Commande Objectif Permet d afficher les informations de licence SLMGR DLV Permet d afficher les informations détaillées de licence SLMGR XPR SLMGR IPK N Licence SLMGR SKMS AdresseIP* Permet d afficher la date d expiration de la licence Permet d affecter un nouveau numéro de licence Permet de demander l activation auprès du serveur KMS dont l adresse IP ou le nom est stipulé. Page 42 / 409

44 Chapitre 1 - Le poste du technicien de déploiement SLMGR ATO SLMGR CPKY Déclenche le processus d activation Efface la clé produit du registre (évite sa divulgation en cas d attaque) SLMGR REARM Réinitialise la période de grâce (nombre limité) Dans un processus d'installation automatisé, la clé de licence peut être renseignée et activée au sein du fichier de réponse. Toutefois, l'utilisation de l'outil SLMGR permet de dissocier la gestion licences de l'installation. En effet, lorsqu'une licence (sauf MAK ou KMS) est installée puis activée sur un ordinateur, celle-ci demeure stockée dans le registre sous une forme encodée. Des outils spécialisés, ou logiciels malveillants permettent de retrouver aisément cette clé et l'afficher sous sa forme initiale. (ie ) Il est donc recommandé de s'assurer, une fois les processus d'installation et d'activation achevés, que cette clé n'est plus présente dans le registre, et le cas échéant supprimer celle-ci avec la commande : SLMGR -CPKY Vous trouverez des formations complémentaires sur les licences à l'adresse suivante : DEB645717D99/Volume_Activation_Technical_Reference_Guide.docx A titre d'information, vous pouvez examiner le cas particulier de cette version d'évaluation : SLMGR -DLI Remarquez particulièrement les lignes : Description " EVAL_channel " Période de grâce : minutes (soit 10 jours) Page 43 / 409

45 Chapitre 1 - Le poste du technicien de déploiement Notez qu'une fois la période de grâce expirée, vous serez informé par une boite de dialogue vous invitant à procéder à l'activation, sans que toutefois le système soit bloqué. Quant au commutateur -DLV, vous obtiendrez entre autres détails, le nombre de réinitialisations restantes, initialement égal à 5 pour cette version. Vous pouvez réinitialiser le compteur via la commande suivante : SLMGR -REARM Vous pouvez ensuite redémarrer l'ordinateur normalement ou via commande suivante : SHUTDOWN -R -F -T 0 Page 44 / 409

46 Chapitre 2 : Découverte de WinPE et des images WIM Chapitre 2 : Découverte de WinPE et des images WIM 1. Introduction Afin de manipuler aisément les fichiers.iso au même titre que des supports CD/DVD, nous vous recommandons d'installer un lecteur virtuel Téléchargez le logiciel "(Freeware) Virtual CloneDrive" à l'adresse suivante : et installez-le sur la plateforme de test (en tant qu'administrateur). Une icône représentant ce lecteur de CD/DVD virtuel devrait apparaitre dans la zone de notification (en bas à droite). Vous pouvez effectuer un clic droit sur cette icône afin de repérer la lettre d'unité affectée à ce lecteur (ie Drive F: ) - Le triangle donne accès au sous-menu permettant de "monter" un fichier.iso ainsi qu'à l'historique des montages. Sinon, vous pouvez également utiliser l'explorateur Windows afin de sélectionner le fichier.iso précédemment téléchargé puis utiliser le menu contextuel "Monter (Virtual CloneDrive F:)". Fermez la fenêtre d'exécution automatique. 2. Historique de WinPE Depuis Windows XP, Microsoft fournit un système d'exploitation minimaliste et autonome (ne nécessitant pas d'installation) pouvant être exécuté à partir de différents média tels qu'un CDROM, un disque/clé USB ou encore au travers d'un démarrage PXE. A l'origine, ce système nommé WinPE (Windows Preinstallation Environment) était distribué, dans un cadre contractuel, aux fabricants et intégrateurs (OEM), ainsi qu'aux Grands Comptes titulaires d'un accord d'utilisation Microsoft. Depuis Windows Vista, Microsoft fournit WinPE "gratuitement" - Toutefois, il est important de souligner que cette gratuité d'induit pas de licence d'exploitation utilisateur. Entre d'autres termes, Microsoft autorise l'utilisation de WinPE dans un cadre d'installation ou de maintenance mais aucunement en tant que système d'exploitation utilisateur (comme le sous-entend l'anglicisme "Live-CD" ou des adaptations telles Bart-PE/PE-Builder ou WinBuilder) Digne remplaçant des disquettes de démarrage MS-DOS, ce système offre de nombreux atouts, tel que la prise en charge des systèmes de fichiers NTFS, la prise en charge native du réseau et sous certaines conditions détaillées plus tard, le support de MDAC, HTA, WMI et scripts WSH. Important : WinPE ne propose aucun bureau ni de session utilisateur. Toutefois, ce système n'exclut pas les programmes et interfaces graphiques pour peu que celles-ci soient autonomes (ne requiert de dépendances avec le "Framework.NET" non supporté dans cet environnement) Page 45 / 409

47 Historique succinct des versions Chapitre 2 : Découverte de WinPE et des images WIM Les versions WinPE indiquées sont purement informatives. En effet, ce système minimaliste correspond en fait à un assemblage particulier réalisé à partir des binaires composants un système d'exploitation original. En effet, l'utilisation de la commande "ver" dans une invite de commande WinPE vous renverra un numéro de version technique. Voici un petit tableau récapitulatif. Version WinPE Base / Remarques Version "technique" WinPE 1.0 Basé sur Windows XP NT WinPE 1.1 Basé sur Windows XP SP1 NT sp1 WinPE 1.2 Basé sur Windows Server 2003 NT WinPE 1.5 Basé sur Windows XP SP2 - WinPE 2004 (Support de WMI et périphériques Plug & Play) WinPE 1.6 Basé sur Windows Serveur 2003 SP1 - WinPE 2002 (Support du boot sur USB et du RAMDRIVE) NT sp2 NT sp1 WinPE 2.0 Basé sur Vista NT WinPE 2.1 WinPE 3.0 WinPE 3.1 Basé sur Vista sp1 / Windows Serveur 2008 Basé sur Windows 7 / Windows Serveur 2008 R2 Basé sur Windows 7 / Windows Serveur 2008 R2 sp1 NT NT NT WinPE 4.0 Sera basé sur Windows 8 NT 6.2.x Remarque La première génération de WinPE était exclusivement 32 bits. Limitations et remarques : Vous ne pouvez pas accéder aux fichiers ou dossiers d'un ordinateur exécutant WinPE à partir d'un autre ordinateur. Autrement dit, le service Serveur SMB ainsi que le bureau à distance ne sont pas disponibles sous WinPE. WinPE prend en charge à la fois IPv4 et IPv6, mais il ne prend pas en charge d'autres protocoles, tels qu IPX/SPX. WinPE ne prend pas en charge le "Framework.NET". (donc pas de PowerShell) Cette limitation devrait être levée à partir de la version 4. Dans la mesure où le sous-système "Windows on Windows" (WOW) n'est pas pris en charge, les processus 16 bits ne peuvent s'exécuter sur les versions 32 bits de WinPE, de même que les processus 32 bits ne s'exécuteront pas sur les versions 64 bits de WinPE. Les affectations de lettre d'unité ne sont pas persistantes d'un démarrage à l'autre. Après le chargement de WinPE, les affectations de lettres d'unité sont Page 46 / 409

48 Chapitre 2 : Découverte de WinPE et des images WIM affectées dans l'ordre par défaut. En l'absence d'autre technique, utilisez les commandes suivantes : Pour obtenir la liste des lecteurs MOUNTVOL Pour obtenir les lettres et description des unités (support WMI requis) WMIC LOGICALDISK GET NAME,DESCRIPTION Noter que les modifications apportées au registre de WinPE sont également perdues au redémarrage. En cas de besoin, il faut modifier le registre en mode hors ligne. Pour perturber une éventuelle utilisation frauduleuse en tant que système d'exploitation "serveur", WinPE redémarre 24 à 72 heures après son démarrage initial. Comparativement à la première génération de WinPE où il fallait insérer les supports USB durant le démarrage, les versions 2 et suivantes supportent dynamiquement l'usb ainsi qu'un grand nombre d'avantages que vous découvrirez plus tard. Pour information, le noyau WinPE (BOOT.WIM) est chargé en mémoire (RAMDRIVE) et s'affectera toujours la même lettre "X:". Par défaut, il faut environ un minimum de 300Mo de mémoire vive pour démarrer WinPE Comprendre la structure du DVD et les fichiers.wim 3.1. Introduction Le schéma ci-après expose les principaux fichiers et dossiers d'une structure DVD originale. Pour explorer cette structure, vous pouvez utiliser le lecteur virtuel précédemment installé et monter le fichier.iso ayant servi à l'installation de cette plateforme. On considère que l'unité F: correspond au lecteur virtuel du DVD Les DVD originaux de Windows NT6 contiennent de nombreux fichiers et répertoires mais nous attirerons votre attention sur les principaux : L'amorce, est composée de 2 fichiers primordiaux (sans extension): F:\BOOTMGR F:\BOOT\BCD La distribution (ou fichiers sources) Windows est contenue dans un fichier.wim (contenant 1 ou plusieurs déclinaisons) : F:\SOURCES\INSTALL.WIM Le noyau WinPE (système d'exploitation qui est chargé en mémoire) F:\SOURCES\BOOT.WIM Page 47 / 409

49 La structure DVD simplifiée Chapitre 2 : Découverte de WinPE et des images WIM Attention, ne confondrez pas le répertoire "\Boot" contenant l'amorce (dont le fichier BCD ) avec le fichier "\Sources\Boot.wim" qui contient le noyau WinPE Une confusion courante est également possible entre le programme "\Setup.exe" contenant l'écran d'accueil général avec le programme "\Sources\Setup.exe" chargé de l'installation. La structure de WinPE est un assemblage d'éléments qui pourrait être schématisée comme suit : Page 48 / 409

50 Chapitre 2 : Découverte de WinPE et des images WIM Ce schéma met en avant l'imbrication des composants, où chaque élément est géré par une commande en ligne ou un outil spécialisé. Certains de ces programmes ne sont pas installés sur Windows 7 ou Windows Server 2008 R2, mais restent disponibles sur le DVD ou au travers du kit de déploiement WAIK (Windows Automated Installation Kit) que nous détaillerons plus tard. Dans un premier temps, nous allons nous attarder sur le noyau WinPE. En effet, en fonction de sa provenance, DVD original ou WAIK, son contenu et possibilités divergent. On peut considérer que le noyau WinPE est une dérivée opérationnelle d'un système d'exploitation connu (type Windows 7) et d'un certain nombre de programmes externes, tels que diskpart, netsh, etc. (principalement en ligne de commande, donc moins connus des utilisateurs Windows) Depuis la deuxième génération, le système WinPE utilise un RAMDRIVE (disque en mémoire vive) auquel la lettre "X:" est toujours affectée. Cette approche offre d'avantage de performances et lève les contraintes d'écriture mais cet environnement est volatile- Il convient donc de distinguer ce qui est intégré dans le "noyau WinPE" (ce qui alourdi potentiellement le RAMDRIVE) de ce qui demeure sur le "Media WinPE". Le schéma ci-après symbolise quelques possibilités de personnalisation du noyau WinPE. Page 49 / 409

51 Chapitre 2 : Découverte de WinPE et des images WIM 3.2. Les fichiers.wim Comme vous avez pu le remarquer, les fichiers.wim sont au cœur des nouvelles technologies de déploiement Windows et la maitrise de ces derniers est une clé essentielle en la matière. Les fichiers.wim sont des "conteneurs d'images", non au sens photographique, ni autres dessins d'artistes en herbe, mais une structure de fichiers et de dossiers (un peu comme un fichier.zip). A l'instar de ces fichiers d'archive, ils peuvent également bénéficier d'un mécanisme de compression mais offrent d'autres d'avantages tels que l'instanciation unique des fichiers redondants, des métadonnées XML L'extension des fichiers WIM n'est pas prise en compte dans les interfaces graphiques Windows. Vous pouvez cependant recourir à l'utilitaire gratuit "7- Zip" pour visualiser le contenu de ces fichiers. Dans le cas d'images multiples, chacune d'entre-elle apparait sous forme d'un dossier représentant le numéro d'index alors que le fichier.xml à la racine contient les métadonnées. Page 50 / 409

52 Chapitre 2 : Découverte de WinPE et des images WIM Exemple d'ouverture d'un fichier.wim avec 7-Zip Ces fichiers peuvent donc contenir une ou plusieurs "images". Il est intéressant de relever que cette structure de fichier gère la redondance des fichiers communs entre plusieurs images, via un mécanisme différentiel. De ce fait, on constate un gain de place important en y intégrant plusieurs images similaires, telles que différentes éditions de Windows 7 et/ou plusieurs déclinaisons d'installation pour les serveurs (installation minimale versus installation complète). Attention, cette caractéristique exploitée dans les fichiers WIM de Microsoft est délicate à maintenir et constitue une source potentielle de confusion. En effet, des éventuelles mises à jour ou ajout de pilotes n'affecte qu'une seule image et qui seraient donc à réitérer pour chaque image en cas de besoin. Page 51 / 409

53 Chapitre 2 : Découverte de WinPE et des images WIM Un autre avantage des fichiers.wim, est qu'il est possible de "monter" une image, en lecture seule ou en lecture/écriture, dans un répertoire afin d'en visualiser ou modifier le contenu. Il est également possible d'interroger les métadonnées d'un fichier.wim afin d'obtenir les informations sur les images qu'il contient. (Nom, Description des images, Nombre d'images, Nombre de fichiers, Taille, etc.) Dans un 1er temps, pour manipuler des fichiers WIM existants, nous allons nous contenter de l'outil DISM déjà intégré à Windows 7 et Windows Server 2008 R2, afin de ne pas recourir systématiquement aux outils du kit de déploiement (WAIK) tel que "ImageX" Nous allons donc créer une petite structure de travail pour nos manipulations via une invite de commande. Conseil : Modifier les propriétés de l'invite de commande, en cochant la case "Mode d'édition rapide" ainsi que l'affichage des dossiers cachés, des fichiers protégés et les extensions dans les options d'affichage de l'explorateur. Ouvrez une invite de commande en mode Administrateur et tapez les commandes suivantes: MD DEPLOY CD DEPLOY MD DVD MD MNT MD DRV XCOPY F:\*.*.\DVD /S C:> MD DEPLOY C:> CD DEPLOY C:\DEPLOY> MD DVD C:\DEPLOY> MD MNT C:\DEPLOY> MD DRV C:\DEPLOY> XCOPY F:\*.*.\DVD /S 993 fichier(s) copié(s) Pour rappel, nous travaillerons sur l'image d'évaluation Windows Server 2008 R2, très similaire à Windows 7 sur le principe. Examinons le fichier BOOT.WIM d'un peu plus près grâce à la commande suivante: DISM /Get-WimInfo /WimFile:.\DVD\Sources\boot.wim C:\DEPLOY> DISM /Get-WimInfo /WimFile:.\DVD\Sources\boot.wim Outil Gestion et maintenance des images de déploiement Version : Détails pour l image :.\DVD\Sources\boot.wim Index : 1 Nom : Microsoft Windows PE (x64) Description : Microsoft Windows PE (x64) Taille : octets Page 52 / 409

54 Chapitre 2 : Découverte de WinPE et des images WIM Index : 2 Nom : Microsoft Windows Setup (x64) Description : Microsoft Windows Setup (x64) Taille : octets L opération a réussi. Nous pouvons constater que le noyau WinPE est composé de 2 images (index). La première est un noyau de base (qui s'arrêterait sur un simple invite de commande - cmd.exe / winpeshl.exe) et la seconde démarre automatiquement le programme d'initialisation SETUP.exe. Procédons de la même manière à l'étude du fichier de distribution grâce à la commande suivante: DISM /Get-WimInfo /WimFile:.\DVD\Sources\install.wim C:\DEPLOY> DISM /Get-WimInfo /WimFile:.\DVD\Sources\install.wim Outil Gestion et maintenance des images de déploiement Version : Détails pour l image :.\DVD\Sources\install.wim Index : 1 Nom : Windows Server 2008 R2 SERVERSTANDARD Description : Windows Server 2008 R2 SERVERSTANDARD Taille : octets Index : 2 Nom : Windows Server 2008 R2 SERVERSTANDARDCORE Description : Windows Server 2008 R2 SERVERSTANDARDCORE Taille : octets Index : 3 Nom : Windows Server 2008 R2 SERVERENTERPRISE Description : Windows Server 2008 R2 SERVERENTERPRISE Taille : octets Index : 4 Nom : Windows Server 2008 R2 SERVERENTERPRISECORE Description : Windows Server 2008 R2 SERVERENTERPRISECORE Taille : octets Index : 5 Nom : Windows Server 2008 R2 SERVERDATACENTER Description : Windows Server 2008 R2 SERVERDATACENTER Taille : octets Index : 6 Nom : Windows Server 2008 R2 SERVERDATACENTERCORE Description : Windows Server 2008 R2 SERVERDATACENTERCORE Taille : octets Index : 7 Nom : Windows Server 2008 R2 SERVERWEB Description : Windows Server 2008 R2 SERVERWEB Taille : octets Index : 8 Nom : Windows Server 2008 R2 SERVERWEBCORE Description : Windows Server 2008 R2 SERVERWEBCORE Taille : octets Page 53 / 409

55 Chapitre 2 : Découverte de WinPE et des images WIM L opération a réussi. Nous constatons, dans cet exemple, que le fichier "install.wim" contient plusieurs images (8) correspondant à priori aux versions "Windows Server 2008 R2 WEB" à "DATACENTER" et dont les tailles respectives "décompressées" varient approximativement entre 3,4 et 10 Go. Note : Les versions notées "..CORE" correspondent aux installations minimales. Ces choix ne sont disponibles que pour les versions "Serveur". Même si ces installations minimales (core) présentent des similitudes apparentes avec WinPE se sont cependant des systèmes complets simplement dépourvus de bureau et d'interface utilisateur Détails / Personnalisation du noyau WinPE Montage d'un fichier.wim Pour analyser en détail le contenu de ces fichiers WIM, nous allons procéder au "montage" de ces derniers dans notre structure de travail. En premier lieu, WinPE Setup, donc l'image N 2 de boot.wim, veuillez tapez la commande suivante : DISM /Mount-Wim /WimFile:.\DVD\Sources\boot.wim /index:2 /MountDir:.\MNT C:\DEPLOY> DISM /Mount-Wim /WimFile:.\DVD\Sources\boot.wim /index:2 /MountDir:.\MNT Outil Gestion et maintenance des images de déploiement Version : Montage de l image [==========================100.0%==========================] L opération a réussi. Remarque : Il est possible, via l'outil "ImageX" du kit de déploiement (WAIK), d'extraire une image d'un fichier.wim vers un nouveau fichier.wim via la commande suivante : IMAGEX /EXPORT BOOT.WIM 1 NEWFILE.WIM "Description" A ce stade, vous pouvez utiliser l'explorateur Windows ou une invite de commande afin de parcourir le dossier C:\DEPLOY\MNT (Dans cet exemple, la structure de ce dossier permet d'accéder à l'ensemble des fichiers de la 2ème image du fichier boot.wim) WinPE contient un certain nombre de fonctionnalités (packages) qui peuvent être activées (ou non) ainsi que les pilotes Windows 7 de Microsoft. Nous allons voir comment procéder pour analyser, modifier, arranger tout cela selon vos besoins. Page 54 / 409

56 Chapitre 2 : Découverte de WinPE et des images WIM Obtenir la liste des packages Pour obtenir la liste des packages présents dans l'image actuellement montée, utilisez la commande suivante: DISM /Image:.\MNT /Get-Packages C:\DEPLOY> DISM /Image:.\MNT /Get-Packages La liste peut être longue, et le tableau ci-après indique le détail des packages courants; Nom du package Type Description succincte Microsoft-Windows- WinPE-Package Microsoft-Windows- WinPE-LanguagePack WinPE-Scripting- Package WinPE-Scripting- Package Foundation Language Pack Feature Pack Language Pack Noyau de WinPE Pack de langue général Ajout du support des scripts WSH (wsf, vbs, js ) Pack de langue du package WinPE-Setup-Package Feature Pack Binaires d'installation (Principalement Setup.exe) WinPE-Setup-Package WinPE-Setup-Server- Package WinPE-Setup-Server- Package Language Pack Pack de langue du package Feature Pack Compléments d'installation propres aux versions "serveur" (versus "Client" pour Windows 7) Language Pack Pack de langue du package WinPE-SRT-Package Feature Pack Outils de réparation (Service Repair Tools) ~WinRE WinPE-SRT- Package WinPE-WDS-Tools- Package WinPE-WDS-Tools- Package Language Pack Feature Pack Language Pack Pack de langue du package Outils relatifs aux services de déploiement (dont "WDScapture" dont nous reparlerons plus tard) Pack de langue du package WinPE-WMI-Package Feature Pack Ajout du support WMI (dont WMIC, très pratique sous réserve de connaitre les classes disponibles (WMIC /?) WinPE-WMI -Package Language Pack Pack de langue du package Page 55 / 409

57 Chapitre 2 : Découverte de WinPE et des images WIM Note : La liste complète des packages est disponible dans l'aide fournit avec le WAIK. Vous y trouverez également la procédure pour ajouter des packages. Pour chaque pack de fonctionnalité, il faut ajouter le pack de langue associé. Les packages sont fournis sous forme de fichiers.cab situés dans C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs Dans notre cas d'étude, (soit le DVD original), tous les packages essentiels sont déjà présents : WSH, WMI, SETUP, WDS, RECENV (SRT) Obtenir la liste des pilotes Un autre élément clé est la maitrise des pilotes de périphériques. En effet, selon l'image et le fichier.wim concerné, il est fondamental de pouvoir énumérer, voire injecter des pilotes en cas de besoin. Dans un cadre d'utilisation préliminaire, tel que WinPE, les classes de pilotes particulièrement cruciaux sont : Les pilotes de stockage - contrôleur disque dur (Mass Storage) Les pilotes de composants intégrés (Chipsets) Les pilotes de carte réseau Les pilotes de carte vidéo Pour obtenir la liste des pilotes présents dans l'image actuellement montée, utilisez la commande suivante: DISM /Image:.\MNT /Get-Drivers C:\DEPLOY> DISM /Image:.\MNT /Get-Drivers Outil Gestion et maintenance des images de déploiement Version : Version de l image : Obtention d une liste de pilotes tiers à partir du magasin de pilotes... Liste des packages de pilotes : (Aucun pilote n a été trouvé dans l image correspondant aux critères) L opération a réussi. Comme vous pouvez le constater, aucun pilote tiers (NON Microsoft) n'est présent. Dans la pratique, il sera probablement nécessaire d'injecter des pilotes pour support des contrôleurs de disque, cartes réseau, vidéo et autres chipset spécifiques. Important : Les pilotes à ajouter doivent être au format.inf (ie: un dossier contenant les binaires du pilote et le fichier.inf associé) - Les programmes d'installation au format exécutable ne sont pas pris en charge. Astuce: Si le fabricant du matériel ne fournit pas les pilotes sous ce format, vous pouvez recourir à un outil tiers, tel que le logiciel libre Page 56 / 409

58 Chapitre 2 : Découverte de WinPE et des images WIM "DriverBackup" afin d'extraire les pilotes installés par le constructeur ou par le programme d'installation du périphérique. Injecter des pilotes supplémentaires dans le noyau WinPE Dans notre cas, il n'est pas nécessaire d'ajouter des pilotes, mais afin d illustrer un cas d'étude, nous allons ajouter les pilotes de carte réseau "AMD PCNET" utilisées par certains environnements de virtualisation. En premier lieu, vous devez télécharger les fichiers du pilote à l'adresse suivante : Ce pilote NDIS5 est initialement prévu pour un système Windows XP ou Windows 2003 Server et n'est donc pas supporté officiellement par Windows 7 ou WinPE. Bien que fonctionnel dans une architecture 32 bits (x86) ce pilote ne sera pas opérationnel en 64 bits mais suffira à illustrer cette démonstration factice. Nous considérons que le contenu du fichier.zip a été extrait dans un dossier "C:\DEPLOY\DRV\AMD4.51". Les pilotes peuvent être injectés dans le noyau WinPE actuellement montée par la commande suivante : DISM /Image:.\MNT /Add-Driver /Driver:Chemin\Pilote.inf C:\DEPLOY> DISM /Image:.\MNT /Add-Driver /Driver:.\DRV\AMD4.51\WinXP_SignedDriver\netamd.inf Vous pouvez également utiliser l'option "/Recurse" pour injecter plusieurs pilotes située dans une arborescence de dossiers. Vous pouvez vérifier la présence du pilote dans le noyau en rappelant la commande précédemment citée: DISM /Image:.\MNT /Get-Drivers Outil Gestion et maintenance des images de déploiement Version : Version de l image : Obtention d une liste de pilotes tiers à partir du magasin de pilotes... Liste des packages de pilotes : Nom publié : oem0.inf Nom du fichier d origine : netamd.inf Boîte de réception : Non Nom de la classe : Net Nom du fournisseur : AMD Inc. Date : 07/07/2004 Version : L opération a réussi. Page 57 / 409

59 Quelques outils WinPE à connaitre : Outil / Commande - STARTNET.cmd - WPEINIT - WPEUTIL INITIALIZENETWORK Chapitre 2 : Découverte de WinPE et des images WIM Description Initialisation des couches réseaux (sous réserve de détection du pilote adéquat) - DRVLOAD Chemin\Pilote.inf Chargement à chaud d'un pilote (.inf) - Très utile pour tester un pilote ou en cas d'oubli au sein de WinPE. Pour rappel, depuis WinPE 2, la détection des disques USB est dynamique. A défaut d'explorateur de fichier graphique, utilisez les commandes suivantes pour repérer les lecteurs. MOUNTVOL WMIC LOGICALDISK GET NAME,DESCRIPTION Pour connaitre l'architecture de processeur, utilisée par le noyau système (32 ou 64 bits), tapez l'une des commandes suivantes : SET PROC PROCESSOR_ARCHITECTURE=AMD64 PROCESSOR_IDENTIFIER=Intel64 Family 6 Model 23 Stepping 6, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=1706 ECHO %PROCESSOR_ARCHITECTURE% AMD64 Contrairement à cet exemple factice, veillez à respecter l'adéquation des pilotes avec l'architecture du noyau système. Certains pilotes sont multiplateformes mais à défaut d'un gestionnaire de pilotes spécialisé, vous pouvez vérifier cette information au sein des fichiers.inf associés. Nous reviendrons sur cette gestion des pilotes dans le chapitre 3 " Préparation du poste de référence" Injecter des outils supplémentaires dans le noyau WinPE Cette étape facultative à pour but de démontrer la possibilité d'ajouter quelques outils graphiques, sans lesquels nous sommes un peu perdus, tout en restant dans le cadre légal d'utilisation de WinPE. Nous ne retiendrons que l'outil "GImageX v2.017" (Alternative graphique gratuite à l'outil en ligne de commande "ImageX" fournit avec le WAIK de Microsoft), ainsi que "Explorer++" en tant qu'explorateur de fichier autonome. Ces logiciels gratuits sont respectivement disponibles aux adresses suivantes : Page 58 / 409

60 Chapitre 2 : Découverte de WinPE et des images WIM Des produits tels que "Nu2Menu" ou "BSExplorer" permettent de simuler un menu de démarrage convivial mais la rédaction des fichiers de configuration reste fastidieuse ). - Conseil : Utiliser un fichier WINPESHL.ini pour le démarrage automatique de ce genre d'outil mais l'initialisation du réseau ne sera plus démarrée automatiquement. (cf processus de démarrage WinPE ciaprès) Pour des raisons de simplicité, nous nous contenterons de créer un répertoire ".\MNT\Tools" dans le noyau WinPE (ce qui correspondra à X:\Tools) et d'y copier les 2 binaires 64 bits. (Pour notre exemple, nous considérons que ces outils ont été téléchargés et décompressés dans le dossier "C:\DEPLOY\DL ") C:\DEPLOY> MD.\MNT\Tools C:\DEPLOY> COPY ".\DL\Explorer++_x64\Explorer++.exe".\MNT\Tools 1 fichier(s) copié(s) C:\DEPLOY> COPY ".\DL\GImageX\install\x64\gimagex.exe".\MNT\TOOLS 1 fichier(s) copié(s) L'avantage d'ajouter des programmes au sein du noyau est de connaitre la lettre (X:) pour une sollicitation automatisée. En effet, la lettre d'unité du média WinPE est variable selon la configuration matérielle du PC. Toutefois, il faut également éviter de trop "charger" le noyau WinPE afin de ne pas alourdir le "RamDrive" et donc les pré-requis en mémoire vive. Astuce : Les explorateurs graphiques (Explorer++, A43 ) n'affichent pas les "fichiers et dossiers protégés du système" sous WinPE car ils s'appuient sur des clés de registre ("SuperHidden") absentes dans le noyau WinPE. Pour pallier cette particularité, il suffit de modifier le registre par défaut de WinPE comme suit:: REG LOAD HKLM\WinPE MNT\Windows\System32\config\DEFAULT REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Expl orer\advanced REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Expl orer\advanced /v ShowSuperHidden /t REG_DWORD /d 1 REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Expl orer\advanced /v SuperHidden /t REG_DWORD /d 0 REG UNLOAD HKLM\WinPE C:\DEPLOY> C:\DEPLOY> REG LOAD HKLM\WinPE MNT\Windows\System32\config\DEFAULT L opération a réussi. C:\DEPLOY> REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv anced L opération a réussi. Page 59 / 409

61 Chapitre 2 : Découverte de WinPE et des images WIM C:\DEPLOY> REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv anced /v ShowSuperHidden /t REG_DWORD /d 1 L opération a réussi. C:\DEPLOY> REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv anced /v SuperHidden /t REG_DWORD /d 0 L opération a réussi. C:\DEPLOY> REG UNLOAD HKLM\WinPE L opération a réussi. Modification de la procédure d'initialisation WinPE du DVD original: Du fait que nous avons travaillé sur la 2ème image "Windows Setup", la procédure d'initialisation de WinPE restera inchangée et il faudra donc démarrer une invite de commande afin d'accéder aux outils. (Soit directement via [Maj] + [F10] soit via l'option "Réparer l'ordinateur" puis "Invite de commande".) Lors d'un démarrage à partir du DVD original, l'initialisation de WinPE suit approximativement le cheminement suivant : Comme le montre le schéma ci-dessus, les processus d'initialisation de WinPE offre de nombreux points d'entrée et nous opterons pour un menu de type "batch" lancé via le fichier "STARTNET.cmd" Dans notre exemple, nous allons donc renommer le fichier ".\MNT\SETUP.exe" en ".\MNT\SETUP.old.exe". Ceci aura pour conséquence de terminer l'initialisation de WinPE sur une invite de commande. (Le Page 60 / 409

62 Chapitre 2 : Découverte de WinPE et des images WIM "véritable" programme d'installation étant situé dans le dossier "\Sources" sera toujours disponible au besoin) C:\DEPLOY> REN.\MNT\Setup.exe Setup.old.exe Nous allons ensuite modifier le fichier "STARTNET.cmd" afin d'appeler un menu de démarrage en procédant comme suit : C:\DEPLOY> NOTEPAD MNT\Windows\System32\startnet.cmd Vous pourrez constater que ce fichier contient par défaut une seule commande "WPEINIT" qui a pour but principal d'initialiser les couches réseaux. A l'aide du bloc-notes, modifiez le contenu comme OFF REM Initialisation du clavier Français WPEUTIL SetKeyboardLayout 040C: C WPEUTIL SetUserLocale fr-fr ECHO Voulez-vous initialiser les couches reseaux? CHOICE /C ON /T 3 /D n /M "Appuyez sur O pour Oui, N pour Non" IF ERRORLEVEL ==1 GOTO BEGIN ECHO -- Initialisation des couches reseaux - Patienter SVP wpeinit :BEGIN REM Localisation du media PE FOR %%i IN (A B C D E F G H I J K L M N O P Q R S T U V W Y Z) DO IF EXIST %%i:\sources\boot.wim SET MEDIAPE=%%i CLS ECHO ********************************************* ECHO * MENU DE DEMARRAGE WINPE (MediaPE = %MEDIAPE%:) * ECHO ********************************************* ECHO. ECHO 1 - Installation (Setup) ECHO 2 - Capture (WDSCapture) ECHO 3 - DISKPART ECHO 4 - Reparer l'ordinateur ECHO 5 - Gestion WIM (GImageX) ECHO 6 - Connexion lecteur reseau ECHO 7 - Intialisation reseau ECHO 8 - Explorateur de fichiers ECHO 9 - Quitter ECHO. CHOICE /C: /M "Taper le numero de votre choix " IF ERRORLEVEL ==9 GOTO CHOIX9 IF ERRORLEVEL ==8 GOTO CHOIX8 IF ERRORLEVEL ==7 GOTO CHOIX7 IF ERRORLEVEL ==6 GOTO CHOIX6 IF ERRORLEVEL ==5 GOTO CHOIX5 IF ERRORLEVEL ==4 GOTO CHOIX4 IF ERRORLEVEL ==3 GOTO CHOIX3 IF ERRORLEVEL ==2 GOTO CHOIX2 IF ERRORLEVEL ==1 GOTO CHOIX1 GOTO END :CHOIX9 ECHO Vous avez choisi Quitter GOTO END Page 61 / 409

63 Chapitre 2 : Découverte de WinPE et des images WIM :CHOIX8 ECHO Vous avez choisi Explorateur X:\Tools\Explorer++.exe GOTO BEGIN :CHOIX7 ECHO Vous avez choisi Intialisation reseau WPEUTIL INITIALIZENETWORK IPCONFIG /ALL PAUSE GOTO BEGIN :CHOIX6 ECHO Vous avez choisi Connexion lecteur reseau ECHO. SET /p IP=Entrer le nom ou l'adresse IP du serveur : SET /p Partage=Entrer le nom du partage : SET /p User=Entrer le nom d'utilisateur (Domain\Username) : NET USE Z: \\%IP%\%Partage% /user:%user% PAUSE GOTO BEGIN :CHOIX5 ECHO Vous avez choisi Gestion WIM (GImageX) X:\Tools\GImageX.exe PAUSE GOTO BEGIN :CHOIX4 CLS ECHO Vous avez choisi Reparer l'ordinateur \SOURCES\RECOVERY\RecEnv.exe GOTO BEGIN :CHOIX3 ECHO Vous avez choisi Diskpart DISKPART GOTO BEGIN :CHOIX2 ECHO Vous avez choisi Capture WDSCAPTURE.exe GOTO BEGIN :CHOIX1 ECHO Vous avez choisi Installation \SOURCES\SETUP.exe GOTO BEGIN :END Enregistrez ces modifications puis quittez le bloc-notes. (Ce fichier fait partie de Fichiers_Complémentaires) Du fait que ce menu utilise la commande "choice.exe", non incluse dans le noyau WinPE, afin de réaliser ce petit menu de démarrage, il est nécessaire d'en faire une copie C:\DEPLOY> COPY C:\Windows\System32\choice.exe MNT\Windows\System32\*.* 1 fichier(s) copié(s). Page 62 / 409

64 Chapitre 2 : Découverte de WinPE et des images WIM Attention aux pièges : Nous sommes en présence d'un WinPE 64 bits et notre modification est également réalisée sur un système 64 bits. Si le WinPE/DVD modifié avait été "32 bits" vous auriez dû utiliser le binaire 32 bits situé dans "SysWOW64" Valider les modifications du noyau WinPE Sans cette opération, toutes vos modifications risquent d'être perdues Afin d'assurer un démontage correcte de l'image, vérifiez qu'aucun autre explorateur ou invite de commande n'est ouvert sur les répertoires de montage. C:\DEPLOY> DISM /Unmount-Wim /MountDir:.\MNT /commit Outil Gestion et maintenance des images de déploiement Version : Fichier image : C:\DEPLOY\DVD\Sources\boot.wim Index de l image : 2 Enregistrement de l image [==========================100.0%==========================] Démontage de l image [==========================100.0%==========================] L opération a réussi. A ce stade, le noyau WinPE (.\DVD\Sources\BOOT.wim) est modifié mais il nous reste encore à l'injecter dans une "structure amorçable" sur CD/DVD, USB ou encore WDS/PXE. Optionnel : tester vos modifications Pour tester si nos modifications sont opérationnelles, nous allons créer une machine virtuelle de test dans l'environnement Hyper-V et lui affecter un disque virtuel.vhd en guise de "pseudo disque USB" Pour créer ce disque virtuel, nous nous appuierons sur la prise en charge native des fichiers VHD par Windows 7 / 2008 R2. Pour cela, ouvrez une invite de commande puis entrez les directives suivantes: MD VDisks DISKPART CREATE VDISK FILE="C:\VDisks\WINPEx64.vhd" MAXIMUM=4000 TYPE=EXPANDABLE ATTACH VDISK CLEAN CREATE PARTITION PRIMARY FORMAT FS=NTFS QUICK LABEL=USB ACTIVE ASSIGN LETTER=U Page 63 / 409

65 Chapitre 2 : Découverte de WinPE et des images WIM EXIT XCOPY C:\DEPLOY\DVD\*.* U:\ /S DISKPART SELECT VDISK FILE="C:\VDisks\WINPEx64.vhd" DETACH VDISK EXIT EXIT C:\> MD VDisks C:\> DISKPART Microsoft DiskPart version Copyright (C) Microsoft Corporation. Sur l ordinateur : WIN-UNE19OKICO3 DISKPART> CREATE VDISK FILE="C:\VDisks\WINPEx64.vhd" MAXIMUM=4000 TYPE=EXPANDABLE 100 pour cent effectués DiskPart a correctement créé le fichier de disque virtuel. DISKPART> ATTACH VDISK 100 pour cent effectués DiskPart a correctement attaché le fichier de disque virtuel. DISKPART> CLEAN DiskPart a réussi à nettoyer le disque. DISKPART> CREATE PARTITION PRIMARY DiskPart a réussi à créer la partition spécifiée. DISKPART> FORMAT FS=NTFS QUICK LABEL=USB 100 pour cent effectués DiskPart a formaté le volume. DISKPART> ACTIVE DiskPart a indiqué la partition actuelle comme étant active. DISKPART> ASSIGN LETTER=U DiskPart a correctement assigné la lettre de lecteur ou le point de montage. DISKPART> EXIT C:\> XCOPY C:\DEPLOY\DVD\*.* U:\ /S. 993 fichier(s) copié(s C:\> DISKPART DISKPART> SELECT VDISK FILE="C:\VDisks\WINPEx64.vhd" Page 64 / 409

66 Chapitre 2 : Découverte de WinPE et des images WIM DiskPart a correctement sélectionné le fichier de disque virtuel. DISKPART> DETACH VDISK DiskPart a correctement détaché le fichier de disque virtuel. DISKPART> EXIT Quitte DiskPart... C:\> EXIT Créez une nouvelle machine virtuelle "Test_WPE" via le "Gestionnaire Hyper-V" à partir du menu "Action Nouveau Ordinateur virtuel" Affectez "512" Mo de mémoire puis connectez le réseau virtuel "Interne Hôte". Au niveau de l'écran de connexion du disque dur, cochez l'option "Utiliser un disque dur existant" puis cliquez sur le bouton "Parcourir" afin de sélectionner le fichier précédemment créé "C:\VDsiks\WINPEx64.vhd" Page 65 / 409

67 Chapitre 2 : Découverte de WinPE et des images WIM Cliquez sur le bouton "Terminer". Cliquez sur le bouton (vert) de démarrage de la machine virtuelle ou utilisez le menu "Action". N'ayant aucun autre périphérique d'amorçage, vous deviez voir successivement les écrans d'initialisation de WinPE, puis le menu (startbet.cmd) personnalisé précédemment. Page 66 / 409

68 Chapitre 2 : Découverte de WinPE et des images WIM Cette machine virtuelle ayant été créée pour nos besoins de test, ne dispose d'aucun disque dur pour l'installation du système, et nous nous contenterons d'essayer les choix du menu sans achever les opérations. Utilisez les boutons "Annuler" ou la croix de fermeture des fenêtres. Le système WinPE redémarre lorsque vous fermerez le premier programme lancé, c est-à-dire la fenêtre du menu personnalisé. La carte réseau utilise un pilote "VM Bus" intégré par défaut et non le pilote ajouté durant la phase de personnalisation. Après avoir testé les différentes options, vous pourrez éteindre la machine virtuelle via le bouton (carré noir) ou le menu "Action" Page 67 / 409

69 Chapitre 3 : Préparation du poste de référence Chapitre 3 : Préparation du poste de référence 1. Introduction Maintenant que vous avez découvert les mécanismes WinPE et les images WIM, au travers Windows Server 2008 R2, nous allons analyser les possibilités de personnalisation de Windows 7 en fonction de vos préférences et besoins des postes de votre société. L'approche pragmatique de cet ouvrage ne s'inscrit pas implicitement dans une démarche globale de projet, ni de gestion du cycle de vie du poste de travail. Ce chapitre n'a donc pour but avoué que de survoler les axes majeurs de la personnalisation en amont et/ou en aval, tout en vous laissant libre de vos choix. En parcourant les processus d'installation et les dérivées possibles, nous allons mettre en exergue plusieurs points stratégiques en matière de déploiement, parmi lesquels nous pourrions citer sans exhaustivité : Les mécanismes d'amorçage / Les partitions Le choix d'un système 32 et/ou 64 bits, et de l'édition Professionnelle, Entreprise ou Intégrale. La configuration des fonctionnalités et paramétrages du poste L'outil de préparation SYSPREP Page 68 / 409

70 Chapitre 3 : Préparation du poste de référence L'intégration des pilotes du constructeur (Original Equipment Manufacturer) Le choix d'un type de licence et le mécanisme d'activation associé L'intégration des applications et leur compatibilité L'éventuel recours au "mode XP" Le média de déploiement (DVD / USB / PXE) L'emplacement des profils d'utilisateur Tous ces exemples démontrent la complexité d'une telle étude. De nombreux exemples et scénarios sont détaillés dans la documentation du kit de déploiement WAIK, qui constitue une pièce fondamentale du projet de déploiement. Plusieurs outils complémentaires y sont également référencés : Cet ouvrage n'a pas pour vocation de traiter l'ensemble de ce puzzle technique, mais à ce stade, il est souhaitable d'avoir réfléchi sur plusieurs éléments clés tels que le nombre et la taille des partitions, les comptes locaux, la politique d'installation des licences, la disponibilité des pilotes ainsi que les applications à intégrer dans le poste de référence. Bien que le contenu des images WIM soit techniquement modifiable, le recours à une image de distribution personnalisée doit être opposé à sa "maintenabilité". En effet, l'intégration des applications peut présenter un avantage au début mais alourdir les processus de déploiement lorsque celles-ci doivent être mise à jour. Il faut également prendre conscience que lors de l'exécution de SYSPREP, que nous détaillerons plus loin dans ce chapitre, un certain nombre d'éléments sont modifiés, tels que la désactivation du compte local d'administrateur, la suppression de la licence et des pilotes tiers ainsi que la réinitialisation du profil d'utilisateur par défaut. Page 69 / 409

71 Chapitre 3 : Préparation du poste de référence Le tableau suivant, non exhaustif, peut vous aider dans ces réflexions : Eléments Clé de licence "Offline" ou fichier.wim Setup ou sysprep "Online" ou Postinstallation Injection via DISM Fichier de réponse SLMGR.vbs Partitions N/A Opération manuelle ou Fichier de réponse Applications Pilotes Packages Mises à jour Profil d'utilisateur par défaut Emplacement des profils d'utilisateurs Emplacement des dossiers d'utilisateurs Sécurité Gestion des comptes locaux Enumération possible via DISM Injection via DISM Fichier de réponse ou WDS Installation DISM Implique régénération fichier.wim N/A via une du Diskpart / Diskmgmt.msc N/A Installation via.msiexec ou programmes "Setup" (Idéalement automatisés) PNPUtil Fichier de réponse WSAU.exe (.MSU) Fichier de réponse (CopyProfile) Fichier de réponse N/A Serveur WSUS GPO Préférences N/A N/A GPO Classiques (Redirections) Modifications limitées via un montage.wim Ou Modification "Defltbase.inf" Ou régénération du fichier.wim Implique régénération fichier.wim une du N/A GPO (Stratégies de sécurité et/ou Préférences) Fichier de réponse GPO (Stratégies de sécurité et/ou Préférences) Depuis Vista, toutes les installations sont basées sur l'outil "SYSPREP" que nous détaillerons plus loin dans ce chapitre. En fait le processus de déploiement des versions précédentes de Windows était basé sur les Page 70 / 409

72 Chapitre 3 : Préparation du poste de référence programmes d'installation WINNT ou WINNT32, et les solutions utilisant l'outil SYSPREP rendait la distribution dépendante du matériel. L'installation et la préparation d'un poste de référence NT6 peut donc être réalisée dans un environnement virtuel quelle que soit la plateforme de destination, y compris physique.. Les processus de déploiement doivent prendre en considération de nombreux facteurs, de l'existant à la cible. Nous rappellerons simplement que les outils et moyens retenus doivent s'inscrire dans une méthodologie globale relative au cycle de vie du poste travail dans l'entreprise. 2. Installation du poste de référence Avant de poursuivre, assurez-vous de disposer d'une distribution Windows 7 ou d'avoir téléchargé la version d'évaluation de Windows 7 Entreprise (32 bits et/ou 64 bits) à l'adresse suivante : A l'heure de la rédaction de ces lignes, la version d'évaluation de Windows entreprise, disponible en téléchargement, n'intègre pas le service pack 1, ce qui nous donnera l'occasion d'aborder un cas pratique sur l'intégration de cette mise à jour particulière. Vous pouvez télécharger le service pack 1 (KB976932), à l'adresse suivante Page 71 / 409

73 Chapitre 3 : Préparation du poste de référence Vue la taille considérable de ces fichiers, vous pouvez ne récupérer que les fichiers nécessaires: windows6.1-kb x86.exe - installe SP1 sur un ordinateur 32 bits équipé de Windows 7. windows6.1-kb x64.exe - installe SP1 sur un ordinateur 64 bits équipé de Windows 7 ou Windows Server 2008 R La procédure d'amorçage - Les partitions Gestion de l'amorçage Pour rappel, depuis NT6, la procédure d'amorçage a complètement changé et est principalement composée de \bootmgr. : Le chargeur d'amorçage \Boot\BCD. : Le magasin de configuration / NT5) (approximativement ~ NTLDR. / NT5) (approximativement ~ boot.ini Les principaux outils de gestion de l'amorçage sont les suivants : Outil / Commande Description Emplacement BCDEDIT.exe Configurateur du magasin BCD BCDBOOT.exe BOOTSECT.exe Régénère les fichiers d'amorçage Régénère le secteur d'amorçage ("/NT52" ou "/NT60") Windows 7 C:\Windows\System32\) Windows 7 C:\Windows\System32\) DVD:\Boot ou WAIK Notez que si vous laissez la procédure d'installation gérer automatiquement les disques, vous obtiendrez une partition d'amorçage (100 Mo) et le reste du disque pour le système (généralement C:). Cette particularité de configuration est en prévision d'un éventuel chiffrement intégral du disque système via Bitlocker (Au demeurant, non supporté par les versions Professionnelles - cqfd) Cette configuration aura donc un impact sur les processus de "capture" et de restauration des images que nous détaillerons plus tard. Pour éviter ce type de configuration assistée, vous êtes contraint de créer les partitions préalablement soit via un fichier de réponse XML pilotant le programme "Setup" ou bien de recourir au noyau WinPE via [Maj]+[F10] puis DISKPART Rappel : Windows 7 ne peut être installé que sur une partition NTFS disposant d'au moins 12 Go d'espace libre - Un minimum de 30Go est toutefois préférable. Page 72 / 409

74 Chapitre 3 : Préparation du poste de référence Notez que sans évoquer les applications et données qui seront stockées dans la partition système, les sources et les correctifs augmenteront inexorablement l'espace utilisé par le système. (cf "\Windows\WinSxS") Sachant que depuis Vista, les partitions peuvent être réduites ou étendues dynamiquement (sous réserve de disposer d'un espace non alloué contigu à la partition), il sera plus simple de réduire une partition que de libérer un espace utilisé par une partition adjacente Démarrage sur disque virtuel Les techniques d'amorçage à partitions multiples ne sont pas propres à Windows 7. En revanche, la faculté de démarrer Windows 7 (version Intégrale ou Entreprise) ou Windows Server 2008R2, directement sur un disque virtuel est une réelle nouveauté. Pour cela il est nécessaire d'installer une amorce NT6 sur un disque physique. Pour la création et l'installation du système sur le disque virtuel, vous pouvez vous inspirer des techniques ci-après. L'utilisation d'un disque virtuel pour le système peut simplifier la gestion des partitions mais impliquera également quelques limitations, telles l'absence de fichier d'échange et de mise en veille prolongée (hibernation). Pour transformer un disque ou partition physique en disque virtuel, vous pouvez recourir au logiciel gratuit "DISK2VHD", téléchargeable à l'adresse suivante : Page 73 / 409

75 Chapitre 3 : Préparation du poste de référence Le fichier.vhd obtenu, stocké dans une partition locale quelconque, pourra ensuite être référencé dans le magasin d'amorçage de la partition système, via BCDEDIT. Exemple d'ajout d'une entrée VHD dans un magasin NT6 existant: A partir d'une invite de commande en mode Administrateur, entrez les commandes suivantes: bcdedit /copy {default} /d "Windows 7 - VHD boot" Copiez le numéro d'identification renvoyé et remplacez le champ {guid} des commandes suivantes par cette valeur en incluant les accolades. bcdedit /set {guid} device vhd=[c:]\vdisks\win7.vhd bcdedit /set {guid} osdevice vhd=[c:]\vdisks\win7.vhd Pour certains systèmes 32 bits, il est parfois nécessaire de forcer la détection du matériel via la commande suivante : bcdedit /set {guid} detecthal on Pour changer le système de démarrage par défaut, utilisez la commande suivante : bcdedit /default {guid} C:\bcdedit /copy {default} /d "Windows 7 - VHD boot" L entrée a été correctement copiée dans {79f a4-11e e84416b3}. C:\bcdedit /set {79f a4-11e e84416b3} device vhd=[c:]\vdisks\win7.vhd L opération a réussi C:\bcdedit /set {79f a4-11e e84416b3} osdevice vhd=[c:] \VDisks\WIN7.vhd L opération a réussi Page 74 / 409

76 Chapitre 3 : Préparation du poste de référence Rappel : Dans le cas de partitions multiples, il faut donc distinguer la partition d'amorçage de la partition qui contient le système. Pour un disque à secteur de démarrage principal (MBR), la partition "principale active" contient les fichiers d'amorçage (BOOTMGR, BCD ) et est identifiée "Système" alors que l'autre partition (Principale ou étendue) contient le système (Windows) et est notée "Démarrer"!! Installer sans utiliser le programme Setup par défaut La simplicité de la procédure d'installation via le DVD original ne nécessite pas d'explications mais pour varier quelque peu les plaisirs, et ouvrir de nouveaux horizons, nous vous proposons d'installer Windows 7 en mode manuel. Autrement dit, en s'appuyant sur les trois étapes préliminaires de l'installation : Création et formatage des partitions (via Diskpart ou Diskmgmt.msc) Extraction de la distribution "Install.wim" (via GImageX) Génération des fichiers d'amorçage (via Bcdboot) Pour cela, vous devez disposer d'une distribution INSTALL.wim (Par exemple, l'image ISO d'un DVD original fera l'affaire) ainsi que d'un noyau WinPE, et de l'outil GimageX. Noter que contrairement à la procédure standard, cette méthode permet d'installer n'importe quelle image comme bon vous semble, y compris l'image d'un système 64 bits à partir d'un WinPE x86, pour peu que la destination soit correctement préparée (Format NTFS et chargeur d'amorce) Scénario 1 : Peuplement d'un disque virtuel (x86) Pour cette procédure, nous allons préparer un disque virtuel.vhd qui sera ensuite affecté à la machine virtuelle de référence. (Ce disque virtuel pourrait également être affecté à une plateforme physique, conformément à la méthode de démarrage évoquée précédemment) 1 / Création du disque.vhd Ouvrez une invite de commande en tant qu'administrateur, puis entrez les commandes suivantes DISKPART CREATE VDISK FILE="C:\Hyper-V\VHDs\W7x86-REF.vhd" MAXIMUM=80000 TYPE=EXPANDABLE ATTACH VDISK CLEAN CREATE PARTITION PRIMARY SIZE=40000 FORMAT FS=NTFS QUICK LABEL=W7x86-REF ACTIVE ASSIGN LETTER=S EXIT Page 75 / 409

77 Chapitre 3 : Préparation du poste de référence C:\> DISKPART Microsoft DiskPart version Copyright (C) Microsoft Corporation. Sur l ordinateur : WIN-UNE19OKICO3 DISKPART> CREATE VDISK FILE=" C:\Hyper-V\VHDs\W7x86-REF.vhd" MAXIMUM=80000 TYPE=EXPANDABLE 100 pour cent effectués DiskPart a correctement créé le fichier de disque virtuel. DISKPART> ATTACH VDISK 100 pour cent effectués DiskPart a correctement attaché le fichier de disque virtuel. DISKPART> CLEAN DiskPart a réussi à nettoyer le disque. DISKPART> CREATE PARTITION PRIMARY SIZE=40000 DiskPart a réussi à créer la partition spécifiée. DISKPART> FORMAT FS=NTFS QUICK LABEL= W7x86-REF 100 pour cent effectués DiskPart a formaté le volume. DISKPART> ACTIVE DiskPart a indiqué la partition actuelle comme étant active. DISKPART> ASSIGN LETTER=S DiskPart a correctement assigné la lettre de lecteur ou le point de montage. DISKPART> EXIT 2 / Extraction de la distribution A partir de l'explorateur Windows, sélectionnez le le fichier.iso de la distribution Windows 7 téléchargée puis montez-le via VirtualCloneDrive. Exécutez ensuite le programme "C:\DEPLOY\DL\GImageX\install\x64\gimagex.exe", puis sélectionnez l'onglet "Apply". Utilisez les boutons "Browse" pour sélectionner respectivement la source "F:\Sources\install.wim" (correspondant à l'image ISO actuellement montée dans VirtualCloneDrive) puis la destination "S:" (Lettre arbitraire affectée provisoirement au disque dur virtuel) Page 76 / 409

78 Chapitre 3 : Préparation du poste de référence Vous pouvez utiliser le bouton "Select" pour vérifier le contenu du fichier WIM. (Cette distribution ne contient qu'une seule image). La valeur du champ "Image" est donc "1". Cliquez sur le bouton "Apply" pour débuter le processus d'extraction de l'image. Page 77 / 409

79 Chapitre 3 : Préparation du poste de référence Le processus dure quelques minutes puis s'achève par le message suivant Cliquez sur le bouton "Close" puis fermez l'outil GImageX. Page 78 / 409

80 Chapitre 3 : Préparation du poste de référence 3 / Ajout des fichiers d'amorçage Ouvrez une invite de commande en tant qu'administrateur, puis entrez la commande suivante BCDBOOT S:\windows /s S: /l fr-fr C:\> BCDBOOT S:\windows /s s: /l fr-fr Les fichiers de démarrage ont bien été créés. 4 / Création de la machine virtuelle Détachez le disque virtuel via les commandes suivantes DISKPART SELECT VDISK FILE="C:\Hyper-V\VHDs\W7x86-REF.vhd" DETACH VDISK EXIT C:\> DISKPART Microsoft DiskPart version Copyright (C) Microsoft Corporation. Sur l ordinateur : WIN-UNE19OKICO3 DISKPART> SELECT VDISK FILE=" C:\Hyper-V\VHDs\W7x86-REF.vhd" DiskPart a correctement sélectionné le fichier de disque virtuel. DISKPART> DETACH VDISK DiskPart a correctement détaché le fichier de disque virtuel. DISKPART> EXIT A partir du "Gestionnaire Hyper-V", créez un nouvel ordinateur virtuel nommé "W7x86-Ref". Affectez-lui un minimum de "512 Mo" de mémoire, connectez-le au réseau virtuel "INTERNE HOTE". Au niveau de la fenêtre "Connecter du disque dur virtuel", sélectionnez l'option "Utiliser un disque virtuel existant" et utilisez le bouton "Parcourir" afin de sélectionner le disque virtuel précédemment créé "C:\Hyper- V\VHDs\W7x86-REF.vhd". Cliquer sur le bouton "Terminer" Page 79 / 409

81 Chapitre 3 : Préparation du poste de référence Utilisez ensuite le bouton (vert) de démarrage de la machine virtuelle. L'ordinateur virtuel devrait démarrer directement la seconde phase d'installation Puis affiche ensuite la phase finale de configuration OOBE Page 80 / 409

82 Chapitre 3 : Préparation du poste de référence Cette phase finale d'installation reste à votre discrétion. Nous reviendrons sur l'automatisation de ces phases d'installation dans le prochain chapitre Scénario 2 : A partir du DVD original et d'un partage en réseau (x64) Dans ce cas d'étude, nous envisageons de démarrer la machine virtuelle à partir de l'image ISO du DVD original Windows 7-64 bits. Ne disposant pas de l'outil GimageX, nous utiliserons le réseau virtuel "Interne hôte" pour y accéder. Cette approche montre qu'un noyau générique de WinPE à besoin des pilotes essentiels, tel que le support réseau. A partir de là, les outils annexes et les distributions peuvent être repris à partir d'une ressource partagée sur le réseau. 1 / Disponibilité des outils dans un répertoire partagé. Si vous avez effectué l'atelier du deuxième chapitre, l'outil GimageX a déjà été extrait dans le répertoire "C:\Deploy\DL\GimageX". Il ne vous reste donc plus qu'à partager ce répertoire via l'explorateur, la console de partage ou encore via une invite de commande comme suit : NET SHARE DEPLOY=C:\DEPLOY C:\> NET SHARE DEPLOY=C:\DEPLOY DEPLOY a été partagé. Page 81 / 409

83 Chapitre 3 : Préparation du poste de référence 2 / Création de la machine virtuelle A partir du "Gestionnaire Hyper-V", créez un nouvel ordinateur virtuel nommé "W7x64-Ref". Affectez-lui un minimum de "512 Mo" de mémoire, connectez-le au réseau virtuel "INTERNE HOTE". Au niveau de la fenêtre "Connecter du disque dur virtuel", conservez l'option "Créer un disque dur virtuel" et le nom proposé par défaut "W7x64- Ref.vhd" et utilisez éventuellement le bouton "Parcourir" pour définir le dossier de stockage du disque virtuel "C:\Hyper-V\VHDs\". Entrez une taille d'au moins "40 Go" puis cliquez sur le bouton "Suivant". Au niveau de la fenêtre "Option d'installation", choisissez "Installer un système d'exploitation à partir d'un CD/DVD-ROM de démarrage", puis sélectionnez l'option "Fichier image (.iso)" et utilisez le bouton "Parcourir" afin de localiser le fichier.iso correspondant à la version d'évaluation de Windows 7 x64 Entreprise, téléchargé précédemment. Page 82 / 409

84 Chapitre 3 : Préparation du poste de référence Cliquez sur le bouton "Terminer". Ouvrez ensuite une console sur cette machine virtuelle et démarrez cette dernière. (Le disque dur virtuel étant vierge, la machine n'aura d'autre choix que de démarrer sur l'image.iso que vous avez inséré via l'assistant de création) Suite au démarrage du noyau WinPE, le processus initial débute par l'initialisation de la langue et clavier d'installation. (Correspond au programme "\Setup.exe" situé à la racine - Au besoin, reportez-vous au schéma du chapitre précédent décrivant la structure du DVD original) Page 83 / 409

85 Chapitre 3 : Préparation du poste de référence Vérifiez les valeurs puis cliquez sur le bouton "Suivant" Ayant démarré à partir d'un DVD original de Windows 7, le processus se poursuit donc par l'écran d'installation et/ou de réparation. Page 84 / 409

86 Chapitre 3 : Préparation du poste de référence Ne fermez pas cette fenêtre initiale sous peine de déclencher un redémarrage de la machine. 3 / Créer la partition de destination du système Windows 7. Pour cela, après avoir sollicité l'invite de commande WinPE via la combinaison des touches [MAJ] + [F10], exécutez les instructions suivantes: DISKPART LIST DISK SELECT DISK 0 CLEAN CREATE PARTITION PRIMARY SIZE=40000 ACTIVE FORMAT FS=NTFS LABEL=W7-SYS QUICK ASSIGN LETTER=C EXIT X:\Sources> DISKPART Microsoft DiskPart version Copyright (C) Microsoft Corporation. Sur l ordinateur : MININT-LC7NFAP DISKPART> LIST DISK N disque Statut Taille Libre Dyn GPT Disque 0 En ligne 39 G octets 39 M octets DISKPART> SELECT DISK 0 Le disque 0 est maintenant sélectionné. DISKPART> CLEAN Diskpart a réussi à nettoyer le disque. DISKPART> CREATE PARTITION PRIMARY SIZE=40000 Diskpart a réussi à créer la partition spécifiée. DISKPART> ACTIVE Diskpart a indiqué la partition actuelle comme étant active. DISKPART> FORMAT FS=NTFS LABEL=W7-SYS QUICK 100 pour cent effectués DiskPart a formaté le volume. DISKPART> ASSIGN LETTER=C DiskPart a correctement assigné la lettre de lecteur ou le point de montage. Page 85 / 409

87 Chapitre 3 : Préparation du poste de référence DISKPART> EXIT X:\Sources> Nous allons ensuite initialiser la couche réseau afin de connecter le lecteur réseau contenant les ressources nécessaires en procédant comme suit: STARTNET IPCONFIG NET USE Z: \\ \DEPLOY /USER:Administrateur Pa$$w0rd X:\Sources> STARNET X:\Sources> wpeinit X:\Sources> IPCONFIG Configuration IP de Windows Carte Ethernet Connexion au réseau local : Suffixe DNS propre à la connexion... : Adresse IPv6 de liaison locale.....: fe80::f058:5077:b2d6:80f8%2 Adresse IPv : Masque de sous-réseau : X:\Sources> NET USE Z: \\ \DEPLOY /USER:Administrateur Pa$$w0rd La commande s'est terminée correctement. X:\Sources> 4 / Extraction de l'image.wim vers la partition de destination. Exécutez ensuite le programme (x64) suivant: Z:\DL\GImageX\install\x64\gimagex.exe Sélectionnez l'onglet "Apply". Utilisez les boutons "Browse" pour sélectionner respectivement la source "D:\Sources\install.wim" (correspondant à l'image ISO actuellement montée dans le lecteur CD de la machine virtuelle) puis la destination "C:" (Lettre arbitraire affectée provisoirement au disque dur virtuel) Page 86 / 409

88 Chapitre 3 : Préparation du poste de référence Notez que dans notre exemple, nous laisserons le numéro d'index "Image" sur la valeur "1". Cela n implique pas que le fichier de distribution "install.wim" ne contient qu'une seule image (mais il y en toujours au moins une) : Vous pouvez utiliser le bouton "Select..." ou l'onglet "Info" puis le bouton "Get info" pour vous assurer du contenu et le cas échéant choisir une autre Image en indiquant simplement le numéro. Cliquez sur le bouton "Apply" pour débuter le processus d'extraction de l'image. Notez également que nous avons supprimé toutes les données du disque (CLEAN - FORMAT) car contrairement au programme d'installation original "setup", l'extraction WIM via Imagex/GImageX ne préserve pas un éventuel système existant dans "Windows.old". Après quelques minutes un message vous indique que le processus est terminé. Utilisez le bouton "Close" pour fermer la fenêtre puis quittez le programme GImageX Page 87 / 409

89 Chapitre 3 : Préparation du poste de référence 5 / configurer l'amorçage La dernière étape consiste à configurer l'amorçage du système fraichement pré-installé. En effet, contrairement au programme initial d'installation "Setup", l'extraction du fichier WIM ne se charge pas de configurer les fichiers nécessaires à l'amorçage du système. Depuis WinPE 3, cette opération peut être est réalisée simplement par la commande suivante : BCDBOOT C:\Windows /L fr-fr X:\Sources> BCDBOOT C:\Windows /S C: /L fr-fr Les fichiers de démarrage ont bien été créés. Si le paramètre "/S" est omis, le secteur d'amorçage est défini sur la partition active Le paramètre /L permet de préciser la langue lors du démarrage. Par défaut "en-us" affichera "Starting Windows" alors que la valeur "fr-fr" indiquera "Démarrage de Windows" Vous pouvez vérifier la présence et le contenu du magasin d'amorçage via les commandes suivantes : DIR C:\BOOT\BCD /A BCDEDIT /enum Page 88 / 409

90 Chapitre 3 : Préparation du poste de référence X:\Sources> DIR C:\BOOT\BCD /A Le volume dans le lecteur C s'appelle W7-SYS Le numéro de série du volume est 10ED-AF26 Répertoire de C:\boot 27/04/ : BCD 1 fichier(s) octets 0 Rép(s) octets libres X:\Sources> BCDEDIT /enum Gestionnaire de d marrage Windows identificateur {bootmgr} device partition=c: description Windows Boot Manager locale fr-fr inherit {globalsettings} default {default} resumeobject {7f03516e-70db-11e0-bd3b-00155d001a04} displayorder {default} toolsdisplayorder {memdiag} timeout 30 Chargeur de d marrage Windows identificateur {default} device partition=c: path \Windows\system32\winload.exe description Windows 7 locale fr-fr inherit {bootloadersettings} osdevice partition=c: systemroot \Windows resumeobject {7f03516e-70db-11e0-bd3b-00155d001a04} nx OptIn detecthal Yes X:\Sources> Note : Le processus de préparation de la partition ayant été réalisé à partir de DISKPART sous WinPE (NT6), il n'est pas nécessaire d'inscrire le secteur d'amorçage principal (cf BOOTSECT) Fermez toutes les fenêtres, y compris la boite de dialogue vous demandant d'annuler l'installation de Windows, ce qui devrait avoir pour effet de redémarrer la machine virtuelle. N'appuyez sur aucune touche afin de laisser la machine virtuelle démarrer normalement et poursuivre son processus d'installation Un second redémarrage aura lieu automatiquement après cette première phase d'initialisation des services et périphériques. Page 89 / 409

91 Chapitre 3 : Préparation du poste de référence La phase finale d'installation reste à votre discrétion. Nous reviendrons sur l'automatisation de ces phases d'installation dans le prochain chapitre. Page 90 / 409

92 Chapitre 3 : Préparation du poste de référence 2.3. Configuration du poste de référence Ces actions sont à réaliser dans l'une ou l'autre des machines virtuelles précédemment installées: W7x86-REF W7x64-REF Toutefois, avant d'aborder ces procédures de personnalisation, il convient de rappeler que le choix d'une personnalisation en amont engendre des contraintes de maintenabilité de l'image. Vous devez donc en exclure les réglages susceptibles d'évoluer rapidement, tels que les choix propres à la sécurité du poste ou à l'environnement utilisateur. Dans le cadre d'un déploiement au sein d'une architecture de domaine Active Directory, il est recommandé de privilégier les réglages via les stratégies de groupe. Sans vous développer plus avant ce sujet très vaste, notez que les "préférences de stratégies", apparues avec Windows Serveur 2008, sont de précieux alliés pour la configuration aval et dynamique des postes et utilisateurs. La précision des réglages et le ciblage graphique de paramètres peut pratiquement éviter le recours à des scripts complexes s'appuyant sur la technologie WMI. De plus, au cas où vous l'ignoreriez, sachez que les préférences sont rétroactivement supportées par Windows XPsp2 et Vista quel que soit le mode fonctionnel de ce dernier, sous réserve d'appliquer le correctif KB sur ces postes. Pour gérer ces nouvelles options, il suffira d'un simple poste membre du domaine, Vista ou Windows 7 sur lequel la fonctionnalité "Gestion des stratégies de groupe" aura été installé. (Cf "Détail de la fonctionnalité additionnelle RSAT" de chapitre) Pour découvrir cette nouvelle capacité des stratégies de groupe, nous vous invitons à consulter "Présentation des GPO préférences" à l'adresse suivante : Windows-Server-2008.aspx Les manipulations suivantes sont donc indiquées à titre d'exemple, et restent à votre appréciation Préparation initiale. Idéalement, il est souhaitable que la préparation du poste de référence soit réalisée sur un ordinateur membre d'un groupe de travail. L'appartenance à un domaine peut apporter des contraintes de sécurité et l'adhésion sera rompue lors de l'exécution de la commande "sysprep" Les comptes locaux Afin d'éviter les contraintes de sécurité liées au contrôle de compte utilisateur (UAC), il conviendra de réactiver le compte "Administrateur intégré" sur le poste maitre. Ce compte sera de nouveau désactivé lors de l'exécution de la commande "sysprep". Page 91 / 409

93 Chapitre 3 : Préparation du poste de référence Une fois le compte "Administrateur intégré" réactivé, nous procéderons à la suppression du compte utilisé durant l''installation (Administrateur équivalent). En fait, à moins de renseigner un fichier de réponse, le processus d'installation redemandera la création de ce compte. Précisions sur les SID Ouvrez une invite de commande en tant qu'administrateur, en acceptant l'élévation de privilège. Puis entrez la commande suivante : WMIC USERACCOUNT GET DISABLED,NAME,SID C:\windows\system32> WMIC USERACCOUNT GET DISABLED,NAME,SID Disabled Name SID TRUE Administrateur S TRUE Invité S FALSE Root S Cette commande permet d'obtenir des informations sur l'identifiant de sécurité unique SID de chaque utilisateur. Le compte dont l'identifiant se termine par "500" est le compte d'administration intégré et l'on peut constater que son état actuel est "désactivé" (Disabled=True). Le compte dont l'identifiant se termine par "1000" est le premier compte d'utilisateur créé (normalement durant la phase d'installation initiale). Le préfixe "S " indique qu'il s'agit d'un compte d'utilisateur. Les 30 chiffres (3x10) situés entre le quatrième et le dernier tiret sont liés à l'identifiant unique de la base de compte, soit une machine, soit un domaine. Cet identifiant est régénéré aléatoirement lors de l'exécution de la commande "sysprep /generalize". (C'est pour cette raison que la commande "sysprep" est strictement interdite sur un contrôleur de domaine) Vous pouvez également recourir à la commande "WHOAMI" afin d'obtenir des informations intéressantes, sur votre compte actuel ainsi que ces groupes d'appartenance et de nombreux renseignements sur vos identifiants en cours. WHOAMI WHOAMI /GROUPS WHOAMI /? Page 92 / 409

94 Chapitre 3 : Préparation du poste de référence C:\windows\system32> WHOAMI W7x86-REF\Root C:\windows\system32> WHOAMI /GROUPS Informations de groupe Nom du groupe Type SID Attributs ============================================== ================= Tout le monde Groupe bien connu BUILTIN\Administrateurs Alias BUILTIN\Utilisateurs Alias AUTORITE NT\INTERACTIF Groupe bien connu OUVERTURE DE SESSION DE CONSOLE Groupe bien connu AUTORITE NT\Utilisateurs authentifiés Groupe bien connu AUTORITE NT\Cette organisation Groupe bien connu LOCAL Groupe bien connu AUTORITE NT\Authentifications NTLM Groupe bien connu Etiquette obligatoire\niveau obligatoire élevé Nom Remarquez que la dernière ligne de cette commande indique "Niveau obligatoire élevé". Cela signifie que ce processus d'invite de commande est en mode "administrateur". Si ce n'était pas le cas, la ligne contiendrait "Niveau obligatoire moyen", indiquant que le processus s'exécute avec un niveau de privilège "d'utilisateur standard" Vous pouvez procéder aux opérations requises sur ces comptes via l'interface graphique de "Gestion de l'ordinateur" ou plus directement via la console "LUSRMGR.msc". Ces opérations peuvent aussi être réalisées en ligne de commande : Enumérer les comptes d'utilisateur NET USER Affecter un mot de passe à compte d'utilisateur donné NET USER Administrateur Pa$$w0rd Afficher les détails d'un compte d'utilisateur donné NET USER Administrateur Réactiver un compte d'utilisateur donné NET USER Administrateur /ACTIVE:YES Supprimer un compte d'utilisateur donné Page 93 / 409

95 Chapitre 3 : Préparation du poste de référence NET USER Root /DELETE Fermer la session active LOGOFF La commande de réactivation du compte d'administration peut être exécutée lors du traitement d'un fichier de réponse en la faisant précéder de l'interpréteur "CMD /C ". Dans ce cas, le compte est encore en anglais CMD /C NET USER ADMINISTRATOR Une fois que vous aurez ouvert une nouvelle session avec le compte "Administrateur intégré", nous procéderons, une fois n'est pas coutume, à une modification du registre. Cette opération facultative permet de lever les contraintes liées au contrôle de compte utilisateur (UAC). Vous pouvez utiliser l'outil graphique REGEDIT.exe ou ouvrir une invite de commande (implicitement Administrateur) et exécuter la commande suivante : REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Polici es\system /v FilterAdministratorToken /t REG_DWORD /d 0 /f De la même manière que précédemment, cette commande peut être intégrée dans un fichier de réponse en la faisant précéder de l'interpréteur "CMD /C ". cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Polici es\system /v FilterAdministratorToken /t REG_DWORD /d 0 /f Installation des mises à jour et du service pack 1 Pour les systèmes NT6, la technique d'intégration d'un service pack au sein des sources originales (technique du "slipstreaming" employé sur les versions précédentes de Windows) n'est plus supportée. Installation du service pack 1 (Online) Le service pack 1 pour Windows 7 / 2008R2 est référencé dans le document technique KB N'étant distribué que sous forme d'exécutable, nous allons donc procéder à son installation sur le poste de référence. Pour cela, connectez un lecteur réseau vers votre machine physique afin d'accéder aux fichiers du service pack précédemment téléchargés et déposés par exemple dans le dossier "C:\Deploy\DL". (Le dossier DEPLOY est déjà partagé si vous avez effectué l'atelier du scénario 2) Page 94 / 409

96 Chapitre 3 : Préparation du poste de référence NET USE Z: \\ \DEPLOY /USER:Administrateur Pa$$w0rd Exécutez le programme d'installation du service pack, selon l'architecture de machine virtuelle retenue, 32 ou 64 bits: Z:\DL\windows6.1-KB X86.exe ou Z:\DL\windows6.1-KB X64.exe Cliquez sur le bouton "Suivant", laissez la case "Redémarrer automatiquement l'ordinateur" cochée puis cliquez le bouton "Installer" pour procéder à l'installation. Ce processus est particulièrement long Notez qu'il est également possible d'automatiser cette mise à jour en stipulant des commutateurs à la suite du programme d'installation du service pack. (Utilisez "/?" pour afficher ces options) Page 95 / 409

97 Chapitre 3 : Préparation du poste de référence Le commutateur "-X" non documenté, permet d'extraire l'ensemble des fichiers du service pack dans un dossier de votre choix. En théorie, l'intégration du service pack aurait pu se faire ainsi: DISM /Mount-Wim /WimFile:C:\DEPLOY\DVD\sources\install.wim /index:1 /MountDir:C:\DEPLOY\MNT DISM /image:c:\deploy\mnt /Add-Package /PackagePath:C:\SP1 DISM /unmount-wim /mountdir:c:\deploy\mnt /commit Malheureusement, cette procédure ne fonctionne pas pour ce service pack. En fait, en analysant le contenu de quelques fichiers, on pourrait constater que certaines directives, telles que "allowedoffline= false ", semblent interdire formellement l'intégration au sein d'un fichier WIM "Offline". A ce jour, aucun document technique de Microsoft ne commente précisément les raisons de cette contrainte. Installation du service pack 1 (Offline) Une alternative officieuse, non supportée par Microsoft, consiste à utiliser le produit gratuit RT7Lite. (Certains d'entre vous connaissaient peut être déjà son équivalent pour Windows XP dénommé "NLite" ou "VLite" pour Vista) - Ces outils permettent de personnaliser les sources de distribution Windows via une interface graphique (Gestion des pilotes, intégration des mises à jour, service pack, composants Windows, génération de l'iso ) Page 96 / 409

98 Chapitre 3 : Préparation du poste de référence Cet outil est disponible à l'adresse suivante : Version 32 bits : stable/rt_7_lite_win7_vista_x86_sp1.exe Version 64 bits : stable/rt_7_lite_win7_vista_x64_sp1.exe L'utilisation de cet outil requiert l'installation préalable du kit de déploiement WAIK La version RT7Lite Beta Build propose un mécanisme d'intégration du service pack au sein du fichier WIM à partir du fichier de mise à jour "Windows6.1-KB xx.EXE". Page 97 / 409

99 Chapitre 3 : Préparation du poste de référence Bien que très conviviale, cette procédure étant sans garantie Microsoft, nous ne détaillerons pas sa mise en œuvre et nous laisserons le choix de son éventuelle utilisation à votre discrétion. Installation des mises à jour Comme mentionné précédemment, les mises à jour d'un système opérationnel, peuvent être réalisées automatiquement via les services Windows Update et/ou à la demande à partir des packages correspondants. Un package peut être un correctif généralement délivré au format.cab en mode autonome ou une extension des fonctionnalités du système généralement délivré au format.msu. Par défaut cette extension de fichier est associée à l'outil le "WUSA.exe" dénommé "Programme d'installation Windows Update en mode autonome". La nomenclature de noms indique le système concerné (Windows6.x), la référence document technique (KB ) et la plateforme concernée (x86 ou x64) Voici quelques exemples d'extensions des fonctionnalités pour Windows 7 "Windows6.1-KB x86.msu" correspond à "Windows Virtual PC" Windows 7 32 bits " Windows6.1-KB x64-RefeshPkg.msu" correspond aux "Outils d administration de serveur distant" (RSAT) pour Windows 7 64 bits. La mention "RefeshPkg" précise la prise en charge du Service Pack 1" La commande suivante ne renvoie que les correctifs propres au système : WMIC QFE LIST BRIEF La liste complète des packages installés peut être obtenue via la commande : DISM /Online /Get-Packages Vous pouvez obtenir le détail d'un package via la commande : dism /online /Get-PackageInfo /PackagePath:NomDuPackage.cab ou dism /online /Get-PackageInfo /PackageName:IdentitéDuPackage L'identité du package est le nom complet de ce dernier renvoyé par l'option "Get-Package" Page 98 / 409

100 Chapitre 3 : Préparation du poste de référence L'inconvénient majeur de cette technique de gestion en ligne de commande est la quantité des détails renvoyés et les noms complexes affecté aux identités des packages. En effet, un même package peut être constitué de plusieurs "sous-packages" associés ou dépendances. Notez que la désinstallation d'un package donné via l'option "Remove- Package" engendre la désinstallation des packages associés. La liste "simplifiée" des packages "maitres" installés est également disponible dans le panneau de configuration, sous le lien "Mise à jours installées" dans la rubrique "Programmes et fonctionnalités". Vous pouvez également utiliser cette fenêtre pour désinstaller une mise à jour. La gestion des packages au format.cab ou.msu peut être réalisée en ligne de commande : Online Ajouter un package de mise à jour sur le système en cours DISM /Online /Add-package /PackagePath:C:\DEPLOY\PACKS\fichier.CAB ou DISM /Online /Add-package /PackageName Supprimer un package de mise à jour sur le système en cours Page 99 / 409

101 Chapitre 3 : Préparation du poste de référence DISM /Online /Remove-package /PackagePath:C:\DEPLOY\PACKS\fichier.CAB Offline : Effectuez le montage de l'image DISM /Mount-Wim /WimFile:C:\DEPLOY\DVD\sources\install.wim /index:1 /MountDir:C:\DEPLOY\MNT Ajouter le package de mise à jour DISM /image:c:\deploy\mnt /Add-Package /PackagePath:C:\DEPLOY\PACKS Validez les changements DISM /unmount-wim /mountdir:c:\deploy\mnt /commit Attention, cette opération est à renouveler au besoin pour chaque index d'image contenu dans le fichier.wim. Setup L'ajout des packages peut également être réalisé via le fichier de réponse du programme d'installation durant la phase "OfflineServicing" Notez que du fait que les installations automatisées imposent le format.cab uniquement, il est possible d'extraire le contenu d'un fichier.msu via la commande : EXPAND -f:* NomDuFichier.msu DossierDestination L'installation d'un package additionnel par ce mécanisme nécessite que ce dernier soit disponible sur le média de distribution (local ou partage réseau) ou intégré dans l'image.wim Installation d'un pack de langue La génération Windows NT6 a été développée dans un cadre d'indépendance du langage d'utilisation. Autrement dit, les références aux noms (fichiers, dossiers, compte) sont par défaut en anglais et sont ensuite traduits dans la languie d'utilisation du système (localisation). Windows 7 / 2008R2 propose 35 langues On distinguera 2 niveaux de traduction : Page 100 / 409

102 Chapitre 3 : Préparation du poste de référence La langue du système : Définie lors de l'installation - Un pack de langue peut être ajouté à n'importe quelle distribution - Elle s'applique à l'ensemble des utilisateurs de l'ordinateur. La langue d'utilisateur : Ce réglage n'est applicable qu'aux Windows 7 Entreprise et Intégrale, ainsi qu'aux versions "Serveur". Quelques identifiants linguistiques : Langue - Pays Référence ID Décimal French - France Fr-FR C English - United States En-US German Germany De-DE Spanish Spain Es-ES 3082 C0A versions ID Hexa L'ajout d'un pack linguistique peut être réalisé selon 2 techniques suivantes Online : Consiste à installer le pack de langue sur via le panneau de configuration "Installer ou désinstaller des langues d'affichage". Sélectionnez ensuite le support ou le dossier contenant les fichiers "lp.cab" En ligne de commande via DISM à l'instar d'un package. DISM /Online /Add-Package /PackagePath:C:\LangPacks\en-US\lp.cab Page 101 / 409

103 Chapitre 3 : Préparation du poste de référence Offline : Consiste à Installer le pack de langue (lp.cab) dans l'image WIM via DISM Effectuez le montage de l'image DISM /Mount-Wim /WimFile:C:\DEPLOY\DVD\sources\install.wim /index:1 /MountDir:C:\DEPLOY\MNT Ajouter le pack de langue DISM /image:c:\deploy\mnt /Add-Package /PackagePath:C:\LangPacks\en-US\lp.cab Il est également possible de définir la langue par défaut utilisée durant l'installation via la commande DISM /image:c:\deploy\mnt /Set-SetupUILang:en-US Attention, ces opérations sont à renouveler au besoin pour chaque index d'image contenu dans le fichier.wim. Validez les changements DISM /unmount-wim /mountdir:c:\deploy\mnt /commit Le téléchargement des packs des linguistiques peut s'effectuer de plusieurs manières : via les mises à jour automatiques facultatives sur un système opérationnel, uniquement pour les versions Entreprise, Intégrale ou "Serveur" dont la licence est activée (Authentique). Au format.iso (~2,7Go) à partir du site d'abonné Microsoft Technet ou Contrat de licence. Le site public "Microsoft Download Center" ne permet pas d'obtenir ces packs pour Windows 7 mais propose celui de Windows Server 2008 R2 SP1 à l'adresse suivante : 61bd-4a59-aa9d-7a91448f82a8 Le pack linguistique doit être en version égale ou supérieure à la version technique du système (NT 6.x.y) Configuration des fonctionnalités Dans la même logique que les opérations précédentes, il peut être intéressant de personnaliser les fonctionnalités Windows mises par défaut à disposition des utilisateurs. Page 102 / 409

104 Chapitre 3 : Préparation du poste de référence Nous devrons cependant distinguer les fonctionnalités disponibles dans la distribution originale de celles apportées par l'ajout d'un package complémentaire. Notez qu'à l'instar d'un service système, une fonctionnalité originale ne peut être supprimée mais uniquement désactivé. Pour désinstaller une fonctionnalité additionnelle vous devrez supprimer le package correspondant via la commande DISM. Attention aux dépendances. Remarque : La notion de "rôle" utilisée par les versions "serveur" est gérée de la même manière que les fonctionnalités (Feature). L'activation ou désactivation des fonctionnalités peut être réalisée aux niveaux suivants : Online Activer / Désactiver les fonctionnalités (ou rôles) sur un système opérationnel, via l'interface graphique du panneau de configuration Page 103 / 409

105 Chapitre 3 : Préparation du poste de référence via la ligne de commande : Pour énumérer la liste des fonctionnalités disponibles sur le système actuel DISM /Online /Get-Features Pour activer ou désactiver une fonctionnalité (précisez le nom exact de la fonctionnalité) DISM /Online /Enable-Feature /FeatureName:Nom DISM /Online /Disable-Feature /FeatureName:Nom Offline Activer / Désactiver les fonctionnalités dans l'image WIM via DISM Effectuez le montage de l'image DISM /Mount-Wim /WimFile:C:\DEPLOY\DVD\sources\install.wim /index:1 /MountDir:C:\DEPLOY\MNT Enumérez la liste des fonctionnalités disponibles dans l'image montée DISM /image:c:\deploy\mnt /Get-Features Activez ou désactivez une fonctionnalité (précisez le nom exact de la fonctionnalité) DISM /image:c:\deploy\mnt /Enable-Feature /FeatureName:Nom DISM /image:c:\deploy\mnt /Disable-Feature /FeatureName:Nom Validez les changements DISM /unmount-wim /mountdir:c:\deploy\mnt /commit Setup : Activer / Désactiver les fonctionnalités via le fichier de réponse Pour utiliser cette technique, il est fondamental de distinguer les fonctionnalités intrinsèques "Windows Foundation" toujours présentes dans l'image de base, des fonctionnalités apportées par un package additionnel. En effet, celui-ci doit être intégré dans l'image.wim ou disponible sur un point de distribution accessible durant les processus d'installation afin qu'il soit configurable via le fichier de réponse. Page 104 / 409

106 Chapitre 3 : Préparation du poste de référence Détail des fonctionnalités intégrées Sans vouloir détailler chacune des fonctionnalités intégrées, nous souhaitions attirer votre attention sur la pertinence des choix retenus par défaut dans la distribution originale. Ces remarques arbitraires sont purement indicatives et restent à votre appréciation, sachant qu'un administrateur peut à tout moment modifier ces choix une fois le système installé Fonctionnalité Client Telnet Composants Tablet-PC Compression différentielle à distance Fonctionnalités multimédia Internet Explorer Jeux Plateforme Windows Gadget Services XPS Service d'indexation Visionneuse XPS Commentaires Désactivé par défaut, cet outil est pourtant très utile pour les diagnostics réseau Activé par défaut, ce composant n'est généralement indispensable qu'aux ordinateurs disposant d'une dalle tactile. Utilisée par les processus de synchronisation des fichiers hors connexion (Basée sur l'intégrité de bloc élémentaire plutôt que sur l'intégrité du fichier) Plusieurs sous-ensembles tels que le lecteur Windows Media Player, le Media Center ou encore la création de DVD vidéo Le navigateur peut être entièrement désactivé. Attention cependant aux effets de bord liés à l'absence de navigateur web et/ou au support des contrôles Active-X et formats dérivés L'activation de ces fonctionnalités soulève toujours une certaine ambiguïté dans un cadre professionnel Activé par défaut, ce composant offre la possibilité pour un utilisateur de disposer d'un ensemble de miniapplications sur son bureau. N'ayant nullement l'intention de dénigrer cette fonctionnalité, pensez à évaluer les incidences sur le contrôle administratif et les éventuelles surcharges d'affichage et/ou les flux réseaux engendrés. Activé par défaut, ce composant offre la possibilité d'ouvrir, de gérer et d'imprimer des fichiers au format XPS (XML Paper Specification). Imprimante "Microsoft XPS Document Writer" Désactivé par défaut, ce composant assure l'indexation des fichiers NTFS selon la technique utilisée par les versions antérieures de Windows. Ne confondez pas avec la fonctionnalité d'indexation exploitée dans les champs de recherche et les bibliothèques, qui dépendent du service "Windows Search" Ce composant permet d'afficher le contenu des fichiers XPS - Internet explorer est le lecteur par défaut de ce format dont cette fonction est dérivée. Page 105 / 409

107 Chapitre 3 : Préparation du poste de référence Windows Search Activé par défaut, ce composant assure l'indexation des fichiers dans les interfaces d'utilisateur telles que l'explorateur, les bibliothèques et autres champs de recherche. Allié redoutable pour localiser rapidement des outils ou des documents noyés dans la masse, et sachant que le périmètre d'indexation ainsi que le service d'arrière-plan qu'il engendre peuvent être maitrisés et contrôlés, la conservation de cette option est généralement souhaitable sur la plupart des ordinateurs. Détail de la fonctionnalité additionnelle RSAT Nous avons déjà évoqué l'intérêt d'installer les outils d'administration de serveur à distance (également dénommée RSAT), sur un des postes d'un domaine Active Directory et particulièrement lorsque les serveurs utilisent des versions antérieures. Contrairement à son prédécesseur ADMINPAK.msi pour les systèmes antérieurs, l'installation de la fonctionnalité RSAT n'induit aucune disponibilité des composants ajoutés. Autrement dit, aucun raccourci supplémentaire n'est ajouté par défaut dans les outils d'administration. Pour les néophytes sur ce sujet, nous ouvrons donc ce petit aparté afin d'indiquer la procédure à suivre pour bénéficier des outils de gestion Active Directory 1 / Télécharger RSAT Le complément RSAT pour Windows 7 peut être téléchargé gratuitement à partir de l'adresse suivante : Version 64 bits : Windows6.1-KB x64-RefreshPkg.msu Version 32 bits : Windows6.1-KB x86-RefreshPkg.msu 2 / Installer RSAT Procédez à l'installation du package approprié à l'architecture processeur du système. Acceptez le contrat de licence puis fermez la fenêtre d'aide à la fin du processus d'installation. 3 / Activer les outils Page 106 / 409

108 Chapitre 3 : Préparation du poste de référence A partir de menu "Démarrer", utiliser le champ de recherche ou exécutez la commande "APPWIZ.cpl", puis cliquez sur le lien "Activer ou désactiver les fonctionnalités Windows" du panneau de configuration Recherchez l'entrée "Outils d'administration de serveur distant" Développez l'arborescence afin de cocher les cases suivantes : "Outils de gestion des stratégies de groupe" (GPMC.msc) "Composants logiciels enfichables et outils de ligne de commande AD DS" Cliquer sur le bouton "OK" pour procéder à l'activation. Un redémarrage de l'ordinateur peut être requis. Remarque : Le classement des outils et les noms utilisés ne sont pas rigoureusement identiques entre ces fonctionnalités intégrées sur Windows Server 2008 R2 et la configuration de RSAT sur un poste de travail. Ces outils sont dorénavant disponibles dans les outils d'administration du panneau de configuration. Vous pourrez les solliciter (dans le cadre d'un domaine) à partir du champ recherche ou en modifiant vos préférences du menu "Démarrer" afin d'y afficher l'entrée "Outils d'administration" Page 107 / 409

109 Chapitre 3 : Préparation du poste de référence Astuce : Pour exécuter un programme ou une console d'administration avec un compte différent de votre session principale, utiliser la combinaison "MAJ" + "clic droit", puis "Exécuter en tant qu'autre utilisateur" Les pilotes de périphériques La gestion des pilotes de périphérique est un point majeur du déploiement directement lié aux matériels composants votre parc informatique. Précisions sur la définition d'un pilote Ce que nous entendons par "pilote de périphérique" est en fait une structure de fichier composée à minima d'un fichier.inf. Le contenu est ensuite très variable en fonction du périphérique, et inclure des fichiers.sys,.pnf,.dll, etc. Il convient également de préciser qu'une distribution de pilote constructeur peut être mixte ou liée à une plateforme 32 ou 64 bits. Les distributions de pilotes au format exécutable incluent parfois des outils complémentaires, et ne seront pris en charge par les techniques que nous allons évoquer. Toutefois, de manière générale, ce genre d'exécutable est en réalité un packaging de fichier pouvant être extrait dans un répertoire temporaire exploitable. Page 108 / 409

110 Chapitre 3 : Préparation du poste de référence La signature des pilotes Depuis longtemps, Microsoft encourage l'utilisation de pilotes signés numériquement. La validation des tests fonctionnels par le centre de qualification fonctionnelle des pilotes Windows (Windows Hardware Quality Lab) ne constitue pas l'unique intérêt, et la présence d'une signature numérique garantit implicitement que le pilote n a subi aucune altération, depuis son émission sur le marché. Depuis Vista, Microsoft impose la signature des pilotes sur les versions 64 bits de ses systèmes. La signature d'un pilote doit provenir d'un certificat Microsoft ou d une autorité de certification participant au programme SPC (Software Publishing Certificate). Cette stratégie légitime permet de préserver l'intégrité du noyau d'un système Bien que déconseillé, et peu pratique, il existe une méthode permettant d'inhiber ponctuellement cette protection. Pour cela, vous devez ouvrir une invite de commande en mode Administrateur puis tapez la commande suivante : Bcdedit /set nointegritychecks on C:\Windows\system32> Bcdedit /set nointegritychecks on L opération a réussi. Redémarrez ensuite l'ordinateur puis sollicitez le mode diagnostic en appuyant sur la touche [F8]. Dans le menu affiché, sélectionnez "Désactiver la vérification de la signature des pilotes" Cette action est à effectuer à chaque démarrage du système. Pour plus d'information à ce sujet, reportez-vous au guide fournit sur le site Technet de Microsoft.: "Guide pas à pas d installation et de gestion des Page 109 / 409

111 Chapitre 3 : Préparation du poste de référence périphériques : Signature et copie intermédiaire de pilotes de périphériques dans Windows 7 et Windows Server 2008 R2" à l'adresse suivante: Le mécanisme de gestion des pilotes Depuis Windows NT6, l'intégralité des pilotes est stockée dans un "magasin de confiance" situé dans le dossier "%windir%\ system32\driverstore". Ces pilotes sont référencés dans le fichier "drvindex.dat" mais les fichiers composants chaque pilote sont rangés au sein d'un sous-dossier qui leur est propre, dans le sous-dossier "FileRepository". Vous pourriez énumérer l'ensemble des pilotes par la commande suivante et constater la quantité impressionnante de pilotes disponibles DIR %windir%\system32\driverstore\filerepository /S Pour énumérer fichiers composants un pilote donné, vous pourriez afficher le contenu du dossier correspondant via la commande suivante : C:\>dir %windir%\windows\system32\driverstore\filerepository\1394.inf_a md64_neutral_0b a76 /b 1394.inf 1394.PNF 1394bus.sys 1394ohci.sys ohci1394.sys C:\> Bien que le nom du sous-dossier débute par le nom du fichier.inf la complexité du nom complet reste délicate à gérer. Pour identifier les pilotes additionnels, sur un système installé, utilisez l'une des commandes suivantes PNPUTIL -e DISM /online /Get-Drivers Contrôler l'installation des périphériques Pour installer un pilote en mode noyau, il est nécessaire d'être administrateur de l'ordinateur. Toutefois, les pilotes disponibles en téléchargement automatique sur le site Windows Update ainsi que les chemins de recherche indiqués dans la clé de registre "HKLM\Software\Microsoft\Windows\CurrentVersion\DevicePath " sont assimilés au magasin de confiance. Autrement dit, un utilisateur standard peut utiliser tout périphérique dont le pilote signé correspondant a été provisionné ou est disponible dans l'un des magasins de confiance. Pour restreindre, ou étendre l'utilisation de certains périphériques, vous aurez plusieurs hypothèses : Retirer le(s) pilote(s) du magasin de confiance (Sous réserve que cela soit possible - cas des pilotes complémentaires) Page 110 / 409

112 Chapitre 3 : Préparation du poste de référence Contrôler l'utilisation des périphériques via les stratégies de groupe selon leur classe ou leur identifiant. Ces réglages sont disponibles dans l'éditeur de stratégie de groupe au niveau des rubriques suivantes : - "Configuration Ordinateur Modèles d'administration Système Installation de périphériques" - "Configuration Ordinateur Modèles d'administration Système Installation de pilotes" Interdire le téléchargement des pilotes complémentaires sur le site "Windows Update" via les stratégies de groupe Modifier les chemins de recherche de pilotes dans le registre ou le contenu de ces dossiers locaux ou centralisés sur un serveur. Cette opération peut être réalisée en amont sur le poste de référence, ou en aval via un script ou plus simplement via une "préférence de stratégies de groupe" (cf KB943729) Extraction des pilotes tiers Les constructeurs fournissent généralement leurs pilotes spécifiques sur un média type CD-Rom lors de la livraison du matériel et sur leur site web de support technique. La récupération de ces pilotes est souvent longue et délicate en fonction du format de distribution et de référencement propre au constructeur. (Fichiers exécutables, Références des matériels) De plus, pour un matériel donné, le constructeur propose parfois une distribution globale intégrant plusieurs modèles ou déclinaisons de gamme de ce produit. Le surcroit de volumétrie engendré par ces fichiers inutiles, risque à terme, d'être préjudiciable au niveau de la taille des images de référence. Une technique empirique consisterait à copier chaque répertoire de pilote correspondant aux noms renvoyés par les commandes d'énumération. Afin d'éviter cette tâche fastidieuse, vous pouvez vous procurer l'outil graphique tel que "DriverBackup!" téléchargeable à l'adresse suivante : /DrvBK_21_Rev5.rar/download Cet outil gratuit et autonome (ne nécessite pas d'installation) est délivré au format.rar qui n'est pas pris en charge nativement par Windows 7. Vous pouvez cependant utiliser le gestionnaire d'archives "7-Zip" que nous avons déjà évoqué au sujet des fichiers.wim. Pour l'utiliser, il suffit d'extraire la totalité de l'archive.rar vers un répertoire quelconque, ou une clé usb, puis d'exécuter le programme "DrvBK.exe". Modifiez éventuellement la langue d'affichage, puis cliquez sur le bouton "3ème partie" afin d'afficher uniquement les pilotes additionnels. Page 111 / 409

113 Chapitre 3 : Préparation du poste de référence Cliquez sur le bouton "Démarrer Backup" pour ouvrir le fenêtre de sauvegarde puis après avoir défini les différentes options, dont le chemin de la sauvegarde, cliquez sur le bouton "Démarrer Backup!" Page 112 / 409

114 Chapitre 3 : Préparation du poste de référence Cliquez sur le bouton "OK" puis sur le menu "Quitter DriverBackup!". Le dossier indiqué lors de la sauvegarde contient une structure de répertoire incluant les fichiers de chaque pilote. Ajouter / provisionner un pilote "En ligne" L'ajout d'un pilote sur le système installé s'effectue traditionnellement par un administrateur via le "Gestionnaire de périphérique" ou "DEVMGMT.msc". Note : Depuis Windows 7, le gestionnaire de périphérique offre la possibilité d'ajouter un pilote d'ancienne génération, tel Windows XP ou plus génériquement pour un périphérique non détecté par les mécanismes "Plug and Play". Bien que cette solution ne soit pas totalement garantie, elle offre une alternative de dernier recours lorsque le constructeur ne fournit pas de pilote plus récent. Pour effectuer cette opération au niveau du gestionnaire de périphérique, sélectionnez le nom de l'ordinateur à la racine de la console, puis utilisez le menu 'Action Ajouter un matériel d'ancienne génération" ou le menu contextuel, puis laissez-vous guider par l'assistant. Page 113 / 409

115 Chapitre 3 : Préparation du poste de référence Sur le système installé, il est également possible d'installer ou provisionner le magasin de pilote en ligne de commande Pour ajouter un pilote précis: PNPUTIL -a a:\usbcam\usbcam.inf Ou pour ajouter un ensemble de pilotes PNPUTIL -a c:\drivers\*.inf L'outil DISM permet d'énumérer les pilotes installés mais ne permet d'ajouter un pilote sur le système en cours. Ajouter / provisionner un pilote "Hors Ligne" Il est possible d'ajouter des pilotes ou provisionner le magasin d'une image WIM en procédant comme suit : Pensez à vérifier l'architecture (x86 ou x64) de l'image DISM /Get-WimInfo /WimFile:C:\DEPLOY\DVD\sources\install.wim /index:1 findstr Architecture Effectuez le montage de l'image DISM /Mount-Wim /WimFile:C:\DEPLOY\DVD\sources\install.wim /index:1 /MountDir:C:\DEPLOY\MNT Ajouter un pilote spécifique DISM /image:c:\deploy\mnt /Add-Driver /DriverPath:C:\DEPLOY\DRV\Pilote.INF Ajouter un ensemble de pilotes DISM /image:c:\deploy\mnt /Add-Driver /DriverPath:C:\DEPLOY\DRV /RECURSE Bien que cela soit déconseillé et bloquant pour les versions 64 bits (cf Signature des pilotes), il est possible d'installer un pilote non signé via la commande suivante : Ajouter un pilote non signé DISM /image:c:\deploy\mnt /Add-Driver /DriverPath:C:\DEPLOY\DRV\Pilote.INF /ForceUnsigned Validez les changements DISM /unmount-wim /mountdir:c:\deploy\mnt /commit Attention, ces opérations sont à renouveler au besoin pour chaque index d'image contenu dans le fichier.wim. Cette possibilité est à confronter au nettoyage des pilotes additionnels réalisé par défaut lors de l'exécution de la commande "Sysprep" que nous détaillerons plus tard. Page 114 / 409

116 Chapitre 3 : Préparation du poste de référence Disponibilité des pilotes lors du déploiement Dans le cadre de la présentation de WinPE, nous avons mis en exergue le fait d accorder une attention particulière à certains pilotes de périphériques cruciaux. En effet, dans un cadre d'exploitation préliminaire, en l'occurrence la phase de préparation d'une installation à partir de WinPE, on distinguera les classes de pilotes suivantes : Les pilotes de stockage - contrôleur disque dur (Mass Storage) Les pilotes de composants électroniques intégrés (Chipsets) Les pilotes de carte réseau Les pilotes de carte vidéo A intégrer dans l'image de démarrage WinPE. Nom générique Classe Commentaires Mass Storage DiskDrive Lecteurs de disque dur Mass Storage HDC Contrôleurs disques ATA/ATAPI Mass Storage SCSIAdapter Contrôleurs disques SCSI et RAID Chipset System Composants électroniques intégrés de type HAL, North/South Bridges, ACPI, System Bus Network Adapter Display Adapters Net Display Adaptateurs de carte réseau Adaptateurs de carte vidéo. (Dans une moindre mesure, sous réserve de support du mode VGA Standard) Pour plus d'information, vous pouvez retrouver la liste normalisée des classes et identifiants de périphérique, à l'adresse suivante : Durant les phases de tests, rappelez-vous qu'il est très facile d'évaluer l'efficacité d'un pilote, en déposant la structure.inf du périphérique en question sur une simple clé USB (reconnue dynamiquement par WinPE) puis de valider la pertinence du pilote avec l'outil intégré "DRVLOAD". L'installation des périphériques complémentaires s'effectue automatiquement lors de la détection "plug and play" du démarrage ou manuellement en cas d'indisponibilité du pilote durant cette phase. N'oubliez pas de distinguer les pilotes 32 ou 64 bits en fonction des plateformes installées - De plus les pilotes x64 doivent être obligatoirement signés sous peine d'être ignorés lors du démarrage du système. (Mode diagnostic [F8]) Page 115 / 409

117 Chapitre 3 : Préparation du poste de référence Il est possible de stipuler des emplacements de recherche des pilotes dans un fichier de réponse. Cette technique présente l'avantage de ne pas alourdir les images de référence et offre une meilleure maintenabilité. La console des services de déploiement Windows 2008 R2, que nous détaillerons dans un autre chapitre, propose une interface graphique de gestion des packages de pilotes. Lors d'une installation via WDS, ces emplacements sont automatiquement disponibles durant le processus de déploiement Installation des applications Cette partie n'est traitée qu'à titre d'illustration des problématiques potentielles liées au déploiement d'application, et reste entièrement à votre appréciation selon vos contraintes et vos besoins. En effet, l'intégration des applications dans l'image de référence peut présenter un intérêt de rapidité d'installation. En revanche, il faut prendre en considération la maintenabilité de l'image lorsque ces applications évoluent. Nous souhaitions simplement attirer votre attention sur le fait que la taille de l'image de référence peut constituer un handicap important lors d'un déploiement via le réseau. Il faut donc faire des choix en conséquence entre l'intégration au sein de l'image WIM, l'enchainement en fin d'installation du système ou le déploiement à la demande via les stratégies de groupe. Pour faire court, la gestion des applications est un sujet complexe et qui influence considérablement les projets de déploiement. Parmi les nombreux facteurs à traiter, nous allons simplement évoquer 2 fondamentaux : Le packaging et capacités d'installation automatisés La compatibilité applicative Le packaging des applications Couramment appelée "Post-installation", cette hypothèse consiste à installer les applications à la suite de l'installation du système. Afin d'éviter l'intervention d'un technicien d'installation, il est souhaitable que les packages d'applications supportent l'installation sans assistance, mais il faudra également prévoir l'enchainement de ces processus. L'association d'un fichier de réponse au programme d'installation Windows permet d'effectuer ces ouvertures de session automatisées à partir d'un compte administrateur. Au besoin, reportez-vous au chapitre suivant pour de plus amples explications sur le mécanisme "Autologon" d'un fichier de réponse. La seconde approche, sous réserve d'intégrer un domaine Active Directory, consiste à déployer les applications "à la demande" via les stratégies de groupe, en ciblant les postes et/ou les utilisateurs. Grace à cette technique d'installation, un utilisateur standard n'a pas recours à des privilèges élevé pour bénéficier de l'application. Cependant, l'éditeur doit fournir les packages d'applications au format.msi. En effet, les stratégies de groupe de niveau "Utilisateur", sont en mesure de distribuer des packages d'application de bas niveau ZAW (.zap), contenant les directives d'installation d'un programme exécutable. Toutefois, ce mécanisme s'appuie sur le niveau de privilège de la session Utilisateur rarement suffisant pour que l'installation arrive à son terme. Page 116 / 409

118 Chapitre 3 : Préparation du poste de référence Notez que les stratégies de groupe sont en mesure de gérer les dépendances (chainage de MSI) et/ou les mises à jour (Transformation.MST) Précisions sur la technologie MSI Ce genre de package s'appuie sur le service système "Windows Installer" et peut être installé via la commande "MSIEXEC". Cette technologie présente également l'avantage de garantir une désinstallation fiable de l'application ou une réparation de celle-ci. Lors d'une installation en ligne, la technologie peut créer un point de restauration système afin de restaurer l'état initial en cas de problème. Parmi les nombreuses options possibles, voici un exemple d'installation automatisée d'une application.msi. MSIEXEC /i "application.msi" /qn On distingue plusieurs types de fichiers relatifs à cette technologie : Format.MSI.MST.MSP Description Autonome (standalone) : Package d'installation d'application composé d'un fichier.msi unique contenant à la fois les directives d'installation et les fichiers composants l'application Directives seules : Composé d'un fichier.msi contenant les directives d'installation et d'un ensemble de fichiers (.CAB ou dossier) composants l'application Transformation : Permet de changer les choix ou options par défaut d'une installation sans modifier la source.msi à laquelle il est toujours associé. Par exemple : MSIEXEC /i "application.msi" TRANSFORMS="fichier.MST" /qn Correctif d'ensemble (Service Pack) : Package de mise à jour partielle ou totale d'une application. Par exemple : MSIEXEC /i "correctif.msp" REINSTALL=ALL ou MSIEXEC /i "correctif.msp" REINSTALLMODE=oums (Le détail des options de "REINSTALLMODE" est détaillé à l'adresse suivante: La liste des applications installées sur un système via "Windows Installer" peut être obtenue par la commande suivante : WMIC PRODUCT GET NAME, DESCRIPTION Les difficultés commencent donc lorsque l'éditeur ne fournit pas son application sous un format compatible avec "Windows Installer". Page 117 / 409

119 Chapitre 3 : Préparation du poste de référence Il est parfois suffisant d'étudier attentivement le mécanisme d'installation manuelle, pour découvrir que l'exécutable génère un répertoire temporaire contenant les fichiers du programme ainsi qu'un fichier de directive.msi (eg. Acrobat Reader) - Dans ce cas, il vous suffira de récupérer l'intégralité de ce dossier pour bénéficier d'un packaging compatible avec les stratégies de groupe ou les installations automatisées. Ce n'est malheureusement que trop rarement possible, et devrez alors vous retranchez vers une installation manuelle, intégrée ou non dans l'image de référence, à moins d'étudier une solution de "Packaging.MSI". De nombreux logiciels spécialisés, payants ou gratuits offrent cette capacité mais il faut être conscient que cette approche à ses limites: - Maitriser la structure et le langage intrinsèque lors de l'édition d'un package - Maitriser les dépendances afin de déclarer les prérequis de l'application Créer un package de toute pièce est donc une affaire de spécialiste mais certains outils spécialisés proposes des techniques de création simplifiées via un mécanisme de capture, parfois dénommé "snapshot". Cette approche consiste à "photographier" l'état du système (fichiers, registre, etc.) à partir de l'outil de packaging afin de conserver une empreinte de l'existant. Vous procédez ensuite à l'installation de l'application ou tout autre opération de personnalisation manuellement et normalement. Une fois cette étape achevée, relancez l'outil de packaging afin de procéder à l'analyse différentielle, qui s'achève par la création du fichier.msi. Notez que cette technique de génération peut présenter quelques limites. Par exemple, les installations d'application en plusieurs phases nécessitant un redémarrage intermédiaire, n'est pas implicitement détectée et peu engendrer un package peu fiable ou instable (ie : Remplacement des fichiers en cours d'utilisation). En règle générale, il est conseillé de toujours débuter une génération de package à partir d'une base de configuration connue (typiquement une image de référence) et d'éviter toute opération superflue de configuration Du fait que d'un grand nombre de produit, et de l'effervescence de ce marché, (rachats, changements d'éditeur, limitations des versions gratuites, obsolètes, etc.. ) nous ne citerons que quelques solutions susceptibles d'évoluer et sans aucun engagement de disponibilité publique, ni de gratuité : Nom du produit Editeur / Distributeur Description ORCA Microsoft Outil d'édition de fichiers.msi Install Tailor Wize Solutions Générateur de fichiers de transformation.mst WinInstall LE OnDemand Outil d'édition de fichiers.msi + "Discover" pour la génération de package.msi par différentiation (snapshots) Advanced Installer Caphyon Outil d'édition de Page 118 / 409

120 Chapitre 3 : Préparation du poste de référence Free AppDeploy Repackager AppDeploy.com / Dell Kace création de package.msi. + "Repackager Wizard" pour la génération d'un package.msi par différentiation Outil de génération de package.msi par différentiation Pour de plus amples informations en matière de création et de gestion des packages basés sur la technologie "Windows Installer", vous pouvez obtenir des précisions et liens complémentaire vers des solutions tierces à l'adresse suivante : (en anglais) La compatibilité applicative La compatibilité applicative est sans nul doute l'aspect le plus délicat d'un projet de migration et de déploiement. Certaines études peuvent aboutir dans des impasses, ou recourir à des solutions de contournement particulières. Nous allons donc simplement indiquer quelques pistes d'investigation laissées à votre appréciation. - UAC : (Détails en annexe) - Depuis Vista, Microsoft a introduit la notion du moindre privilège lors de l'exécution des programmes. Ce mécanisme, connu sous le nom de "Contrôle de compte utilisateur" (User Account Control) consiste à limiter une exposition excessive ou systématique des privilèges associés au jeton d'accès d'un utilisateur. Autrement dit, lorsqu'un programme exécuté par un utilisateur standard tente d'écrire dans les zones protégées du système (registre HKLM, dossiers "Windows" et "Program Files"), un échec se produit. Si l'application est "consciente" de cette contrainte, l'utilisateur est invité à écrire dans ses espaces personnels. En revanche, l'application ignore cette contrainte, le contrôle de compte génère un "VirtualStore" faisant croire à l'application que la modification est effective. Les applications potentiellement sujettes à la création d'un "virtualstore" sont facilement localisables via le gestionnaire des taches. Pour cela, exécuter l'application avec un compte équivalent administrateur (donc soumis à l'uac) puis ouvrez le gestionnaire des taches et cliquez éventuellement sur le bouton "Afficher les processus de tous les utilisateurs". Sous l'onglet "Processus" utilisez le menu "Affichage Sélectionner des colonnes " puis cochez la case "Virtualisation du contrôle de compte utilisateur" et cliquez sur le bouton "OK" Page 119 / 409

121 Chapitre 3 : Préparation du poste de référence Dans cette nouvelle colonne, les processus marqués "Activé" seront potentiellement concernés par la redirection des échecs d'écriture (création de "Virtualstore" le cas échéant), alors que les processus estampillés "Désactivé" indiquent qu'ils sont compatibles et respectent les contraintes d'écriture dans zones protégées du système. Au besoin, ils invitent l'utilisateur à enregistrer la modification dans ses dossiers personnels. Au besoin, pour éviter cet effet de bord, il vous suffit d'octroyer aux utilisateurs standards, les droits d'écriture sur les fichiers, les dossiers ou les clés de registre concernés. Pour connaitre ou vérifier le contenu du "virtualstore" vous pouvez en énumérer le contenu via les deux commandes suivantes : DIR %LOCALAPPDATA%\VirtualStore REG QUERY HKCU\Software\Classes\VirtualStore Vous pouvez également utiliser l'explorateur Windows et l'éditeur graphique de registre (Regedit) pour gérer ce contenu et surtout pour modifier les autorisations. Le comportement de base de l'uac peut être défini localement au niveau du panneau de configuration "Modifier les paramètres du contrôle de compte utilisateur" via un simple curseur. Page 120 / 409

122 Chapitre 3 : Préparation du poste de référence Ou de manière affinée via les paramètres de sécurité des stratégies de groupe : Ces réglages influencent directement les privilèges d'utilisation et doivent donc être étudiés et adaptés aux situations. En effet, le contrôle de compte d'utilisateur permet d'éviter l'exposition systématique de privilèges élevés pour un administrateur potentiel mais peut constituer une difficulté pour la configuration et la maintenance d'un ordinateur. Autrement dit, les valeurs par défaut sont adaptées lorsqu'un utilisateur standard est membre du groupe des administrateurs pour des raisons applicatives, ou utilise ponctuellement ces privilèges. Les techniciens de maintenance, peuvent alors utiliser le compte d'administrateur intégré si ce dernier est réactivé. Dans le cas où les privilèges d'utilisateur standard sont suffisants, vous pouvez également modifier ces réglages afin qu'aucun membre du groupe Administrateurs ne soit limité par l'uac. - PCA : Pour préserver l'intégrité de son système, Microsoft a introduit dans Windows 7, un mécanisme de détection des risques d'incompatibilité applicative dénommé "Program Compatibility Analysis" (PCA) et se manifeste lors de l'exécution d'un programme: Page 121 / 409

123 Chapitre 3 : Préparation du poste de référence. Soit par un blocage explicite du programme d'installation (incompatibilité constatée et reconnue). Soit par une proposition de réinstallation avec les paramètres recommandés. Soit lors de l'exécution d'un programme installé. Notez que dans ce dernier cas, le système propose de démarrer l'"utilitaire de résolution des problèmes de compatibilité". En fait, cet assistant propose d'essayer les réglages plus adaptés dans l'onglet de "compatibilité" du programme incriminé. Le comportement de ce mécanisme de détection peut être configuré au niveau des stratégies de groupe : Page 122 / 409

124 Chapitre 3 : Préparation du poste de référence - ACT : Depuis Windows 2000, Microsoft alimente une boite à outils, dénommée Application Compatibility Toolkit" (ACT), chargée de recenser les compatibilités applicatives. Un lien direct de téléchargement est proposé dans la page d'accueil du WAIK ("startcd.exe"). Pour tester une application via un mécanisme d'exécution surveillé, vous serez invité à télécharger gratuitement l'outil complémentaire "Application Vérifier" à moins que ce dernier ait été installé préalablement. Les 3 axes de test portent sur la compatibilité du programme d'installation, l'exécution de l'application avec un compte d'utilisateur standard et la compatibilité avec le navigateur Internet Explorer. Les correctifs produits par cet outil, nommés "SHIM" ("cales de jeu fonctionnel"), doivent ensuite être installés sur les postes concernés via l'outil "sdbinst.exe". Ces correctifs chirurgicaux sont très proches de ce que propose l'onglet de compatibilité disponible au niveau des propriétés d'un programme ou d'un raccourci. Bien que limité, leur implémentation est parfois suffisante pour assurer le fonctionnement d'une application. Notez que les outils gratuits "Process Monitor" ou "Process Explorer" de Microsoft (ex Sysinternals) constituent un excellent moyen d'investigation pour les techniciens avertis (et courageux). En fait, la compatibilité applicative se heurte souvent à des contraintes de sécurité, et ces outils permettent de visualiser et d''analyser dynamiquement l'ensemble des ressources qu'une application ou un processus sollicitent. Cet outil n'a pas pour vocation de résoudre toutes les incompatibilités applicatives de l'éditeur ayant éprouvé le fonctionnement de son application pour une version antérieure de Windows. Dans ce cas, il vous faudra opter pour des solutions plus lourdes, telles que la virtualisation du poste via le "mode XP", ou son équivalent Entreprise (MED-V) associé à un contrat d'assurance Microsoft (MDOP). La virtualisation d'application via APP-V (Dépendant également de l'offre MDOP) ou encore la publication d'application RDP via les serveurs de terminaux (RDS -ex Tse) peut parfois constituer une alternative plus viable. Quoi qu'il en soit, et malgré les efforts de Microsoft en ce domaine, aucune solution ne peut garantir la portabilité d'une application sur un système pour lequel elle n'a pas été conçue. - WoW : Windows On Windows : Bien connu des techniciens expérimentés, ce nom étonnant désigne simplement la capacité de Windows NT exécuter des programmes dont le niveau de compilation binaire est inférieur à celui du Page 123 / 409

125 Chapitre 3 : Préparation du poste de référence système principal (on parle alors de "sous-système"). Il est possible de repérer ces processus de degré secondaire via le gestionnaire des taches (en mode administrateur). Sur un système 32 bits, l'exécution des binaires 16 bits est signalée par la présence d'un processus "NTVDM.exe" (NT Virtual DOS Machine) et du processus "WOWEXEC.exe" associé au binaire en question. Sur un système 64 bits, l'exécution des binaires 32 bits est indiquée par la présence d'un suffixe " *32" concaténé au nom du binaire en question. En revanche, aucune application exploitant le moindre programme ou binaire 16 bits, ne pourra fonctionner sur un système 64 bits. - XP Mode (Détails en annexe) Pour les éditions Professionnelle, Entreprise et Intégrale de Windows 7, Microsoft propose un palliatif dénommé XP Mode. Son principe repose sur l'utilisation d'une machine virtuelle Windows XP sp3 hébergée par la fonctionnalité additionnelle "Windows Virtual PC". Grace à un mécanisme de publication automatique, les applications installées dans cette machine virtuelle, peuvent être sollicités directement à partir de raccourcis présents sur la machine physique. Bien que dérivée d'un bureau à distance, seule le cadre de l'application est visible sur le bureau de Windows 7. (Proche de la technologie "RemoteApp" de Windows Server 2008/R2) - Autres solutions : Dans certains cas, la compatibilité des applications peut être assurée par un mécanisme de "Virtualisation d'application". Cette technique consiste à séquencer (analyser ces actions et ses besoins) une installation d'application afin de créer un package spécial qui sera ensuite exécuté dans un contexte virtuel isolé du système. (Que l'on désigne souvent par le terme de "bulle" d'application virtuelle) Dans le cadre d'un contrat de Software Assurance - Microsoft Desktop Optimisation Pack", vous pouvez bénéficier du produit "App-V" parmi les nombreux outils composant cette offre payante. Notez que des produits gratuits, tels que "Cameyo" ou "Sandboxie" sont également capables d'exploiter ces mécanismes d'isolation pouvant ainsi répondre à certaines contraintes applicatives. Les principaux acteurs de la virtualisation proposent également des solutions similaires (Vmware Thinapp, Citrix Xenapps, Novell ZAV ). 3. Préparation du poste maitre (sysprep) 3.1. Le poste de référence : Toute installation passe par "sysprep" Dans ce chapitre nous avons vu comment installer une distribution Windows 7 sans passer par l'assistance du programme d'installation original. Toutefois, il peut s'avérer nécessaire de finaliser cette configuration par l'ajout de pilotes additionnels pour les périphériques non reconnus (OEM). Ensuite, l'ajout d'un tronc commun d'applications peut constituer un souhait d'entreprise et enfin le profil d'environnement utilisateur par défaut peut être modifié. La mise en conditions de distribution passera ensuite par l'outil de préparation" SYSPREP". Cet outil, fait dorénavant partie intégrante du Page 124 / 409

126 Chapitre 3 : Préparation du poste de référence système depuis Vista. Il est conseillé de l'utiliser avant de procéder à un changement de matériel et impératif pour les processus de clonage (Régénération de l'identifiant unique du poste "SID") Rappel : Historiquement, l'outil "sysprep" existe officiellement depuis Windows L'outil a pour but de "nettoyer" (ou "dépersonnaliser") le poste avant d'en dupliquer des copies en production. Cependant sur les générations précédentes, l'utilisation de sysprep engendrait une "mini-installation" sans détection fondamentale des périphériques et conservait donc une dépendance forte avec le matériel de référence. Ceci impliquait d'utiliser une installation traditionnelle, beaucoup plus longue, via les programmes "winnt.exe" ou "winnt32.exe". Sachant que cette technique se limitait à l'installation du système uniquement, sans prendre en charge le paramétrage d'applications complémentaires, les entreprises devaient décliner les images de référence en fonction des modèles d'ordinateurs composant leur parc informatique. La grande nouveauté de la génération NT6, est qu'il n'existe plus qu'un seul processus d'installation, c est-à-dire "SYSPREP". Autrement dit, les distributions officielles sont conditionnées de la même manière et la dépendance matérielle est levée suite à son exécution. Pour vous en convaincre, vous pouvez préparer vos postes de référence dans un environnement virtuel, puis déployer les images obtenues sur des ordinateurs physiques ou virtuels. Jusqu'à présent, nous nous sommes contenté de l'outil DISM livré en standard et nous n'avons pas encore abordé en détail le kit déploiement (WAIK), conseillé pour la conception et l'extraction de fichier.wim et impératif pour l'édition de fichier de réponse. Schéma simplifié d'un processus de clonage Page 125 / 409

127 Chapitre 3 : Préparation du poste de référence Utilisation de l'outil de préparation SYSPREP Comme nous l'avons signalé à plusieurs reprises, l'utilisation de l'outil SYSPREP constitue l'ultime étape de préparation d'un système NT6, pour lequel vous envisagez une "réinstallation". Contrairement aux systèmes précédents, depuis Vista, cet outil est invariablement intégré dans le dossier "C:\windows\system32\sysprep" et bien que la finalité soit similaire, ce nouvel outil épuré, expose très peu d'options. Outil sysprep v2.0 (Windows XP) Page 126 / 409

128 Chapitre 3 : Préparation du poste de référence Outil sysprep v3.14 (Windows NT6) Ces outils sont utilisables au format graphique (exécution sans paramètre) ou en ligne de commande. Remarque : Contrairement à la version précédente, le nouvel outil sysprep n'utilise pas de fichier de réponse par défaut (anciennement C:\sysprep\sysprep.inf). Dans ce cas, il est donc impératif de stipuler le nom du fichier de réponse dans la ligne de commande. Vous remarquerez que le fichier de réponse sera également préservé après l'installation, et que les zones sensibles (mots de passe, clé de licence ) contenues dans celui-ci seront effacées. Nous de développerons le mode "Audit" principalement réservé aux fabricants et intégrateurs de PC. Ce mode de préparation particulier permet d'effectuer des opérations préliminaires (configuration usine) avant la livraison. De fait, vous constatez qu'il ne reste qu'un seul choix dans la liste déroulante "Action de nettoyage du système", "Entrer en mode OOBE (Out-of-box Experience". Cette action réalise de nombreuses opérations de nettoyage au sein des zones liées à l'utilisation du système tels que la purge de la corbeille, des fichiers récents (MRU), les profils et certificats utilisateurs, etc. La licence d'utilisation (clé produit) et l'activation sont également réinitialisées. En revanche, hormis la désactivation du compte d'administration intégré, les comptes d'utilisateurs locaux sont préservés et la configuration machine est maintenue. La case à cocher "Généraliser" est fondamentale. En effet, lorsque celle-ci est cochée, l'outil sysprep "dépersonnalise" l'ordinateur. Il nettoie et réinitialise de nombreux paramètres dont l'identifiant local de sécurité (Security IDentifier) de la machine. SID Mythe ou réalité? L'identifiant unique d'ordinateur est sujet à de nombreuses controverses Il est vrai que l'identifiant en question est propre à l'ordinateur ("local SID") et la probabilité de conflit est pratiquement nulle. En fait, les identifiants d'ordinateur généralement stockés dans les listes de contrôle d'accès (Access Page 127 / 409

129 Chapitre 3 : Préparation du poste de référence Control List).et utilisés pour les besoins de l'authentification Kerberos sont générés par les contrôleurs de domaine lors de l'adhésion, qui en garantissent l'unicité. Hormis pour les serveurs, tels que les clusters, l'identifiant local est donc rarement utilisé pour les besoins de sécurité d'un poste de travail. En théorie, l'identifiant local de l'ordinateur devrait garantir l'unicité de la base de compte SAM d où sont issus les comptes d'utilisateur "BaseDeComtes\Utilisateur" tel que l'indique la commande "WHOAMI". Toutefois, pour des raisons de simplicité, au sein d'un groupe de travail, le protocole d'authentification NTLM se contente d'un nom réseau ou d'une adresse IP pour identifier un ordinateur. Quoi qu'il en soit, il s'agit de l'unique procédure garantie par Microsoft, à l'instar d'une installation traditionnelle. L'outil NEWSID (ex sysinternals) n'est officiellement plus supporté par Microsoft pour les systèmes NT6. En résumé, lorsque vous vous apprêtez à dupliquer l'ordinateur (cas d'une image de référence - "Master"), vous devez impérativement cocher cette case "Généraliser" Nous reviendrons sur les "phases" de configuration lors des explications sur les fichiers de réponse. Dans l'immédiat nous nous contenterons d'indiquer que la phase "Generalize" dirige les opérations de préparation alors que la phase "Specialize" précise les directives d'installation. Remarques et conseils Utiliser l'option "SYSPREP /Generalize" pour tout processus de clonage ou duplication d'ordinateur. Evitez que le poste soit membre d un domaine lors de l'exécution du sysprep (plutôt "Workgroup") L option "Generaliser" correspond approximativement à l option "Resceller" pour Windows XP/2003 L option "Audit" permet d effectuer des modifications en amont (changement des réglages et pilotes par défaut) mais nécessitera un sysprep final avec l option "Oobe" avant la mise en production. Pour stipuler un fichier de réponse, vous devez utiliser l'outil en ligne de commande: C:\windows\system32\sysprep\sysprep /oobe /generalize /shutdown /unattend:a:\sysprep.xml Peu importe le nom stipulé dans la commande, ce fichier sera automatiquement recopié dans l'emplacement approprié. Pour information est situé dans le dossier : "%WINDIR%\Panther\Unattend.xml" pour la phase "specialize" (sysprep) "%WINDIR%\System32\Sysprep\Panther\Unattend.xml" pour la phase generalize (setup) Les principaux effets indésirables : Les opérations de nettoyage de l'outil sysprep engendrent un certain nombre d'effets de bord par défaut, dont voici une énumération non exhaustive Page 128 / 409

130 Chapitre 3 : Préparation du poste de référence Effet Réinitialisation d'une période de grâce liée à la licence (3 par défaut) Le profil d'utilisation par défaut n'est pas conservé Le compte "Administrateur intégré" est automatiquement "re-désactivé" Les pilotes de périphériques tiers sont supprimés Palliatif Ajouter la directive "SkipRearm = 1" dans un fichier de réponse. Ajouter la directive "CopyProfile = True" dans un fichier de réponse. Il est impératif de réactiver et utiliser le compte Administrateur intégré pour la personnalisation d un profil utilisateur Utiliser la commande "NET USER ADMINISTRATOR /ACTIVE :YES" dans un processus "post-installation" ou dans une directive "RunSynchronousCommand" du fichier de réponse Ajouter la directive "PersistAllDeviceInstalls = True" dans un fichier de réponse Voir aussi DISM Reportez-vous au chapitre suivant pour de plus amples informations sur les fichiers de réponse A propos de Windows XP (Sysprep) Au besoin et du fait que ce ne soit pas l'objectif principal de cet ouvrage, vous trouverez un guide (vidéo illustrée et document en anglais) sur la méthodologie de préparation d'un poste maître sous Windows XP à l'adresse suivante : Page 129 / 409

131 Chapitre 3 : Préparation du poste de référence 4. Capture de l'image 4.1. Présentation A ce stade, le poste de référence est configuré et préparé. La capture constitue l'étape ultime avant la génération de l'image au sein d'un fichier.wim. Comme l'indiquait le schéma précédent, la capture d'un système préparé nécessite un démarrage préalable sur un système alternatif, en l'occurrence WinPE, puis l'utilisation d'un outil de création d'image WIM. Remarque : Comme nous l'avons évoqué lors de la présentation des images WIM, ce type de fichier se rapproche d'une archive compressée contenant une ou plusieurs images d'une structure de dossiers et de fichiers. Il est donc fondamental de prendre en considération que l'agencement du disque et donc des partitions n'est pas prise en compte. Autrement dit, le niveau de capture le plus élevé est la racine d'une partition, ce qui pour l'image d'un poste de référence, correspond à la partition contenant le système Windows. Pour rappel, contrairement à certaines technologies d'imagerie de disque, basées sur la copie de secteurs, les images WIM ignorent la table des partitions et n'incluent pas le formatage de la destination. En conséquence, si le système d'exploitation et l''amorçage sont placés sur des partitions séparées, la capture portera uniquement sur la partition du système. Pour la restauration et l'exploitation d'une telle image, la régénération de l''amorçage, au même titre que le partitionnement des disques et le formatage, seront automatiquement prise en charge par le programme d'installation "Setup". En l'absence ce programme de préparation des supports, ces opérations resteront à la discrétion de l'installateur (manuellement ou via un script) - Reportez-vous sur les exemples d'installation manuelle détaillés en début de chapitre Réalisation de l'image WIM N'ayant pas encore détaillé l'outil "ImageX" du WAIK (cf Chapitre 4), nous allons solliciter une fois de plus, l'outil "GImageX" très similaire et déjà présent sur notre partage en réseau. Quant au système alternatif, nous utiliserons l'image ISO d'un DVD original Windows 7 32 ou 64 bits pour démarrer la machine virtuelle correspondante. Nous évoquerons également l'intérêt de l'outil "WDSCapture", déjà inclus dans un DVD original mais nous reviendrons sur cet outil dans le chapitre sur les services de déploiement Windows Précautions à prendre avant l'exécution de "sysprep" : Avant de commencer, vous pourrez remarquer que l'opération de préparation "sysprep" propose les trois options de terminaison suivantes : Page 130 / 409

132 Chapitre 3 : Préparation du poste de référence Option en mode graphique Arrêter système le Redémarrer le système Option en ligne de commande Description /shutdown Cette option déclenche l'arrêt automatique de l'ordinateur une fois l'opération de préparation terminée /reboot Cette option par défaut déclenche un redémarrage automatique de l'ordinateur une fois l'opération de préparation terminée Quitter /quit Cette option permet d'effectuer d'éventuelles opérations avant de procéder manuellement à l'arrêt ou au redémarrage de l'ordinateur. Le système est toutefois dans un état instable et ce mode de terminaison doit être utilisé avec prudence Cette phase de capture est cruciale, et en cas de démarrage inopiné consécutif à une opération de préparation, il faudra reprendre la procédure au début, sous peine d'obtenir une image imparfaite du système. Vous devez donc pendre garde à ne pas vous laisser surprendre par la phase de terminaison qui, dans cette procédure, requiert un démarrage alternatif dépendant de l'ordre définit dans le BIOS et des médias d'amorçage disponibles sur l'ordinateur. L'environnement virtuel utilisé présente l'avantage de pouvoir réaliser très rapidement, une capture instantanée de la machine virtuelle. Cette photographie vous permet de revenir facilement à l'état d'origine de cette dernière pour annuler ou reproduire les opérations. Nous allons donc nous prémunir de toute erreur, en procédant comme suit : A partir du "Gestionnaire Hyper-V", sélectionnez l'une des machines virtuelles de test, "W7x86-Ref" ou "W7x64-Ref", en cours d'exécution ou arrêtée. Utilisez ensuite le menu "Action Capture instantanée" ou le menu contextuel. Une fois achevée, la capture instantanée apparait dans le cadre du même nom. Cette technique affecte automatiquement un nom a la capture, composé du nom de la machine virtuelle suivi de la date et heure de réalisation mais cette interface permet de renommer cette capture à tout moment. Page 131 / 409

133 Chapitre 3 : Préparation du poste de référence Renouvelez ces opérations pour la seconde machine virtuelle. Pour obtenir un résultat identique, vous auriez également pu déclencher, et nommer directement la capture instantanée à partir du menu ou des icônes de la console propre à chaque machine virtuelle. Toutefois, contrairement au gestionnaire Hyper-V, cette console n'affiche pas l'éventuelle arborescence des captures instantanées existantes. Pour restaurer l'état de la machine virtuelle en cas de besoin, vous pourrez utiliser l'une des méthodes suivantes selon vos préférences : 1 - A partir du "Gestionnaire Hyper-V", sélectionnez la machine virtuelle concernée, puis dans le cadre "captures instantanées" sélectionnez la ligne correspondante à capture instantanée de votre choix puis utilisez le menu "Action Appliquer" ou le menu contextuel. Vous serez alors invité à prendre un nouvelle capture afin de préserver l'état actuel avant de retourner à l'état désiré. N'étant pas nécessaire dans notre démonstration, cliquez sur le bouton "Appliquer". 2 - Cette méthode consiste à rétablir le dernier état enregistré à partir la console d'une machine virtuelle. Pour cela, à partir du "Gestionnaire Hyper- V", sélectionnez la machine virtuelle concernée, puis ouvrez la console de cette dernière via le menu "Action Se connecter " ou le menu contextuel, ou encore par un double-clic. A partir de la console de la machine virtuelle, utilisez le menu "Action Retablir " ou la dernière icône représentant une flèche courbée ou encore via la combinaison des touches +. Cliquez ensuite sur le bouton "Rétablir" afin que la machine virtuelle repasse instantanément dans son état précédent. Page 132 / 409

134 Chapitre 3 : Préparation du poste de référence Exécution de "sysprep" et génération de l'image WIM. Pour mettre en pratique l'étape de capture, vous pouvez utiliser l'une et/ou l'autre des machines virtuelles "W7x86-Ref" ou "W7x64-Ref" installées et configurées précédemment mais ces procédures et vérifications s'appliqueraient de la même façon pour un ordinateur physique. 1 / - Vérification du BIOS / Séquence de démarrage. La plupart des ordinateurs physiques, et certains environnements de virtualisation, proposent dès le démarrage, de choisir le support d'amorçage ou d'accéder à la configuration du BIOS via l'appui d'une touche de fonction réservée et variable selon le fabriquant. Hyper-V n'expose pas de BIOS proprement dit mais seulement quelques réglages minimalistes, invariables lors la machine virtuelle est démarrée ou en cours de démarrage. Si vous avez rigoureusement suivi les manipulations indiquées jusqu'à présent, l'ordre de la séquence d'amorçage des machines virtuelles n'a pas été modifié. Pour vous en assurer, sélectionnez chaque machine virtuelle, à partir du gestionnaire Hyper-V ou de la console de celles-ci, utilisez le menu "Action Paramètres", puis en sélectionnant la rubrique "BIOS", vérifiez que dans le cadre de droite "Ordre de démarrage", la ligne mentionnant "CD" est bien en début de liste (au-dessus de la ligne "IDE"). CH3-36.png Si vous avez besoin de modifier cet ordre, la machine virtuelle doit être arrêtée (pas en hibernation). Utilisez ensuite les flèches à droite de ce cadre pour déplacer les lignes. Page 133 / 409

135 Chapitre 3 : Préparation du poste de référence 2 / - Préparation du prochain démarrage Sur l'une et l'autre des machines virtuelles, vérifiez que l'image ISO ou le DVD original approprié (32 ou 64 bits) est correctement installé. Pour cela, à partir de la console de chaque machine virtuelle, utilisez le menu "Support Lecteur DVD ". Si le sous-menu "Ejecter " affiche le nom du média actif et que celui-ci correspond à l'image du DVD original, appuyer sur la touche, sinon utilisez le sous-menu "Insérer un disque " puis cliquez sur le bouton "Parcourir" afin de sélectionner le fichier ISO correspondant. Le cas échéant, fermer la fenêtre d'exécution automatique liée à l'insertion du média amovible. Concernant le réseau, si vous avez rigoureusement suivi les manipulations indiquées jusqu'à présent, l'interface de la machine virtuel est connectée au commutateur virtuel "INTERNE HOTE" et le répertoire "C:\DEPLOY" de la machine physique est partagé. 3 / - Exécution de la préparation "sysprep" Sur l'une des machines virtuelles, ouvrez une invite de commande en mode administrateur, puis exécutez la commande suivante: C:\windows\system32\sysprep\sysprep /oobe /generalize /reboot N'ayant pas recours à un fichier de réponse dans cette démonstration, vous pouvez omettre les options afin de renseigner l'interface graphique équivalente La phase de nettoyage se manifeste par l'apparition d'une animation graphique Page 134 / 409

136 Chapitre 3 : Préparation du poste de référence Puis après quelques instants, l'ordinateur redémarre comme convenu par les options 4*/ - Démarrage sur DVD et WinPE Au vue de la configuration vérifiée précédemment, lors du démarrage de la machine virtuelle, juste après l'affichage de la bannière Hyper-V, vous disposez de 3 à 4 secondes pour activer le démarrage sur le DVD. Assurez-vous que le focus est actif en cliquant à l'intérieur de la fenêtre de la console puis appuyez sur une touche quelconque lors de l'affichage du message. Page 135 / 409

137 Chapitre 3 : Préparation du poste de référence CH3-41-crop.png Le démarrage se poursuit alors sur le DVD original, à l'instar d'un processus d'installation classique. Lorsque l'écran "Installer Windows" s'affiche, appuyez sur les touches + afin d'ouvrir l'invite de commande WinPE puis entrez le commandes suivantes : STARTNET IPCONFIG NET USE Z: \\ \DEPLOY /USER:Administrateur Pa$$w0rd X:\Sources> STARNET X:\Sources> wpeinit X:\Sources> IPCONFIG Configuration IP de Windows Carte Ethernet Connexion au réseau local : Suffixe DNS propre à la connexion... : Adresse IPv6 de liaison locale.....: fe80::f058:5077:b2d6:80f8%2 Adresse IPv : Masque de sous-réseau : X:\Sources> NET USE Z: \\ \DEPLOY /USER:Administrateur Pa$$w0rd La commande s'est terminée correctement. X:\Sources> 5 / Génération de l'image WIM. Avant de procéder à la cette opération nous attirons votre attention sur les particularités de création et de stockage du fichier WIM résultant. En effet, dans cet exemple comme dans la pratique, l'espace de stockage est variable et parfois insuffisant pour la génération d'une image WIM. - Si l'espace libre est suffisant, le fichier WIM peut être généré sans problème sur la même partition que celle qui est capturée. - Si aucun espace libre suffisant n'est disponible localement, utiliser un disque amovible qui sera dynamiquement reconnu par WinPE. Astuce - L'environnement Hyper-V v2 permet de d'associer à chaud, un nouveau disque dur virtuel, ou physique tel qu'un disque USB via le contrôleur SCSI d'une machine virtuelle.(?? Détails en annexe??) Page 136 / 409

138 Chapitre 3 : Préparation du poste de référence Pour des raisons de fiabilité, il est vivement est déconseillé de créer directement le fichier WIM résultant sur le réseau Celui-ci doit donc toujours être généré ou mis à jour localement puis être copié dans un deuxième temps sur un autre support. Sans entrer dans les détails de configuration de l'outil, il est légitime de s'interroger sur la taille du fichier WIM résultant. Pour donner un ordre de grandeur indicatif, consultez les informations de l'image INSTALL.WIM d'origine, via DISM, IMAGEX ou GIMAGEX. Par exemple, une image de distribution Windows 7 Entreprise 64 bits d'environ 2,6 Go correspond à un volume d'extraction approximatif de 11,3 Go Lors de la création d'un fichier WIM, les outils appliquent par défaut un algorithme de compression rapide (FAST - XPRESS) et excluent certains fichiers superflus. En fonction de l'outil, ces réglages sont modifiables via l'interface, les commutateurs de la commande, ou dans tous les cas via un fichier de configuration associé explicitement ou par défaut à l'outil. Si ce fichier d'options de capture est présent dans le même dossier que, ce dernier le prend automatiquement en considération. Correspondance entre l'outil et le fichier de configuration par défaut Outil de capture IMAGEX GIMAGEX WDSCAPTURE Nom du fichier de configuration par défaut WIMSCRIPT.INI CONFIG.INI WDSCAPTURE.INF Exemple de contenu pour IMAGEX par défaut (Il est inutile de créer le fichier dans ce cas) [ExclusionList] ntfs.log hiberfil.sys pagefile.sys "System Volume Information" RECYCLER Windows\CSC [CompressionExclusionList] *.mp3 *.zip *.cab \WINDOWS\inf\*.pnf Pour plus d'information, consultez la documentation associée à l'outil. 5a - Capture via GImageX : En fonction de la machine virtuelle concernée, exécutez le programme "GImageX" adéquate en tapant l'une des commandes suivantes Z:\DL\GImageX\install\x86\gimagex.exe Ou Z:\DL\GImageX\install\x64\gimagex.exe Sélectionnez ensuite l'onglet "Capture". Utilisez les boutons "Browse" pour sélectionner respectivement la source "C:\" (correspondant à la lettre du Page 137 / 409

139 Chapitre 3 : Préparation du poste de référence système d'exploitation préparé avec "sysprep" - attention cette lettre n'est pas nécessairement la même que celle du système opérationnel) puis la destination "C:\W7xzy-REF.wim" (Nom arbitraire affecté à votre fichier WIM de référence) - Les champs facultatifs, "Name", "Description", "Display Name" et "Description", restent à votre discrétion mais seront néanmoins intégrés aux métadonnées de l'image et utiles pour identifier cette image de référence par la suite. Cliquez sur le bouton "Create" pour débuter le processus de création de l'image WIM. Page 138 / 409

140 Chapitre 3 : Préparation du poste de référence Cette opération prend plusieurs dizaines de minutes en fonction de la taille de l'image, de la rapidité du support et du taux de compression demandé. Une fois l'image WIM générée correctement, cliquez sur le bouton "Close" puis quittez l'outil" GImageX". L'image de référence est dorénavant prête à être copiée vers un support de distribution. Par exemple en recopiant ce fichier.wim en lieu et place du fichier INSTALL.wim d'un support original. 5b - Variante via l'assistant WDSCapture : Pour la démonstration, après avoir répété les étapes 3 et 4 sur la seconde machine virtuelle, nous vous proposons de découvrir "WDSCapture". En effet, cet outil toujours disponible sur le DVD original et ne nécessite donc aucune initialisation du réseau comme à l'étape 4. Peu importe la machine virtuelle concernée, du fait que le DVD contient les binaires appropriés. Il suffit simplement de solliciter l'outil inclut dans le chemin de recherche (Path) de WinPE via la commande suivante : X:Sources>WDSCapture Bien que cet outil soit initialement prévu pour une utilisation conjointe avec les services de déploiement Windows (WDS), il présente l'avantage d'une interface graphique simple d'utilisation. Page 139 / 409

141 Chapitre 3 : Préparation du poste de référence Cliquez sur le bouton "Suivant" Sélectionnez l'unique lettre d'unité affichée dans la liste déroulante "Volume a" (Pour le texte original en anglais "Volume to Capture", une petite erreur cosmétique s'est glissée dans la version française) Important : Contrairement aux autres outils, WDSCapture vérifie et impose que le système d'exploitation à capturer ait été préparé via "sysprep /generalize" ou "sysprep /reseal". Dans le cas contraire, aucune lettre n'est affichée dans la liste déroulante, et rand tout capture impossible via cet assistant. Entrez respectivement un nom et une description de l'image dans les champs prévus à cet effet (Métadonnées de l'image utiles à l'identification de cette image de référence par la suite) puis cliquez sur le bouton "Suivant". Page 140 / 409

142 Chapitre 3 : Préparation du poste de référence Indiquez ensuite le nom complet correspondant à votre fichier WIM de référence en utilisant le bouton "Parcourir.. Page 141 / 409

143 Chapitre 3 : Préparation du poste de référence Laissez la case "Télécharger l'image sur un serveur " décochée puis cliquez sur le bouton "Suivant afin de démarrer le processus de capture. Vous aurez toujours la possibilité d'importer manuellement cette image sur un serveur de déploiement Windows. Cette opération prend plusieurs dizaines de minutes en fonction de la taille de l'image, de la rapidité du support et du taux de compression demandé. Une fois l'image WIM générée correctement, cliquez sur le bouton "Terminer" pour fermer l'assistant. Page 142 / 409

144 Chapitre 3 : Préparation du poste de référence L'image de référence est dorénavant prête à être copiée vers un support de distribution. Par exemple en recopiant ce fichier.wim en lieu et place du fichier INSTALL.wim d'un support original, ou en l'important en tant qu'image d'installation sur un serveur de déploiement Windows WDS (cf Chapitre 5). Page 143 / 409

145 Chapitre 4 : L'automatisation des installations Chapitre 4 : L'automatisation des installations 1. introduction Jusqu'à présent, nous avons évité le recours à ce kit en utilisant les programmes suivants: - DISM pour la manipulation des fichiers WIM (Outil inclus dans les systèmes Windows 7 / 2008R2) - SYSPREP pour la préparation du poste de référence (Outil systématiquement présent dans les systèmes NT6, Vista à Windows Server 2008R2) - GIMAGEX - Pour l'extraction (installation) ou la génération (capture) d'une distribution (Outil gratuit à télécharger) - WDSCapture - Pour la génération d'une image WIM à partir d'un poste maitre (Outil inclus dans un DVD original d'installation de Windows 7) Pour automatiser les processus d'installation, nous aurons recours à des fichiers de réponse XML. Bien que ces derniers soient modifiables à partir d'un simple éditeur de texte, il n'est pas concevable de concevoir ce genre de fichier sans un minimum d'assistance. Pour cela, le "WAIK" fournit un éditeur spécialisé : le "Gestionnaire d'image système Windows" aussi appelé "WSIM" (Windows System Image Manager) Bien que beaucoup plus abouti, cet outil correspond approximativement au programme "Assistant Gestion d'installation" utilisé par les générations précédentes de Windows (Setupmgr.exe inclus dans le fichier DEPLOY.cab, au même titre que la documentation REF.chm et l'outil de préparation SYSPREP) 2. Le kit de déploiement automatisé WAIK 2.1. Présentation générale Composant clé du technicien de déploiement, le WAIK "Windows Automated Installation Kit", propose une véritable panoplie d'outils et documentations sur ce sujet. Ce kit gratuit est disponible sous forme d'un fichier.iso (~1,6Go) qui peut être téléchargé à l'adresse suivante Une mise à jour SP1 (~1.3Go) est également disponible à l'adresse suivante 494b-4adc-b174-33bc62f02c5d Ce kit peut être installé sur un ordinateur équipé de Windows Server 2003Sp2, VistaSp1 et ultérieur. Il contient les outils pour toutes les Page 144 / 409

146 Chapitre 4 : L'automatisation des installations plateformes x86, x64 et IA64, ainsi que les documentations de référence en matière de déploiement. DISM fait partie intégrante du kit, au cas où l'installation serait réalisée sur un système antérieur à Windows 7 ou Server 2008R2 Directement associé à la sortie de la future version de Windows 8, le WAIK sera rebaptisé WADK "Windows Assessment and Deployment Kit". Ce changement induit une certaine évolution des outils mais ne remet aucunement en cause les principes fondamentaux traités dans cet ouvrage. A titre d'information, la version de WinPE 4 supportera entre autres améliorations, l'intégration du framework.net version 4 ainsi que PowerShell v 3.0 auquel pourront être associé des applets de commande (cmdlet) relatives à DISM et au stockage en réseau iscsi. Le protocole d'authentification de niveau réseau 802.1x sera officiellement supporté Installation du kit L'installation ne présente aucune difficulté. Lors de l'insertion du CD-Rom ou du montage de l'image ISO via VirtualCloneDrive sur votre plateforme de test, le programme d'installation "STARTCD.exe" devrait être exécuté. Cliquez sur le lien "Installation du Kit" afin de démarrer l'assistant d'installation du kit. Page 145 / 409

147 Chapitre 4 : L'automatisation des installations Cliquez sur le bouton "Suivant", sélectionnez ensuite l'option "J'accepte" du contrat de licence et cliquez de nouveau sur le bouton "Suivant". Conservez les valeurs par défaut et cliquez deux fois sur le bouton "Suivant". Une fois l'installation achevée, cliquez sur le bouton "Fermer". Dans le menu "Démarrer Tous les programmes", une nouvelle rubrique "Microsoft Windows AIK" apparait et propose quatre liens de premier niveau : "Gestionnaire d images système Windows" - Egalement dénommé WSIM, il s(agit de l'éditeur de fichier de réponse XML utilisé par les installations automatisées "Invite de commande des outils de déploiement" - Il s'agit d'une simple invite de commande à laquelle sont ajoutés les chemins de recherche vers les différents outils du kit. "Documentation" - Ensemble des guides et documents techniques (principalement au format.chm) - Certains documents sont en anglais. "VAMT 1.2" - Outil de gestion de l'activation des licences en volume (MAK) - Permet de recenser l'état des licences installées sur les différents ordinateurs d'un réseau. Une version plus récente est disponible à l'adresse suivante : Installation du supplément facultatif SP1 Ce supplément est délivré sous forme d'un fichier.iso mais ne contient pas de procédure d'installation. Page 146 / 409

148 Chapitre 4 : L'automatisation des installations Procédez au montage de cette image ISO via VirtualCloneDrive sur votre plateforme de test (Lecteur F: dans cet exemple). Copiez ensuite l'intégralité du contenu vers le dossier " C:\Program Files\Windows AIK\Tools\PETools" correspondant à l'installation du kit initial, en effectuant le remplacement des fichiers existants. Vous pouvez effectuer cette opération via l'explorateur Windows ou via une invite de commande en mode Administrateur. XCOPY F:\*.* "C:\Program Files\Windows AIK\Tools\PETools" /S /Y C:> XCOPY F:\*.* "C:\Program Files\Windows AIK\Tools\PETools" /S /Y F:\COPYPE.CMD F:\PESETENV.CMD F:\SETSANPOLICY.CMD F:\SSSHIM.DLL F:\AMD64\BOOTMGR F:\AMD64\BOOTMGR.EFI F:\AMD64\BOOTSECT.EXE F:\AMD64\WINPE.WIM F:\AMD64\BOOT\BCD F:\AMD64\BOOT\BOOT.SDI F:\AMD64\BOOT\BOOTFIX.BIN F:\AMD64\BOOT\EFISYS.BIN F:\AMD64\BOOT\EFISYS_NOPROMPT.BIN F:\AMD64\BOOT\ETFSBOOT.COM F:\AMD64\BOOT\FONTS\CHS_BOOT.TTF F:\AMD64\BOOT\FONTS\CHT_BOOT.TTF F:\X86\WINPE_FPS\ZH-TW\WINPE-SETUP_ZH-TW.CAB F:\X86\WINPE_FPS\ZH-TW\WINPE-SRT_ZH-TW.CAB F:\X86\WINPE_FPS\ZH-TW\WINPE-WDS-TOOLS_ZH-TW.CAB F:\X86\WINPE_FPS\ZH-TW\WINPE-WMI_ZH-TW.CAB 1131 fichier(s) copié(s) C:> Introduction à l'utilisation N'oubliez pas que le raccourci "Invite de commande des outils de déploiement" doit toujours être exécuté en mode administrateur. Nous vous conseillons donc de modifier les propriétés de ce raccourci comme suit : Page 147 / 409

149 Chapitre 4 : L'automatisation des installations Dans la fenêtre des propriétés, sous l'onglet "Raccourci", cliquez sur le bouton "Avancé ", cochez la case "Exécuter en tant qu'administrateur" puis cliquez deux fois sur le bouton "OK" pour fermer ces fenêtres. Page 148 / 409

150 Chapitre 4 : L'automatisation des installations Les outils majeurs apportés par ce kit sont : DISM : Cet outil est chargé de gérer le contenu d'une image (Pilotes, Fonctionnalités ) ou d'un système installé ("online") - Déjà inclus par défaut dans les systèmes Windows 7 et Windows Server 2008R2, nous avons déjà grandement évoqué ses capacités. Contrairement à ImageX, cet outil n'est pas en mesure de créer ou extraire directement une image d'un fichier.wim ImageX : Cet outil en ligne de commande permet de générer, appliquer et gérer les images au sein d'un fichier WIM. Cet outil a en commun avec DISM, la capacité de procéder à des "montages" d'images. Gestionnaire d'image système Windows (Windows System Image Manager) : Cet outil graphique est destiné à gérer les fichiers de réponse XML associés aux images WIM. Nous allons particulièrement détailler son utilisation dans ce chapitre. OSCDIMG : Bien que plus marginal, cet outil en ligne de commande a la capacité de générer un fichier.iso. Dans ce cadre d'utilisation, le kit met également à disposition une amorce "El Torito" par le fichier "ETFSBOOT.com" nécessaire au démarrage direct sur un support CD/DVD Principes de l'outil IMAGEX Cet outil en ligne de commande, propose différents commutateurs de premier niveau, que vous pouvez afficher via la commande "IMAGEX /?" IMAGEX /APPEND /? IMAGEX /APPLY /? IMAGEX /CAPTURE /? IMAGEX /DELETE /? IMAGEX /DIR /? IMAGEX /EXPORT /? IMAGEX /INFO /? IMAGEX /SPLIT /? IMAGEX /MOUNT /? IMAGEX /MOUNTRW /? IMAGEX /REMOUNT /? IMAGEX /COMMIT /? IMAGEX /UNMOUNT /? IMAGEX /CLEANUP /? Hormis le tableau suivant nous ne détaillerons pas les différentes possibilités de ces outils. Pour plus d'information, veuillez consulter la documentation associée. Tableau récapitulatif des options Imagex, [GImageX] et DISM Option ImageX [Onglet+optio n] APPEND [Capture] Option DISM N/A Commentaires Permet d'ajouter une image dans un fichier.wim existant - (voir aussi CAPTURE) Page 149 / 409

151 Chapitre 4 : L'automatisation des installations [+Append] APPLY [Apply] CAPTURE [Capture] [+ Create] DELETE [Delete] DIR [N/A] EXPORT [Export] INFO SPLIT MOUNT [Mount] MOUNTRW [Mount] [+-R/W] REMOUNT [N/A] COMMIT [Mount] [+Commit] UNMOUNT [Mount] [+Unmount] CLEANUP [N/A] N/A N/A N/A N/A N/A Get- WinInfo N/A Mount- Wim ReadOnly Mount- Wim Remount- Wim Commit- Wim Unmount- Wim Cleanup- Wim Permet d'extraire la structure d'une image donnée à partir d'un fichier.wim existant vers une destination préalablement formatée. Permet de créer la première image dans un fichier.wim (voir aussi APPEND) Permet de supprimer une image dans un fichier.wim existant Permet d'énumérer la structure de fichier d'une image donnée au sein d'un fichier.wim existant Permet d'extraire une image donnée à partir d'un fichier.wim existant vers un nouveau fichier.wim Permet d'afficher les métadonnées XML d'un fichier.wim existant (Taille, nombre d'images, description ) Permet de réaliser le montage en lecture seule, d'une image donnée dans un fichier.wim vers un dossier existant. (vide ou non) Permet de réaliser le montage en lecture/écriture, d'une image donnée dans un fichier.wim vers un dossier existant. (vide ou non) - Valeur par défaut dans DISM Permet de réactiver un montage précédent encore présent dans le cache (eg Redémarrage de l'ordinateur) Permet de valider les modifications réalisées au sein du montage actif et mettre ainsi l'image dans le fichier WIM. Permet le "démontage" d'une image en validant ou non, les modifications réalisées. Les valeurs par défaut sont COMMIT pour DISM, et DISCARD pour IMAGEX. Permet de purger les montages rémanents En cas d'échec lors d'un démontage le dossier concerné ne peux plus être utilisé tant qu'il n'a pas été purgé. Page 150 / 409

152 Chapitre 4 : L'automatisation des installations Schéma de principe Vous avez eu l'occasion de découvrir précédemment une adaptation graphique GIMAGEX, dans laquelle vous retrouvez, sous forme d'onglets, les principales possibilités de l'outil IMAGEX. On peut regretter que cette version, v2.0.17, ne propose pas encore toutes les capacités de l'outil en ligne de commande, telle que l'option CLEANUP, très utile pour purger les montages rémanents. En effet, vous constaterez lors de vos manipulations d'images WIM, que certains montages ou démontages peuvent échouer pour diverses raisons. Par exemple, l'utilisation de l'explorateur Windows au sein d'un montage, conserve fréquemment des références en cache sur les fichiers (handles) et présentent une risque d'échec lors du démontage. De plus, les montages restent rémanents suite à un redémarrage de l'ordinateur et le montage reste dans un état instable. Dans ce cas, il est possible de tenter une reprise d'un précédent avec le commutateur "REMOUNT" Notez toutefois que DISM offre également ces options via les commutateurs "/Cleanup-Wim" et "/Remount-Wim" GImageX présente un petit défaut, et renvoie des erreurs, lors de son utilisation sur des plateformes antérieures à Windows NT6. Pour y remédier, vous devrez copier les 2 bibliothèques "wimgapi.dll", respectivement pour les versions 32 ou 64 bits, dans le même dossier que l'exécutable "GImagex.exe" correspondant Gestionnaire d'image système Windows (WSIM) Présentation de l'outil Cet outil incontournable dans le cadre des installations automatisées, repose sur l'exécutable "C:\Program Files\Windows AIK\Tools\Image Manager\ImgMgr.exe". Avant de détailler l'utilisation de cet éditeur spécialisé de fichier de réponse, il faut remarquer quelques concepts importants : Page 151 / 409

153 Chapitre 4 : L'automatisation des installations - Les fichiers de réponse XML sont intimement liés à un fichier.wim. Cette contrainte est fortement conseillé lors de l'édition et impérative lors de l'ajout de composants (Ce derniers faisant partie intégrante de l'image WIM) - De plus, une image WIM associée correspondant obligatoirement une image d'un système Windows NT6. Autrement dit, il n'est pas possible d'y associer un fichier WIM d'un système antérieur, même préparé avec "sysprep". Il n'est pas non plus possible d'y associer une image WinPE. - Enfin, chaque image.wim associée doit disposer d'un catalogue (fichier.clg) préalablement constituée via le sous-programme "Imagecat.exe". En cas d'absence, la génération du catalogue est proposée lors de l'ouverture de l'image.wim. La création d'un nouveau catalogue est disponible via le menu "Outils Créer un catalogue " Si vous n'avez pas ajouté de package additionnel dans une image WIM personnalisée, vous pouvez utiliser le catalogue et l'image d'origine ayant servie à l'installation du système de référence. Lorsque le catalogue est considéré obsolète, il est nécessaire de réindexer l'image.wim associée. Attention, seule la version 32 bits du gestionnaire d'image système Windows est en mesure d'indexer et générer le catalogue d'images x86, x64 ou ia64. Autrement dit, la version 64 bits de WSIM peut uniquement régénérer un catalogue portant sur une image 64 bits. L'éditeur de fichier de réponse XML "Gestionnaire d'image système Windows" (WSIM) se présente comme suit : Les différents cadres sont redimensionnables Page 152 / 409

154 Chapitre 4 : L'automatisation des installations 2.2. Gestion des fichiers de réponse Le potentiel du fichier de réponse XML A ce stade, votre poste de référence doit être préparé et la méthode d'installation définie. Pour rappel, le partitionnement, le formatage et la gestion de l'amorçage sont des étapes fondamentales pouvant être assumées par différents outils ou par le biais d'un fichier de réponse associé au programme d'installation "\sources\setup.exe" Méthode N 1 : La restauration de l'image est réalisée via ImageX - Dans ce cas, le fichier de réponse doit être passé en paramètre de la commande SYSPREP. Il sera délicat d'en modifier le contenu et les phases de partitionnement, de formatage, ainsi que la configuration de l'amorçage, resterons à votre charge (ie DISKPART, BCDBOOT) Méthode N 2 : La restauration de l'image est réalisée via le programme "Setup" - Bien que plus délicate à mettre au point, cette méthode permet de maintenir le fichier de réponse sans l'intégrer à l'image et peut ainsi piloter les étapes de préparation telles que le partitionnement des disques. Sous réserve d'y indiquer les directives appropriées, un même fichier de réponse peut être utilisé pour l'outil de préparation "sysprep" et pour le programme d'installation "Setup". Les fichiers de réponse sont donc exploitables comme suit : en association avec le programme d'installation "Setup", soit en stipulant explicitement le nom et l'emplacement du fichier via le commutateur "/unattend", soit en nommant le fichier "autounattend.xml" présent à la racine d'un support amovible (disquette ou clé USB) ou dans le même dossier que le programme "setup". en association avec l'outil de préparation "sysprep" en stipulant explicitement le nom et l'emplacement du fichier en association avec une image de distribution.wim hébergée sur un serveur de déploiement WDS Les phases de configuration Les composants de configuration (et d'installation) font partie intégrante d'un système NT6,.ce qui implique une relation très forte entre l'image WIM et le fichier réponse XML. Ces différentes étapes dépendent essentiellement des options de préparation stipulées lors de l'exécution de la commande SYSPREP. Lors de la sélection d'un composant, l'éditeur ne propose que les phases valides pour l'ajout de celui-ci. Le schéma ci-après symbolise l'imbrication et les principales actions à charge de ces différentes étapes: Page 153 / 409

155 Chapitre 4 : L'automatisation des installations Ces phases de configuration sont numérotées dans l'éditeur Résumé des étapes 1 - WindowsPE Phase préliminaire durant laquelle il est principalement possible de gérer les disques (partitions, formatage..), de stipuler l'image source, la destination d'installation, etc 2 - OfflineServicing Phase durant laquelle l'image.wim a été extraite vers la partition de destination. Le processus génère ou met à jour le mécanisme d'amorçage avant le premier redémarrage 3 - Generalize Cette phase est traitée uniquement si cette option de préparation a été demandée (Purge des MRU, régénération du SID d'ordinateur, désactivation du compte Administrateur intégré, etc ) Page 154 / 409

156 Chapitre 4 : L'automatisation des installations 4 - Specialize Cette phase est traitée à chaque préparation via SYSPREP et constitue la partie essentielle de l'installation (Détection des périphériques et installation des pilotes, initialisation du registre ) - Une animation très représentative est affichée durant le traitement de cette phase. CH4-07a.png Bien que cela ne présente que très peu d'intérêt, cette animation est basée sur un ensemble d'images.bmp contenus dans le fichier "%windir%\system32\oobe\firstuxres.wim" 5 - AuditUser, 6 - AuditSystem Ces phases particulières sont traitées lorsque l'action de nettoyage "Audit" de SYSPREP a été choisie. Cette option de préparation permet de conserver des paramètres et réglages généralement réinitialisés. Cette option est particulièrement utilisée par les intégrateurs et constructeurs de matériel afin de personnaliser leur image de référence en y intégrant leurs propres pilotes ou autres applications. Suite à ce traitement intermédiaire, le poste doit subir un nouveau préparé avec l'option OOBE afin de le mettre en condition de distribution finale. (Ce mode de traitement peut être assimilé à l'option "config Usine" des versions antérieures) Ce mode peut être invoqué par l'option sysprep, au sein du fichier de réponse ou encore via la combinaison des touches [Ctrl] + [Maj] + [F3] lors de l'affichage de l'écran "Configurer Windows". Page 155 / 409

157 Chapitre 4 : L'automatisation des installations Lorsque la case "généraliser" a été cochée pour le mode Audit, il est inutile, voire déconseillé, de cocher de nouveau en mode OOBE. 7 - OobeSytem Cette phase de finalisation, dénommée "Expérience d'utilisateur hors boite" (Out Off Box Experience) effectuée suite à chaque préparation sysprep - Durant cette étape, sont demandés, le nom de l'ordinateur, le nom de l'utilisateur (équivalent Administrateur), le fuseau horaire, le comportement des mises à jour automatiques Création du fichier de réponse (Setup) Pour être pleinement opérationnelle, l'édition efficace d'un fichier de réponse.xml, requiert une association avec un fichier de distribution ".WIM", lui-même indexé par un ou plusieurs fichiers ".CLG" (Un catalogue par image). Pour ce premier contact, nous utiliserons donc un DVD original disposant de ces fichiers stockés dans le dossier "\Sources". Pour cela, assurez-vous que le DVD ou l'image ISO est insérée dans le lecteur VirtualCloneDrive. Pour cet exemple, nous choisirons l'édition de Windows 7 Entreprise 32 bits (ie _x86fre_enterprise_fr-fr_EVAL_Eval_Enterprise- GRMCENEVAL_FR_DVD.iso) Ouvrez l'éditeur de fichier de réponse.xml à partir du menu "Démarrer Tous les programmes Microsoft Windows AIK Gestionnaire d images système Windows" La première étape consiste à ouvrir un fichier de réponse existant ou en créer un nouveau via le menu "Fichier" ou les icônes prévues à cet effet. Comme mentionné précédemment, la création d'un nouveau fichier déclenche le message suivant : Cliquez sur "Oui". Dans la fenêtre de sélection de l'image Windows, sélectionnez la distribution "install.wim" ou le fichier catalogue "Install_Windows 7 ENTREPRISE.clg", puis cliquez sur le bouton "Ouvrir" Dans le cadre de détail de l'image Windows, vous constatez alors l'ampleur des composants de configuration (cubes bleutés) ainsi que la présence de quelques packages. Page 156 / 409

158 Chapitre 4 : L'automatisation des installations La création d'un fichier de réponse peut donc être très "chronophage" et la localisation des composants appropriés à vos besoins peut être délicate. Nous allons donc focaliser cette étude sur la configuration automatique de quelques éléments représentatifs. Autrement dit sur les points évoqués dans le chapitre précédent. Vous pouvez vous inspirer du fichier de réponse par défaut (unattend.xml) fournit dans le cadre du "Microsoft Deployment Toolkit" que nous aborderons dans le dernier chapitre. Pour information, l'activation ou la désactivation de fonctionnalités intrinsèques de Windows s'effectue via le sous-ensemble "Foundation" situé sous la rubrique "Packages". Bien que ces éléments correspondent à l'interface "Activer ou désactiver des fonctionnalités Windows" d'un système installé, ils sont toujours affichés en anglais. Création des partitions Pour illustrer le principe de gestion des composants, dont la complexité de chacun est très variable, nous détaillerons cette étape particulièrement délicate liée à la gestion des disques. Pour l'exemple, nous allons créer 3 partitions suivantes Une partition principale active d'amorçage (Taille : 100Mo) Page 157 / 409

159 Chapitre 4 : L'automatisation des installations Une partition principale pour le système Windows 7 (Taille : 20Go) Une partition principale pour les données (Taille : Le reste du disque) A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows- Setup_ _neutral DiskConfiguration Disk CreatePartitions CreatePartition". Sélectionnez le dernier élément " CreatePartition" puis utilisez le menu contextuel ou le menu "Edition " puis "Ajouter le paramètre à la passe 1 WindowsPE" Prêtez une attention toute particulière au nom des composants : dans notre cas, il s'agit de " Setup " et non " Shell-Setup " et l'élément "CreatePartition" est un sous-ensemble de la collection "CreatePartitions". Vous avez pu constater que l''éditeur ne propose que la (les) phase(s) adaptée(s) à l'élément sélectionné. Ensuite la structure de l'élément est ajoutée dans le cadre "Fichier de réponses" et le cadre "Propriétés de " permet la saisie des valeurs. Les cubes bleutés plus clair indiquent que l'élément du composant ne contient aucune valeur. Page 158 / 409

160 Chapitre 4 : L'automatisation des installations Bien que cela n'ait pas d'incidence sur le traitement, l'ajout d'un élément de même type positionne celui-ci au début de la collection, (eg CreatePartitions). Nous commençons donc par le dernier élément afin respecter la chronologie au niveau de l'affichage Au cours de ces manipulations, vous pourrez remarquer que : - Lors de la sélection d'un champ, la zone "Type" en bas du cadre de propriétés donne des informations sur les valeurs possibles. Certains champs proposent une liste déroulante pour faciliter la saisie - Les nouvelles saisies sont affichées en gras et les cubes symbolisant l'élément deviennent plus foncés. - Vous pouvez obtenir de l'aide contextuelle (en anglais) en appuyant sur la touche [F1] au niveau du champ de chaque paramètre. - Pour repositionner une valeur par défaut, ou vider un champ, utilisez le menu "Edition Annuler" ou le menu contextuel "Annuler la modification" Au niveau de la zone "Paramètres" du cadre "Propriétés de CreatePartition" entrez les valeurs suivantes : Action : AddListItem (Valeur par défaut) Extend : false (La valeur "True" indiquerait d'étendre une partition existante - inapproprié en cas de création) Order : 3 (Ce champ stipule la chronologie d'une tache en cas de doublons) Size : 10 (Ce champ indique la taille de la partition en Mo - Cette valeur de 10Mo est provisoire et sera modifiée ultérieurement) Type : Primary (Ce champ stipule le type de partition - Dans note cas nous allons créer une partition principale sur un disque à secteur de démarrage principal MBR) De la même manière, pour créer les partitions supplémentaires, vous devez répéter la première opération, en ajoutant de nouveau l'élément "CreatePartition", soit à partir de l'arborescence du composant affiché dans le cadre "Image Windows", soit via le menu contextuel de l'élément "Inserer un nouvel élément «CreatePartition»". Au niveau de la zone "Paramètres" du cadre "Propriétés de CreatePartition" entrez les valeurs suivantes Action : AddListItem Extend : false Order : 2 Size : Type : Primary Répétez cette opération pour la dernière partition et entrez les valeurs suivantes Action : AddListItem Extend : false Page 159 / 409

161 Chapitre 4 : L'automatisation des installations Order : 1 Size : 100 Type : Primary A ce stade, nous avons simplement indiqué de créer les partitions sur le premier disque dur. Il est donc nécessaire de poursuivre la configuration en stipulant les caractéristiques de préparation de ces partitions, telles que les lettres d'unité ou le formatage, en procédant comme suit : A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows- Setup_ _neutral DiskConfiguration Disk ModifyPartitions ModifyPartition". Sélectionnez le dernier élément "ModifyPartition" puis utilisez le menu contextuel ou le menu "Edition " puis "Ajouter le paramètre à la passe 1 WindowsPE" Au niveau de la zone "Paramètres" du cadre "Propriétés de ModifyPartition" entrez les valeurs suivantes : Action : AddListItem (Valeur par défaut) Active : Vide (Ce champ positionne l'attribut de démarrage sur la partition indiquée dans "PartitionID" ) Extend : True (Permet d'étendre la partition au reste du disque - Taille originale définie à 1Mo dans CreatePartition) Format : NTFS (Ce champ indique le système de fichier pour le formatage) Label : DATA (Ce champ facultatif affecte une description au volume) Letter : D (Ce champ permet de stipuler la lettre d'unité affectée à la partition) Order : 3 (cf CreatePartition) PartitionID : 3 (Ce champ indique le numéro de la partition concernée. La valeur "1" identifie la première partition.) TypeID : vide (Ce champ facultatif stipule l'identifiant de partition - Utilisé pour les partitions spéciales telles que les partitions de maintenance de type constructeurs OEM) Pour configurer les 2 partitions restantes, vous devez répéter cette même opération, en ajoutant de nouveau l'élément "ModifyPartition" à partir de l'arborescence du composant affiché dans le cadre "Image Windows" ou le menu contextuel de l'élément "Inserer un nouvel élément «ModifyPartition»".. Au niveau de la zone "Paramètres" du cadre "Propriétés de ModifyPartition" entrez les valeurs suivantes : Action : AddListItem Active : Vide Extend : vide Format : NTFS (Le système de fichier NTFS est imposé pour l'installation d'un système Windows 7 et ainsi que pour la partition d'amorçage Bitlocker) Page 160 / 409

162 Chapitre 4 : L'automatisation des installations Label : W7x86-SYS (Ce champ facultatif affecte une description au volume) Letter : C Order : 2 (cf CreatePartition) PartitionID : 2 (Ce champ indique le numéro de la partition concernée. La valeur "1" identifie la première partition.) TypeID : vide Répétez cette opération pour la dernière partition et entrez les valeurs suivantes Action : AddListItem Active : True (Permet d'activer le secteur d'amorçage de cette partition) Extend : vide Format : NTFS Label : Boot Letter : vide (En l'occurrence aucune lettre ne sera affectée à la partition d'amorçage afin que par défaut celle-ci n'apparaisse pas dans l'explorateur Windows) Order : 1 (cf CreatePartition) PartitionID : 1 TypeID : vide Avant de poursuivre la configuration des autres paramètres, vous pouvez vérifier la cohérence des valeurs saisies en utilisant le menu "Outil Valider le fichier de réponse" ou l'icône correspondante. Ceci a pour effet d'afficher les éventuels avertissement et erreurs, dans le cadre "Messages" en bas de l'éditeur Dans notre exemple, le message indique que l'élément "DiskID" n'a pas de valeur. Il s'agit en fait du numéro de disque dur. Vous devez donc sélectionner l'élément en question, ou plus simplement effectuer un double-clic sur le message afin d'être directement positionné sur l'élément incriminé. Entrez les valeurs suivantes : DiskID : 0 (Ce champ stipule le numéro de disque dur sur lequel la partition doit être créée. La valeur "0" identifie le premier disque) WillWipeDisk : true (Ce champ indique si la table des partitions existantes doit être préalablement supprimée) Gestion de l'image de distribution Page 161 / 409

163 Chapitre 4 : L'automatisation des installations Comme nous l'avons déjà évoqué, un fichier de distribution, en l'occurrence "INSTALL.wim", peut contenir une ou plusieurs images systèmes. Dans tous les cas, pour en automatiser l'installation, il est nécessaire de stipuler le nom ou le numéro d'index de l'image à installer. A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows- Setup_ _neutral ImageInstall OSImage InstallFrom". Sélectionnez le dernier élément "MetaData" puis utilisez le menu contextuel ou le menu "Edition " puis "Ajouter le paramètre à la passe 1 WindowsPE" Au niveau de la zone "Paramètres" du cadre "Propriétés de MetaData " entrez les valeurs suivantes : Action : AddListItem Key : /image/index Value : 1 Dans la même logique il est nécessaire de stipuler la partition de destination pour l'installation du système. Page 162 / 409

164 Chapitre 4 : L'automatisation des installations A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows- Setup_ _neutral ImageInstall OSImage". Sélectionnez le dernier élément " InstallTo" puis "Ajouter le paramètre à la passe 1 WindowsPE" via le menu contextuel ou le menu "Edition " Au niveau de la zone "Paramètres" du cadre "Propriétés de InstallTo" entrez les valeurs suivantes : DiskID : 0 (Cette valeur stipule le numéro du disque dur de destination - Pour rappel la numérotation des disques commence à 0) PartitionID : 2 (Cette valeur indique le numéro de la partition de destination - Pour rappel la numérotation des partitions commence à 1) Attention : Dans cet exemple, nous avons indiqué de détruire les partitions existantes via l'option " WillWipeDisk : true" ce qui aura pour conséquence de détruire un éventuel contenu, sans aucune confirmation. La licence d'utilisation Il est possible d'automatiser l'accord du Contrat de Licence de l'utilisateur Final (CLUF). Page 163 / 409

165 Chapitre 4 : L'automatisation des installations A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows- Setup_ _neutral". Sélectionnez l'élément "UserData" et utilisez le menu contextuel ou le menu "Edition " puis "Ajouter le paramètre à la passe 1 WindowsPE" Au niveau de la zone "Paramètres" du cadre "Propriétés de UserData " entrez les valeurs suivantes : AcceptEula : true (Accord de licence CLUF ou en anglais : End User Licence Agrement) Fullname : ENI (Facultatif : Nom du propriétaire de la licence) Organization : ENI (Facultatif : Nom de la société ou du service détenteur de la licence) Note : Vous pouvez stipuler la clé de licence "ProductKey" dans cet élément. L'absence de clé ne bloque pas le processus d'installation et dépend surtout du type de licence, et donc de la gestion plus ou moins complexe de ces numéros. Le stockage de cette information dans un fichier de réponse constitue un risque potentiel et le processus masquera la clé au sein du fichier après traitement. Le cas échéant, vous pourrez toujours recourir à l'outil SLMGR.vbs, une fois l'installation effectuée. Au besoin, reportez-vous au paragraphe D du chapitre 1 sur la gestion des licences Automatisation des taches finales d'installation Si vous utilisiez le fichier de réponse en l'état, les taches finales de configuration (OOBE) resteraient à la discrétion de l'installateur. Ces réglages correspondent à l'écran de bienvenue (welcome screen) affiché la fin du dernier redémarrage d'une installation. Page 164 / 409

166 Chapitre 4 : L'automatisation des installations Avant d'aborder concrètement la configuration de chacun de ces réglages, il convient de commenter certains choix qui ont une incidence directe sur vos politiques de sécurité et votre infrastructure. Bien que modifiables à postériori, le premier écran pose 2 questions fondamentales : L'utilisateur local : Ce compte d'utilisateur, membre du groupe local d'administrateurs est à confronter au compte d'administration intégré, désactivé par défaut, (Comptes auxquels il est conseillé d'adjoindre des stratégies fortes de mot de passe, vides par défaut) - La réactivation et le recours au compte d'administrateur intégré permet de s'affranchir des contraintes UAC dans le cadre de taches complémentaires lancées en postinstallation (i.e "Autologon") Le nom de l'ordinateur : Bien que l'identifiant unique (SID) de la machine soit généré à ce stade, il convient d'affecter un nom devant garantir l'unicité au sein d'un même réseau. De la définition manuelle du nom, aux mécanismes automatiques constituants un nom aléatoire, en passant les méthodes d'affectation de nom via un serveur de déploiement WDS ou une base de données, les choix et les possibilités sont nombreuses. De plus, il convient de définir si l'éventuelle adhésion à un domaine doit être automatisée ou à la discrétion de l'installateur ou de l'utilisateur. Reportez-vous au chapitre sur les services de déploiement WDS pour plus d'information sur ce sujet. Pour conserver le choix d'une saisie manuelle du nom de l'ordinateur lors de l'installation automatisée, il faut impérativement éviter de renseigner l'élément "ComputerName" du fichier de réponse. En revanche, si vous voulez implémenter le mécanisme d'affectation automatique d'un nom aléatoire, procédez comme suit : A partir du cadre "Image Windows", dans l'arborescence des composants "Components", sélectionnez directement la racine de l'élément "x86_microsoft-windows-shell-setup_ _neutral", puis utilisez le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 4 specialize" Page 165 / 409

167 Chapitre 4 : L'automatisation des installations Au niveau de la zone "Paramètres" du cadre "Propriétés de Microsoft- Windows-Shell-Setup", sélectionnez le champ "ComputerName" puis saisissez le caractère astérisque "*" afin de stipuler une génération automatique du nom d'ordinateur (dérivé du propriétaire de licence et d'un numéro aléatoire). Notez qu'il est également possible de laisser ce champ vide pour obtenir le même résultat. Toutefois, il convient de relever que cet éditeur n'enregistre pas les paramètres ayant des valeurs nulles à moins de le préciser explicitement. Pour ce genre de cas, sélectionnez le champ en question puis utilisez le menu contextuel ou le menu "Edition " pour "Ecrire une chaine vide" Les sous-éléments non renseignés engendreront de nombreux avertissements dans le cadre "Messages", lors de la validation ou l'enregistrement du fichier de réponse. Pour éviter ce genre de message, vous avez la possibilité de supprimer explicitement tous les éléments inutiles, mais ceci n'aura aucune incidence puisque ces derniers seront absents du fichier résultant. La gestion des comptes locaux Le fichier de réponse XML offre la possibilité de créer des groupes et/ou des comptes d'utilisateurs locaux. Dans cet exemple, nous vous proposons deux procédures qui resteront à votre appréciation. Méthode N 1 : Par outrepasser le processus de création du premier compte d'administrateur équivalent proposé lors d'une installation manuelle, procédez comme suit : A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows- ShellSetup _ _neutral UserAccounts LocalAccounts". Sélectionnez l'élément "LocalAccount" puis utilisez le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 7 oobesystem" Au niveau de la zone "Paramètres" du cadre "Propriétés de LocalAccount" entrez les valeurs suivantes : Action : AddListItem Description : Administrateur équivalent (Ce champ facultatif est purement indicatif) DisplayName : Admin.Local (Ce champ facultatif stipule le nom convivial du compte) Group : Administrators (Ce champ indique le groupe d'appartenance de l'utilisateur - Si ce champ est vide, le compte sera implicitement membre du groupe "Utilisateurs" locaux de la machine) Name : Admin.Local (Ce champ obligatoire stipule l'identifiant de connexion du compte (LoginName) Page 166 / 409

168 Chapitre 4 : L'automatisation des installations Pour définir le mot de passe associé à ce compte, il est nécessaire d'accéder à un sous-élément de cet objet. A partir du cadre "Fichier de réponse", développez l'arborescence "7 oobesystem UserAccounts LocalAccounts LocalAccount" du compte d'utilisateur puis sélectionnez le dernier élément "Password". Au niveau de la zone "Paramètres" du cadre "Propriétés de Password" entrez le mot de passe. Value : Pa$$w0rd Notez que ce mot de passe est saisi normalement mais sera par défaut encodé dans le fichier résultant, afin d'éviter sa divulgation. Si vous effectuer cette opération uniquement dans le but de passer l'écran de création du premier compte, vous pouvez détruire ce compte selon le même principe en utilisant l'option "RemoveListItem". Méthode N 2 : Pour réactiver le compte "Administrateur intégré, il n'existe pas de composant ni d'élément de configuration spécialisé. De ce genre de cas, il est possible de recourir à une commande spécifique qui sera exécutée durant le processus d'installation, via la méthode suivante : A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows- Deployment_ _neutral RunSynchronous", sélectionnez l'avant-dernier élément "RunSynchronousCommand" puis utilisez le menu contextuel ou le menu "Edition " puis "Ajouter le paramètre à la passe 4 Specialize" Au niveau de la zone "Paramètres" du cadre "Propriétés de RunSynchronousCommand" entrez les valeurs suivantes : Action : AddListItem Page 167 / 409

169 Description : EnableAdmin Order : 1 Path : cmd /c net user Administrator /active:yes Chapitre 4 : L'automatisation des installations WillReboot : Never (Permet d'indiquer si un redémarrage de l'ordinateur est nécessaire) Notez que ce mécanisme de gestion des comptes ne s'appuie pas sur les identifiants uniques (SID) des comptes prédéfinis. Dans cet exemple le recours aux noms en anglais (Administrator, Administrators, Users, Guests ) s'applique initialement à une distribution officielle mais peut dépendre ensuite de votre distribution préparée via "sysprep". Autrement dit, il peut être nécessaire d'adapter ces commandes afin de référencer le nom précis des comptes en fonction de la distribution à laquelle le fichier de réponse doit s'appliquer. Exemple : cmd /c net user Administrateur /active:yes Pensez à définir un mot de passe pour ce compte de la même manière que précédemment. N'oubliez pas que l'adhésion à un domaine peu appliquer des contraintes éventuellement bloquantes pour une réactivation ultérieure au processus d'installation. Le mot de passe de l'administrateur peut également être défini en aval via les préférences de stratégie de groupe Définir les préférences de sécurité et d'utilisation En premier lieu, il convient de rappeler que les préférences régionales dépendent directement des packs linguistiques disponibles dans la distribution lors de l'installation. Si plusieurs packs de langue sont présents dans une même image, le processus d'installation automatisé demandera le choix de la langue affecté au système et par défaut aux utilisateurs de cet ordinateur. Reportez-vous au chapitre précédent au sujet des packs de langue. Page 168 / 409

170 Chapitre 4 : L'automatisation des installations Ne confondez pas ces réglages destinés aux préférences d'utilisateur final avec les réglages régionaux WinPE uniquement exploités durant les processus d'installation et pouvant être définies via le composant " x86_ Microsoft-Windows-International-Core-WinPE _ _neutral" Pour définir la langue par défaut des utilisateurs, procédez comme suit : A partir du cadre "Image Windows", sélectionnez directement dans l'arborescence des composants, l'élément "Components x86_ Microsoft- Windows-International-Core _ _neutral", puis utilisez le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 7 oobesystem" Au niveau de la zone "Paramètres" du cadre "Propriétés de Microsoft- Windows-International-Core" entrez les valeurs suivantes : inputlocale : fr-fr systemlocale : fr-fr UILanguage : fr-fr UILanguageFallback : fr-fr userlocale : fr-fr Dans la même logique, l'assistant d'installation propose la vérification de la date, de l'heure et du fuseau horaire. Page 169 / 409

171 Chapitre 4 : L'automatisation des installations Pour automatiser cette étape et définir le fuseau horaire par défaut, procédez comme suit: A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows-shell- Setup_ _neutral", sélectionnez l'élément "OOBE" puis utilisez le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 7 oobesystem" A partir du cadre "Fichier de réponse", sélectionnez directement la racine de l'élément x86_microsoft-windows-shell-setup_ _neutral" situé juste au-dessus du sous-élément "OOBE" Au niveau de la zone "Paramètres" du cadre "Propriétés de Microsoft- Windows-Shell-Setup" modifiez uniquement la valeur suivante :. TimeZone : Romance Standard Time Conservez les autres valeurs par défaut. Les derniers réglages de la phase finale concernent essentiellement les préférences de sécurité relatives aux mises à jour automatiques Windows Update et au profil affecté à l'emplacement réseau (et donc au pare-feu associé). Pour automatiser ces étapes, procédez comme suit: A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows-shell- Setup_ _neutral", sélectionnez l'élément "OOBE" puis utilisez le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 7 oobesystem" Au niveau de la zone "Paramètres" du cadre "Propriétés de OOBE" entrez les valeurs suivantes : Page 170 / 409

172 Chapitre 4 : L'automatisation des installations HideEULAPage : true HideWirelessSetupInOOBE : vide NetworkLocation: Work (Cette valeur indique que le premier emplacement réseau détecté sera affecté à un profil privé - A défaut de valeur, la fenêtre de sélection d'emplacement réseau s'ouvrira. Ce réglage pouvant être modifié à postériori ou configuré via les stratégies de groupe - Notez également que l'adhésion à un domaine modifiera automatiquement l'emplacement réseau en profil de domaine) ProtectYourPC : 1 (La valeur "1" indique d'utiliser les paramètres de sécurité recommandés pour les mises à jour automatiques Windows Update - Entrez la valeur "2" pour autoriser uniquement l'installation des mises à jour critiques, ou la valeur "3" pour inhiber les mises à jour automatiques) Page 171 / 409

173 Chapitre 4 : L'automatisation des installations SkipMachineOOBE: vide (Ce paramètre a été déprécié depuis Vista sp1) SkipUserOOBE : vide (Ce paramètre a été déprécié depuis Windows 7) A ce stade, vous pouvez valider vos modifications et enregistrer le fichier XML dans un dossier provisoire. Eg."C:\DEPLOY\OTO\W7x86Setup.xml". Pour information, le fichier résultant devrait ressembler à ceci : <?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="windowspe"> <component name="microsoft-windows-setup" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <DiskConfiguration> <Disk wcm:action="add"> <CreatePartitions> <CreatePartition wcm:action="add"> <Order>3</Order> <Size>10</Size> <Type>Primary</Type> </CreatePartition> <CreatePartition wcm:action="add"> <Order>2</Order> <Size>20000</Size> <Type>Primary</Type> </CreatePartition> <CreatePartition wcm:action="add"> <Order>1</Order> <Size>100</Size> <Type>Primary</Type> </CreatePartition> </CreatePartitions> <DiskID>0</DiskID> <WillWipeDisk>true</WillWipeDisk> <ModifyPartitions> <ModifyPartition wcm:action="add"> <Order>3</Order> <Format>NTFS</Format> <Label>DATA</Label> <PartitionID>3</PartitionID> <Letter>D</Letter> </ModifyPartition> <ModifyPartition wcm:action="add"> <Format>NTFS</Format> <Label>W7x86-SYS</Label> <PartitionID>2</PartitionID> <Order>2</Order> <Letter>C</Letter> </ModifyPartition> <ModifyPartition wcm:action="add"> <Active>true</Active> <Format>NTFS</Format> <Label>Boot</Label> <Order>1</Order> <PartitionID>1</PartitionID> </ModifyPartition> </ModifyPartitions> </Disk> </DiskConfiguration> <ImageInstall> <OSImage> <InstallFrom> <MetaData wcm:action="add"> Page 172 / 409

174 Chapitre 4 : L'automatisation des installations <Key>/image/index</Key> <Value>1</Value> </MetaData> </InstallFrom> <InstallTo> <DiskID>0</DiskID> <PartitionID>2</PartitionID> </InstallTo> </OSImage> </ImageInstall> <UserData> <AcceptEula>true</AcceptEula> <FullName>ENI</FullName> <Organization>ENI</Organization> </UserData> </component> </settings> <settings pass="specialize"> <component name="microsoft-windows-deployment" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <RunSynchronous> <RunSynchronousCommand wcm:action="add"> <Path>cmd /c net user Administrator /active:yes</path> <Description>EnableAdmin</Description> <Order>1</Order> </RunSynchronousCommand> </RunSynchronous> </component> </settings> <settings pass="oobesystem"> <component name="microsoft-windows-shell-setup" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <OOBE> <HideEULAPage>true</HideEULAPage> <NetworkLocation>Work</NetworkLocation> <ProtectYourPC>1</ProtectYourPC> </OOBE> <TimeZone>Romance Standard Time</TimeZone> <UserAccounts> <LocalAccounts> <LocalAccount wcm:action="add"> <Password> <Value>UABhACQAJAB3ADAAcgBkAFAAYQBzAHMAdwBvAHIAZAA=</Value> <PlainText>false</PlainText> </Password> <Description>Default User</Description> <DisplayName>AdminLocal</DisplayName> <Group>Administrators</Group> <Name>AdminLocal</Name> </LocalAccount> </LocalAccounts> </UserAccounts> </component> <component name="microsoft-windows-international-core" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <InputLocale>fr-FR</InputLocale> <SystemLocale>fr-FR</SystemLocale> Page 173 / 409

175 Chapitre 4 : L'automatisation des installations <UILanguage>fr-FR</UILanguage> <UILanguageFallback>fr-FR</UILanguageFallback> <UserLocale>fr-FR</UserLocale> </component> </settings> <cpi:offlineimage cpi:source="catalog:f:/sources/install_windows 7 enterprise.clg" xmlns:cpi="urn:schemas-microsoft-com:cpi" /> </unattend> Pour une meilleure lisibilité, ce fichier est disponible en téléchargement via les fichiers complémentaires de ce livre. Remarque : Les composants standards mentionnés dans cet exemple sont relatifs à une version 32 bits de Windows 7. Il est toutefois possible de remplacer toutes les chaines de caractères "x86" par "amd64" afin que le fichier de réponse soit pratiquement compatible avec une version 64 bits équivalente. Dans tous les cas, utilisez l'éditeur WSIM pour valider le contenu du fichier modifié avec une véritable distribution 64 bits. Cf Mise en œuvre du fichier de réponse La post-installation Dans certains cas, il peut s'avérer utile de poursuivre le processus d'installation d'un système par une autre phase automatisée, déclenchée lors des premières ouvertures de session sur l'ordinateur. Cette particularité, appelée "autologon", peut ainsi déclencher des installations d'applications sans assistance ou un script quelconque, sous réserve d'exécution des commandes avec le niveau de privilège approprié. En fonction de l'image utilisée, le fichier de réponse doit définir cette directive ainsi que les identifiants appropriés (nom et mot de passe) du compte d'ouverture de session automatique Attention, sur un poste Windows, disposant d'un compte local unique, l'absence de mot de passe engendre également une ouverture de session automatique.(cas d'une réactivation du compte d'administrateur intégré d'une image originale de distribution). Ce comportement étant postérieur au traitement du fichier de réponse aucune directives ou commandes contenues dans la phase "oobesystem" de ce dernier ne sera 'exécutée. En d'autres termes, pour bénéficier d'un comportement entièrement automatisé incluant des traitements de post-installation, le fichier de réponse doit contenir les instructions suivantes : Création d'un compte local pour passer l'écran d'installation correspondant (cf fichier d'exemple précédemment cité) - Cette opération ne vous interdit aucunement de réactiver le compte d'administrateur intégré. En effet, soyez conscient que cette phase "oobe" correspond à l'ultime étape de l'installation et de fait, les commandes seront soumises à l'approbation du contrôle de compte d'utilisateur (UAC) Page 174 / 409

176 Chapitre 4 : L'automatisation des installations Indication du compte et le mot de passe (même vide) du compte utilisé pour l'ouverture de session automatique Précision du nombre d'ouvertures de session automatiques nécessaire. Ce processus est initialisé lors de chaque (re)démarrage de l'ordinateur. Contenir les commandes ou scripts à exécuter Pour mettre en œuvre l'ouverture de session automatique, éditez le fichier de réponse avec le gestionnaire d'image système Windows (WSIM) puis procédez comme suit: A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows-shell- Setup_ _neutral", sélectionnez l'élément "Autologon" puis utilisez le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 7 oobesystem" Au niveau de la zone "Paramètres" du cadre "Propriétés de Autologon" entrez les valeurs suivantes : Domain : <vide> (Laissez ce champ vide du fait qu'il s'agit d'un compte local) Enable : True (Active la fonctionnalité "autologon") AutologonCount : 2 (Stipule le nombre d'ouverture(s) de session automatique(s) désirée(s) - Cette valeur est décrémentée à chaque fermeture de session puis désactive la fonctionnalité lorsque le nombre atteint zéro. Username : Administrator (indique le compte à utiliser - ce compte Développez l'élément "Autologon" afin de faire apparaitre puis sélectionner l'élément "Password" Value : <vide> (Du fait que nous utilisons le compte d'administrateur intégré précédemment réactivé, et qu'il s'agit d'une distribution originale, ce champ est donc vide) Après avoir sélectionné ce champ, utilisez le menu "Edition Ecrire une chaine vide" ou le menu contextuel. Bien que la propriété (en lecture seule) indique "PlainText=True", le mot de passe est malgré cela encodé par défaut. Modifiez cet élément via le blocnotes si vous souhaitez saisir le mot de passe en clair A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows-shell- Setup_ _neutral", sélectionnez l'élément "SynchronousCommand" situé sous l'élément "FirstlogonCommands" puis utilisez le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 7 oobesystem" Au niveau de la zone "Paramètres" du cadre "Propriétés de SynchronousCommand" entrez les valeurs suivantes : CommandLine : winver.exe (Ligne de commande à exécuter suivie des éventuels paramètres - Le chemin complet peut être omis lorsque le programme est localisé dans les chemins de recherche - variable path) Page 175 / 409

177 Chapitre 4 : L'automatisation des installations Description : Pour la demo (Permet d'indiquer un commentaire facultatif sur les finalités de la commande. Order : 1 (Précise l'ordre d'exécution des commandes - Chaque ligne de commande attend la fin de la précédente - mode synchrone) RequireUserInput : vide (Cette valeur binaire, "False" par défaut, permet de marquer un point d'arrêt de 2 minutes avant l'exécution de la commande, afin d'effectuer une éventuelle intervention manuelle) Réitérez cette dernière opération afin d'entrer une seconde commande. Au niveau de la zone "Paramètres" du cadre "Propriétés de SynchronousCommand" entrez les valeurs suivantes CommandLine : Shutdown /R /T 0 Description : Redémarrage automatique Order : 2 RequireUserInput : vide Le code injecté dans le fichier résultant ressemble à ceci : <AutoLogon> <Enabled>true</Enabled> <LogonCount>1</LogonCount> <Username>Adinistrator</Username> <Password> <Value>UABhAHMAcwB3AG8AcgBkAA==</Value> <PlainText>false</PlainText> </Password> <Domain /> </AutoLogon> <FirstLogonCommands> <SynchronousCommand wcm:action="add"> <CommandLine>winver.exe</CommandLine> <Description>Pour la demo</description> <Order>1</Order> </SynchronousCommand> <SynchronousCommand wcm:action="add"> <CommandLine>Shutdown /R /T 0</CommandLine> <Description>Redémarrage automatique</description> <Order>2</Order> </SynchronousCommand> </FirstLogonCommands> Particularités du fichier de réponse (Sysprep) Après avoir détaillé quelques principes d'automatisation du processus d'installation "setup" à partir d'une distribution originale, il peut s'avérer utile de rappeler que les fichiers de réponse sont également capables de piloter les directives de préparation liées à l'outil "sysprep" En conséquence, si vous envisagez de créer votre propre distribution, vous constaterez que l'étape de préparation de l'outil "sysprep" engendre un certain nombre d'effets potentiellement indésirables. Bien que cette énumération arbitraire ne soit pas exhaustive, voici quelques palliatifs applicables à l'outil "sysprep" afin de modifier certaines directives de nettoyage par défaut. Page 176 / 409

178 Chapitre 4 : L'automatisation des installations Note : Il est possible d'utiliser un même fichier de réponse pour piloter une installation et les directives d'exécution de l'outil "sysprep" sans qu'il soit nécessaire de constituer 2 fichier séparés. Pour simplifier les explications sur les manipulations, nous considérons qu'un nouveau fichier de réponse ou un fichier existant est déjà ouvert dans l'éditeur WSIM et qu'une distribution d'image système (x86) lui est associé. 1 - Réinitialisation du compteur de réarmement de la licence Lors de l'exécution de "sysprep", la clé de licence et l'activation éventuellement associée sont supprimées. Le compteur de réinitialisation, généralement égal à "3" est décrémenté. (Similaire au résultat obtenu via la commande "SLMGR -REARM") Pour pallier cette particularité, procédez comme suit : A partir du cadre "Image Windows", développez l'arborescence des composants "Components" et sélectionnez directement le composant "x86_microsoft-windows-security-spp_neutral", Utilisez ensuite le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 3 generalize" Au niveau de la zone "Paramètres" du cadre "Propriétés de Microsoft- Windows-Security-SPP" entrez la valeur suivante : SkipRearm : 1 Notez que cette action ne fige pas la période de grâce restante et que la distribution va donc "vieillir". Autrement dit, toute installation ultérieure au crédit de jours restants au moment de "sysprep" fera passer le système de licence en mode notification, impliquant un réarmement ou la saisie d'une clé de licence. En conséquence, ce réglage doit être utilisé ponctuellement et pour préserver le quota de réarmement, dans le cas où vous souhaitez réutiliser plusieurs fois la même image de référence, typiquement dans un cadre de tests ou de mise au point. 2 - Le profil d'utilisation par défaut n'est pas conservé Dans les versions antérieures de Windows, la modification du profil par défaut consistait à copier un profil d'utilisateur de référence vers le dossier "Default User" et octroyer les droits à "Tout le monde" : ceci via l'interface de gestion des profils d'utilisateurs dans les propriétés avancées du système. Depuis Vista, non seulement l'organisation des dossiers a changé mais cette interface n'a d'utilité que pour réappliquer le profil par défaut vers un profil d'utilisateur existant. Page 177 / 409

179 Chapitre 4 : L'automatisation des installations Depuis Vista, le bouton "Copier dans " de cette interface est toujours désactivé. Bien que fonctionnel en apparence, le recours à un outil tiers tels que "windows Enabler" dans le but de réactiver ce bouton et procéder à une copie de profil selon les anciens principes n'est pas une bonne pratique. Cette technique non supportée par Microsoft, risque d'engendrer des effets indésirables et une instabilité des profils à terme. Pour modifier le profil par défaut dans Windows NT6, utilisez un compte d'utilisateur local (Idéalement celui du compte d'administrateur intégré après l'avoir réactivé au besoin) puis effectuez ensuite vos réglages préférentiels de manière classique. Une fois la préparation terminée et avant d'exécuter la commande "sysprep", vous devrez modifier le fichier de réponse comme suit : A partir du cadre "Image Windows", développez l'arborescence des composants "Components" et sélectionnez directement le composant "x86_microsoft-windows-shell-setup_ _neutral", Utilisez ensuite le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 4 specialize" Au niveau de la zone "Paramètres" du cadre "Propriétés de Microsoft- Windows- Shell-Setup" entrez la valeur suivante : CopyProfile : true Laissez les autres paramètres par défaut Pour que ce paramètre soit pris en compte, et éviter les effets du contrôle de compte d'utilisateur, il est souhaitable d'utiliser le compte administrateur intégré (préalablement réactivé). N'oubliez pas de fermer la session afin d'enregistrer les modifications réalisées dans le profil courant, puis exécutez la commande "sysprep" avec le fichier de réponse lors de la prochaine ouverture de session. Page 178 / 409

180 Chapitre 4 : L'automatisation des installations 3 - Emplacement par défaut des dossiers d'utilisateurs Ce réglage ne constitue pas une contrainte mais peut être issu d'un choix de gestion consistant à stocker les données et le système sur des partitions distinctes, ou des dossiers différents. En fait, depuis Vista, les profils et données des utilisateurs sont respectivement stockés par défaut dans les dossiers "%systemdrive%\users" et "%systemdrive%\programdata" Un fichier de réponse, utilisé conjointement avec le programme d'installation ou l'outil "sysprep", peut facilement remplacer ces emplacements. Pour cela modifiez le fichier de réponse via l'éditeur WSIM en procédant comme suit : A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows-shell- Setup_ _neutral" puis sélectionnez l'élément "FolderLocations". Utilisez ensuite le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 7 oobesystem" Au niveau de la zone "Paramètres" du cadre "Propriétés de Microsoft- Windows- Shell-Setup" entrez les valeurs suivantes : ProfilesDirectory : D:\Users (Profils des utilisateurs) ProgramData : D:\ProgramData (Données applicatives des utilisateurs) Pour que ce paramétrage soit pris en compte, la partition doit être formatée et la lettre de lecteur correctement assignée en amont (cf "Gestion des partitions" traité précédemment) Pour information, la cohabitation de profils itinérants entre des versions NT6 et antérieures n'est pas supportée. Autrement dit, suite à l'ouverture d'un profil de génération XP à partir d'un poste Windows 7, le profil modifié sera dédoublé et enregistré vers un dossier " LoginName.V2". De manière générale, pour les postes de travail, il est recommandé de privilégier les redirections de dossier au détriment des profils itinérants. Depuis Vista, un plus grand nombre de dossiers peut être redirigé et la granularité de ces derniers a été affinée. Pour cette raison, il est souhaitable de dissocier les stratégies de redirection appliquées aux versions antérieures afin de ne pas pénaliser ce mécanisme. Page 179 / 409

181 Chapitre 4 : L'automatisation des installations L'écran ci-dessus, illustre typiquement les réglages préconisés d'une stratégie de groupe applicable aux postes Vista et ultérieurs : la case "Appliquer aussi la stratégie de redirection " n'est pas cochée. La distinction de ce genre de stratégie doit être étudiée dans une politique globale de gestion et d'organisation Active Directory. En effet, il peut s'avérer judicieux de dupliquer les stratégies en fonction des plateformes auxquelles elles s'appliquent, afin de ne pas pénaliser ces mécanismes ayant fortement évolué depuis Vista. (Redirection de dossiers, fichiers hors connexion, taches planifiées, indexation, etc.) 4 - Les pilotes de périphériques tiers sont supprimés Comme évoqué dans le chapitre précédent, la phase de préparation de l'outil "sysprep" effectue par défaut un nettoyage de tous les pilotes tiers. Pour conserver ces pilotes additionnels au sein d'une image de référence, vous avez la possibilité d'ajouter la directive "PersistAllDeviceInstalls = True" dans le fichier de réponse utilisé par "sysprep" Bien que cette approche paraisse plus simple, l'intégration des pilotes tiers dans une image de référence n'est pas une solution pérenne. Une gestion dissociée des pilotes est généralement plus appropriée. Pour rappel, nous avons traité l'intérêt de l'outil DISM et la possibilité pour la mise à jour d'une image "Hors-ligne". Vous découvrirez également dans les chapitres suivants la gestion de pilotes tiers dans les services de déploiement WDS et le MDT. Si vous souhaitez cependant opter pour cette stratégie, modifiez le fichier de réponse via l'éditeur WSIM en procédant comme suit : A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows- PnpSysprep_neutral" puis utilisez ensuite le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 7 oobesystem" Au niveau de la zone "Paramètres" du cadre "Propriétés de Microsoft- Windows-PnpSysprep" entrez les valeurs suivantes : DoNotCleanUpNonPresentDevices : True (Indique de ne supprimer aucun pilote même si les périphériques correspondants ne sont pas actifs ou Page 180 / 409

182 Chapitre 4 : L'automatisation des installations détectés sur le poste - Cette directive complète l'option suivante et n'a aucun effet si cette dernière n'est pas définie ("False" par défaut). PersistAllDeviceInstalls : True (Cette option stipule de conserver l'ensemble des pilotes additionnels déjà installés sur le poste, sauf si l'option précédente n'est pas définie ("False" par défaut) - Dans ce cas, seuls les pilotes actifs durant la phase de spécialisation sont conservés) 5 - Le compte "Administrateur intégré" est systématiquement désactivé Chaque exécution de l'outil "sysprep" engendre par défaut, la désactivation du compte d'administrateur intégré. Pour pallier ce comportement, il n'existe pas de directive spécifique. Vous pouvez cependant ajouter une ligne de commande chargée de rétablir cet état d'origine en modifiant le fichier de réponse via l'éditeur WSIM comme suit : A partir du cadre "Image Windows", développez l'arborescence des composants "Components x86_microsoft-windows- Deployment_neutral_ _neutral " puis sélectionnez l'élément "RunSynchonous RunSynchonousCommand". Utilisez ensuite le menu contextuel ou le menu "Edition " pour "Ajouter le paramètre à la passe 4 specialize" Au niveau de la zone "Paramètres" du cadre "Propriétés de RunSynchonousCommand" entrez les valeurs suivantes : Action : AddListItem (par défaut). Description : Réactivation Admin (Indication facultative sur l'utilité de la commande) Order : 1 (Numéro de séquence obligatoire) Path : cmd /c net user Administrator /active:yes (Ligne de commande chargée de réactiver le compte administrateur intégré - le nom du compte doit correspondre à celui défini dans l'image - Les commandes ou scripts indiqués ici ne requiert aucune intervention utilisateur. En cas d'erreur, le processus d'installation n'est pas affecté - En cas de doute ou pour l'application d'un même fichier de réponse destiné à des images différentes, vous pouvez réitérer l'action via une autre commande "cmd /c net user Administrateur /active:yes") WillReboot : Never (Cette opération ne nécessite aucun redémarrage) 2.3. Mise en œuvre du fichier de réponse Maintenant que nous en avons balayé les principaux réglages, nous vous proposons une phase de test et de validation du fichier de réponse. Pour cela, nous allons recourir à une méthode déjà éprouvée lors des déploiements de versions antérieures de Windows. Cette technique consiste à utiliser un média amovible (historiquement une disquette) contenant le fichier de réponse en complément du support d'installation traditionnel CD/DVD. En effet, suite au démarrage sur ce genre de média CD/DVD, le processus d'initialisation recherche par défaut, un éventuel fichier de réponse présent dans le dossier du programme d'installation ou sur la racine d'un média amovible (Disquette, Disques ou clés USB). Le fichier doit être nommé Page 181 / 409

183 Chapitre 4 : L'automatisation des installations "AUTOUNATTEND.XML" ("Winnt.sif " pour les versions antérieures de Windows - hors support USB) et le cas échéant, est automatiquement associé au programme d'installation. Sous réserve de reprendre la main sur le processus d'installation, tel que dans une invite de commande WinPE, vous pouvez également tester votre fichier de réponse de manière explicite via l'instruction suivante "\Sources\SETUP /unattend:a:\autounattend.xml" Pour les besoins de ce test, nous pourrions recourir à une disquette virtuelle.vfd, associée à l'image.iso du DVD original de Windows 7 Enterprise 32 bis le tout étant affectée à une nouvelle machine virtuelle. Cependant, à moins d'utiliser un outil tiers tel que "Winimage", le contenu des disquettes virtuelles utilisées dans l'environnement Hyper-V n'est pas accessible directement dans la machine hôte. Afin de simplifier la procédure, nous opterons pour un test manuel du fichier de réponse. Toutefois, si vous retenez la solution d'installation automatique, n'oubliez pas de vérifier l'ordre d'amorçage des médias au niveau du BIOS de la machine virtuelle (ou physique) à déployer. En effet, le démarrage doit être réalisé en priorité sur le CD/DVD, et non sur le média contenant le fichier de réponse (disquette ou USB) A partir de la console "Gestionnaire Hyper-V", créez un nouvel ordinateur virtuel nommé "W7x86-Auto". Affectez-lui un minimum de "512 Mo" de mémoire, connectez-le au réseau virtuel "INTERNE HOTE". Au niveau de la fenêtre "Connecter du disque dur virtuel", conservez les valeurs par défaut (disque de 127 Go à extension dynamqiue) puis cliquez sur le bouton "Suivant". Au niveau de la fenêtre "Options d'installation ", choisissez "Installer un système d'exploitation à partir d'un CD/DVD-ROM de démarrage", puis sélectionnez l'option "Fichier image (.iso)" et utilisez le bouton "Parcourir" afin de localiser le fichier.iso correspondant à la version d'évaluation de Windows 7 x86 Entreprise, précédemment téléchargée. Cliquez sur le bouton "Suivant" puis sur le bouton "Terminer" Page 182 / 409

184 Chapitre 4 : L'automatisation des installations A ce stade, nous considérons que le fichier de réponse a été créé selon les instructions décrites dans ce chapitre. Bien que le nom et l'emplacement soient sans conséquence dans cette procédure, nous supposons que ce dernier est stocké sur la machine hôte "C:\DEPLOY\OTO\AUTOUNATTEND.XML". Nous présumons également que le dossier "C:\DEPLOY" à précédemment partagé Démarrez le nouvel ordinateur virtuel et affichez la console correspondante de celui-ci afin de constater le démarrage sur le support d'installation (aucune autre possibilité d'amorçage n'étant possible du fait que le disque dur virtuel est actuellement vierge) Lors de l'affichage de l'écran "Installer Windows", cliquez sur le bouton "Suivant" Si un média amovible contenant un fichier de réponse avait été détecté, l'affichage aurait été sensiblement différent en proposant directement l'écran suivant : Dans ce cas, le bouton "Suivant" déclenche l'interprétation des directives contenues dans le fichier de réponse. Dans notre exemple, nous allons reprendre l'initiative du processus d'installation en procédant comme suit: Ouvrez une invite de commande WinPE en appuyant simultanément sur les touches "MAj" + "F10" + Entrez ensuite chacune des commandes suivantes : Startnet Page 183 / 409

185 Chapitre 4 : L'automatisation des installations Pour rappel, cette commande à pour but d'initialiser la couche réseau et devrait engendrer l'obtention d'une adresse IP valide via le service DHCP de la machine hôte. net use z: \\ \deploy /user:administrateur Pa$$w0rd setup /unattend:z:\oto\autounattend.xml Microsoft Windows [version ] X:\Sources>startnet X:\Sources>wpeinit X:\Sources>ipconfig Configuration IP de Windows Carte Ethernet Connexion au réseau local : Suffixe DNS propre à la connexion... : Adresse IPv6 de liaison locale.....: fe80::a899:ae59:1760:14d3%2 Adresse IPv : Masque de sous-réseau : Passerelle par défaut : X:\Sources>net use z: \\ \deploy /user:administrateur Pa$$w0rd La commande s'est terminée correctement. X:\Sources>setup /unattend:z:\oto\autounattend.xml X:\Sources> A l'issue de ces commandes, après lecture du fichier de réponse associé explicitement, un écran identique à celui d'une détection automatique est alors affiché. Cliquez sur le bouton "Suivant" Le fichier contenant les directives de partitionnement et la distribution n'étant composé que d'une seule image, le processus d'installation se poursuit sans aucune confirmation. Page 184 / 409

186 Chapitre 4 : L'automatisation des installations Laissez le processus d'installation, incluant un redémarrage automatique, se poursuivre sans aucune intervention. Après quelques minutes, incluant l'installation des périphériques, l'application des paramètres système par défaut, ainsi que second redémarrage, la phase de finalisation devrait vous demander d'indiquer un nom d'ordinateur ("PC" par défaut) Page 185 / 409

187 Chapitre 4 : L'automatisation des installations Notez que cet écran ne propose pas la création d'un compte d'utilisateur (par défaut l'administrateur équivalent) du fait que cette opération est réalisée via le fichier de réponse. Entrez un nom d'ordinateur, comme par exemple "W7x86-Auto" puis cliquez sur le bouton "Suivant" Si le fichier de réponse inclut la directive "autologon" mentionnée en amont de ce chapitre, une ouverture automatique de session est alors effectuée et les commandes indiquées sont alors exécutées. A l'issue de ces commandes, le poste est opérationnel pour l'utilisateur final sous réserve d'affecter une clé de licence et de réaliser une éventuelle jonction manuelle à un domaine Active Directory non traitée dans cet exemple. 3. Personnalisation automatique WinPE 3.0 avec WAIK 3.1. Présentation des objectifs de cet atelier facultatif Maintenant que vous avez découvert quelques facettes du kit de déploiement WAIK, nous vous proposons d'aller un peu plus loin en matière de personnalisation de cet environnement. Cet atelier facultatif va vous conduire à la réalisation d'un petit script "MAKEPE3.cmd" chargé de créer automatiquement un environnement WinPE 32 bits en y ajoutant votre touche personnelle. Pour rappel, contrairement au noyau WinPE d'un DVD d'installation, le noyau WinPE du kit WAIK est très épuré : il n'y a donc que très peu d outils (diskpart, Page 186 / 409

188 Chapitre 4 : L'automatisation des installations chkdsk, notepad ) et plusieurs fonctionnalités intéressantes sont désactivées (WSH, WMI, HTA ) - Notez que ce socle de base initialise la couche réseau (si la carte et un pilote associé est disponible) et qu'il sera alors possible d'aller chercher les outils et autres compléments sur un serveur. Notez également que par défaut, il n'y a aucun outil pour générer ou restaurer un fichier.wim Enfin, pour rappel, WinPE ne propose aucun bureau, ni d'authentification de session. Avant de créer puis exécuter le script de création automatique, nous allons détailler et commenter chacune des étapes : La structure de personnalisation Les prérequis : - Le WAIK doit être préalablement installé et le script devra être exécuté à partir d'une invite de commande des outils de déploiement. - Le script sera stocké dans un dossier quelconque "C:\DemoPE" contenant un sous-dossier arbitrairement nommé "PersoPE" MD C:\DemoPE CD C:\DemoPE ECHO SET PE=%~dp0 > MAKEPE3.cmd Le script utilise une variable %PE% chargée de récupérer le chemin du script "MAKEPE3.cmd" (soit "C:\DemoPE " dans cet exemple) En premier lieu, il convient de créer une structure destinée à recevoir les fichiers de personnalisation. Cette arborescence de dossiers sera arbitrairement stockée dans un sous-dossier "PersoPE" et aura la composition suivante : Page 187 / 409

189 Chapitre 4 : L'automatisation des installations Dans l'immédiat, créez simplement cette structure via l'explorateur Windows ou une invite de commande: MKDIR %PE% MKDIR %PE%\PersoPE\Drivers MKDIR %PE%\PersoPE\KernelTools MKDIR %PE%\PersoPE\MediaTools Pour expliquer cette structure, nous allons poser quelques questions : Est-ce que tous les périphériques sont nativement reconnus par WinPE? En effet, en fonction des matériels utilisés dans mon environnement, certain périphériques peuvent restés inconnus et donc inutilisables sous WinPE Focalisez principalement vos recherches sur les périphériques réseau, les disques durs et contrôleurs associés, ainsi que les composants intégrés (chipsets). Dans les environnements virtuels ou exotiques vous pouvez être amené à identifier et récupérer les pilotes de carte graphique et/ou d'intégration Notez que WinPE détecte dynamiquement l'usb et que vous pourrez toujours utiliser l'outil intégré "DRVLOAD" pour charger et/ou tester un pilote manquant à partir d'une clé USB. Le sous-dossier "Drivers" est donc destiné à recevoir les pilotes à intégrer au noyau dans le format.inf. Ne copiez sans aucun exécutable d'installation de pilote - Utilisez des produits d'extraction tels que "DriverBackup" si le constructeur ne propose pas d'autre solution. Ces pilotes peuvent éventuellement être rangés dans leurs sous-dossiers respectifs. Le script se chargera de l'intégration comme suit : :Drivers if not exist %PE%PersoPE\Drivers\nul goto KTools Echo - Ajout des pilotes additionnels DISM /image:.\mount /add-driver /driver:%pe%persope\drivers /recurse /forceunsigned Où dois-je installer mes outils? Le stockage au sein même du noyau WinPE est une solution plus pratique car la lettre de affectée ay système WinPE est toujours "X:" mais cela va alourdir la quantité de mémoire utilisée par le "Ramdrive". Le stockage sur le média WinPE, est plus intéressant, surtout dans le cas d'outils volumineux ou utilisés très ponctuellement. Cependant, la lettre du média est variable et il peut s'avérer nécessaire d'employer un script pour localiser la bonne lettre d'unité. OFF FOR %%i IN (C D E F G H I J K L M N O P Q R S T U V W Y Z) DO IF EXIST %%i:\sources\boot.wim SET MEDIAPE=%%i ECHO MediaPE = %MEDIAPE%: Page 188 / 409

190 Chapitre 4 : L'automatisation des installations Pour rappel, les outils doivent être autonomes (binaires simples, ou ensemble de fichiers qui ne requièrent aucun processus d'installation, ni dépendance avec des composants Windows tels que le framework.net) Nous opterons donc pour la création de 2 sous-dossiers distincts: Le premier nommé "KernelTools" est destiné aux outils qui seront intégrés dans le noyau. Vous pouvez y copier quelques outils essentiels tels que "IMAGEX", quelques outils graphiques plus conviviaux ainsi que le script de localisation du média WinPE évoqué précédemment. Afin de bénéficier du chemin de recherche (Path), évitez de créer des sousdossiers pour ces programmes qui seront copiés dans le répertoire Windows. Le script se chargera de l'intégration comme suit : :KTools if not exist %PE%PersoPE\KernelTools\nul goto Media Echo - Ajout des outils additionnels xcopy %PE%PersoPE\KernelTools\*.*.\Mount\Windows\*.* /S COPY "C:\Program Files\Windows AIK\Tools\x86\imagex.exe" %PE%PersoPE\KernelTools Téléchargement : COPY C:\DL\GIMAGEX_2.0.17\Install\x86\GIMAGEX.exe %PE%PersoPE\KernelTools Téléchargement : COPY C:\DL\Explorer++\Explorer++_x86.exe %PE%PersoPE\KernelTools Téléchargement : COPY C:\DL\NU2menu\*.* %PE%PersoPE\KernelTools Les programmes proposés par "NU2menu" doivent être définis dans le fichier de configuration spécifique : "%PE%\PersoPE\KernelTools\nu2menu.xml" <?xml version="1.0"?> <NU2MENU ID="Nu2MenuSystem001" AUTHOR="Henk de Jong" DATE=" , 20:15" VERSION="V0.350" COPYRIGHT="(c) Nu2 Productions" REMARK="ALL NODES ARE CASE-SENSITIVE!!!!!"> <MENU ID="mainmenu"> <MITEM TYPE="ITEM">Host <MITEM TYPE="ITEM" DISABLED="@SetMenuPos( 'L','B' ))" CMD="RUN" FUNC="@GetWinDir()\system32\notepad.exe" PARM="1">Bloc- Notes</MITEM> <MITEM TYPE="SEPARATOR"></MITEM> <MITEM TYPE="POPUP" MENUID="admin">Admin</MITEM> <MITEM TYPE="POPUP" MENUID="scripts">Scripts</MITEM> <MITEM TYPE="SEPARATOR"></MITEM> Page 189 / 409

191 Chapitre 4 : L'automatisation des installations <MITEM TYPE="ITEM" CMD="RUN" )cmd.exe">invite de commande</mitem> <MITEM TYPE="ITEM" CMD="RUN" FUNC="@GetWinDir()\system32\Diskpart.exe">Diskpart</MITEM> <MITEM TYPE="ITEM" CMD="RUN" 'Select directory', 'c:\')))cmd.exe">invite de commande vers un dossier</mitem> <MITEM TYPE="SEPARATOR"></MITEM> <MITEM TYPE="ITEM" CMD="RUN" FUNC="explorer++_x86.exe">Explorateur</MITEM> <MITEM TYPE="ITEM" CMD="RUN" FUNC="gimagex.exe">GImageX</MITEM> <MITEM TYPE="ITEM" CMD="RUN" FUNC="WDSCapture.exe">WDSCapture</MITEM> <MITEM TYPE="SEPARATOR"></MITEM> <MITEM TYPE="ITEM" CMD="EXIT">Quitter</MITEM> </MENU> <MENU ID="admin"> <MITEM TYPE="ITEM" CMD="RUN" FUNC="@GetWinDir()\system32\taskmgr.exe">Gestionnaire des taches</mitem> <MITEM TYPE="ITEM" CMD="RUN" FUNC="@GetWinDir()\system32\regedit.exe">Edition du registre</mitem> <MITEM TYPE="ITEM" CMD="RELOAD">Rechargement menu</mitem> <MITEM TYPE="ITEM" CMD="RUN" menu</mitem> </MENU> <MENU ID="scripts"> <MITEM TYPE="ITEM" CMD="RUN" FUNC="WMIC LOGICALDISK GET NAME,DESCRIPTION">Liste des lecteurs</mitem> <MITEM TYPE="ITEM" CMD="RUN" FUNC="WPEUTIL INITIALIZENETWORK">Initialisation des couches reseau</mitem> <MITEM TYPE="ITEM" CMD="RUN" FUNC="DRVLOAD">Chargement de pilote</mitem> </MENU> </NU2MENU> Le second sous-dossier nommé "MediaTools" sera chargé de contenir les outils à intégrer au média WinPE (Ces programmes doivent également être des exécutables autonomes ne nécessitant pas d'installation) - Ils seront injectés dans un répertoire "Tools" situé à la racine du média WinPE. Vous pouvez trouver de nombreux outils graphiques opérationnels sous WinPE et susceptibles de vous faciliter les opérations de dépannage d'un système Windows. Attention à respecter le cadre d'utilisation de WinPE et les contraintes légales d'utilisation des logiciels. Pour rappel, WinPE n'inclut aucune licence au sens "utilisateur" et l'ajout de programmes doit rester dans les limites des outils liés diagnostics, de réparation ou de déploiement d'un système. Pour information, dans le cadre d'une souscription à un contrat "Software Assurance" ou "MSDN", vous pouvez prétendre au "Microsoft Desktop Optimization Pack", incluant le "Microsoft Diagnostics and Recovery Toolset". Ce produit particulier consiste à inclure une véritable boite à outils techniques construite à partir d'un socle WinPE. Le résultat s'inscrit dans un écran "WinRE" sensiblement modifié, incluant un nouveau lien vers la boite à outils de Microsoft Page 190 / 409

192 Chapitre 4 : L'automatisation des installations Aperçu de la boite à outils "MsDaRT Tools" CH4-17c.png Page 191 / 409

193 Chapitre 4 : L'automatisation des installations A titre d'exemple, voici un petit tableau d'équivalence approximative susceptible de constituer votre propre boite à outils. Outil Description Equiv. MsDaRT NTPWEdit Réactivation des comptes locaux et réinitialisation des mots de passe. Locksmith Regedit Edition du registre ERD Registry Editor Explorer++ A43 Q-Dir Explorateurs de fichiers PENetwork Gestion d'adresse IP et connexion de lecteur réseau ClamWin Stinger Ultra Search File Antivirus Outil de suppression des logiciels malveillants Microsoft Windows (KB890830) Recherche de fichiers Explorer TCP/IP Config Standalone System Sweeper Search Recuva Récupération de fichiers effacés File Restore Eraser Suppression définitive de contenu N/A N/A Disk Wipe Hotfix Uninstall Computer Management N/A ERD Disk Commander Resysinfo SIW HD Tune Checkdisk Disk2VHD Partition Wizard Home Edition AOMEI Parition Assistant Affichage d'information système sur le matériel et les logiciels Testeur/vérificateur de disque dur Clonage d'un disque physique vers un fichier de disque virtuel.vhd Outil de repartionnement N/A N/A N/A N/A HxD Editeur hexadécimal N/A PStart Utilitaire de lancement N/A Page 192 / 409

194 Chapitre 4 : L'automatisation des installations NU2Menu BS Explorer d'applications Vous pouvez consulter des sites spécialisés tels que Le script se chargera de l'intégration comme suit : :Media if not exist %PE%PersoPE\MediaTools\nul goto Fin Echo - Copie des outils complementaires sur le media PE MKDIR.\ISO\Tools xcopy %PE%PersoPE\MediaTools\*.*.\ISO\Tools\*.* /S Est-ce que qu'un ou plusieurs outils doivent démarrer automatiquement? Par défaut, le chargement de WinPE fournit dans le kit s'achève par une invite de commande après l'exécution du script d'initialisation "startnet.cmd" des couches réseaux. Pour exécuter vos propres commandes ou programmes immédiatement après le démarrage de WinPE, vous pouvez opter pour l'une des possibilités suivantes: Unattend.xml : Cette technique de lancement consiste à créer un fichier "unattend.xml" chargé de piloter le programme d'initialisation "\setup" qui à défaut, affiche l'écran d'accueil "\Setup". Bien qu'il s'agisse d'un fichier de réponse, il n'est pas possible de recourir à l'assistance de l'éditeur WISM pour créer ce type de fichier du fait que les images "WinPE (Boot.wim) ne peuvent pas être cataloguées, ni associées via l'outil. Pour information, voici le fichier utilisée par le Microsoft Deployment Toolkit. <?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="windowspe"> <component name="microsoft-windows-setup" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" <Display> <ColorDepth>16</ColorDepth> <HorizontalResolution>1024</HorizontalResolution> <RefreshRate>60</RefreshRate> <VerticalResolution>768</VerticalResolution> </Display> <RunSynchronous> <RunSynchronousCommand wcm:action="add"> <Description>Lite Touch PE</Description> <Order>1</Order> <Path>wscript.exe X:\Deploy\Scripts\LiteTouch.wsf</Path> </RunSynchronousCommand> </RunSynchronous> </component> </settings> </unattend> Page 193 / 409

195 Chapitre 4 : L'automatisation des installations Startnet.cmd : Nous avons déjà utilisé ce point d'entrée "startnet.cmd" dans le chapitre 2 et vous pouvez réutiliser ce fichier personnalisé ou recréer un fichier standard par la commande suivante: ECHO WPEINIT > %PersoPE%\STARNET.CMD Winpeshl.ini : Cette troisième possibilité de lancement automatique est probablement la plus adaptée à notre besoin. En effet, il suffit de créer un simple fichier nommé "Winpeshl.ini" dans le dossier "X:\Windows\System32" afin qu'il soit interprété par le shell WinPE "Winpeshl.exe". La syntaxe de ce fichier "Winpeshl.ini" est détaillée dans les fichiers d'aide du kit WAIK et dans cet exemple contiendra les lignes suivantes : [LaunchApp] AppPath = %SYSTEMDRIVE%\WINDOWS\nu2menu.exe Pour information, cette technique est utilisée par la console de gestion des services de déploiement Windows WDS lorsque vous sollicitez l'assistant de déclinaison des images de démarrage (Cf Chapitre 5) Pour une image de capture le contenu est le suivant. [LaunchApps] %SYSTEMROOT%\system32\wdscapture.exe Pour une image de découverte le contenu est le suivant. [LaunchApps] %SYSTEMDRIVE%\sources\setup.exe,"/wds /wdsdiscover /WdsServer:wdssrv.labs.eni" Cette technique est également employée pour les images de récupération (WinRE) dont le contenu est le suivant. [LaunchApp] AppPath=X:\sources\recovery\recenv.exe A ce stade la structure de personnalisation est quasiment achevée et vous pouvez apporter une touche finale en modifiant le fond d'écran par défaut. Pour cela vous devez simplement déposer à la racine de cette structure, au même niveau que les fichiers de lancement automatique, un fichier nommé "winpe.bmp". En fonction de vos aspirations vous pouvez créer votre propre image de type "bitmap" et/ou vous inspirer de l'image existante par défaut; Page 194 / 409

196 Chapitre 4 : L'automatisation des installations 3.2. Le script de création "MAKEPE3.cmd" Préparation de la structure de travail Le script "MAKEPE3.cmd" va se charger de préparer la structure de travail en appelant le script du WAIK prévu à cet effet: COPYPE x86..\%pe%mype_x86 L'exécution de ce batch génère un dossier à l'emplacement indiqué dont la structure comprend principalement : Un dossier "ISO" -> Son contenu correspond au média final (un CD, une clé USB ou un disque) Un fichier "Winpe.wim" -> Le noyau de WinPE 32 bit (x86) qui sera chargé en mémoire (ramdrive) lors d un démarrage sur le média final. Afin d'éviter des redondances et les confisions, le script le déplacera immédiatement dans son dossier définitif. MOVE winpe.wim ISO\Sources\boot.wim Le fichier "etfsboot.com" est un binaire de démarrage CD/DVD (ElTorito Boot Sector). Ce fichier est uniquement nécessaire si le média final est un CD/DVD amorçable. (cf OSCDIMG) Le répertoire "Mount" est un dossier vide utilisé pour le montage et la personnalisation du noyau WinPE Ajout des fonctionnalités dans le noyau Avant de procéder à l'ajout des fonctionnalités dans le noyau, il convient de souligner que le WAIK 3.0.ne fournit malheureusement plus les outils de réparation SRT (System Repair Tool), en tant que package indépendant. Page 195 / 409

197 Chapitre 4 : L'automatisation des installations Cette option est habituellement disponible sur un DVD original via le lien "Réparer l'ordinateur" Si vous souhaitez disposer des outils de réparation dans votre noyau WinPE personnalisé vous devez extraire un noyau spécialisé nommé "winre.wim" à partir d'une distribution originale de Windows 7. Pour des raisons de simplicité, le script ne prend pas en charge cette particularité. Insérez un DVD original Windows 7 ou l'image.iso équivalente dans le lecteur que nous nommerons "H:" puis exécutez les commandes suivantes MD %PE%TEMP IMAGEX /MOUNT H:\Sources\install.wim 1 %PE%TEMP COPY %PE%TEMP\windows\system32\recovery\winre.wim %PE%MyPE_86\ISO\Sources\boot.wim /Y IMAGEX /UNMOUNT %PE%TEMP RD %PE%TEMP Ce noyau inclut déjà les packages suivants : WinPE-SRT WinPE-Scripting WinPE-Setup WinPE-WDS WinPE-WMI Pour ajout des packages de fonctionnalités supplémentaires dans le noyau, il faut modifier le contenu de BOOT.WIM, et "monter" ce fichier en lecture/écriture dans le répertoire de travail prévu à cet effet, via l'une des commandes suivantes: IMAGEX /MOUNTRW.\ISO\Sources\boot.wim 1.\MOUNT ou DISM /Mount-WIM /WimFile:.\ISO\Sources\boot.wim /index:1 /MountDir:.\mount Au titre d'une vérification, la commande suivante permet d'obtenir la liste et l état des packages de fonctionnalités intégrées dans le noyau WinPE, DISM /Image:.\mount /Get-Packages Notez qu'il n'y a que le package de base (Foundation) actuellement installé ainsi que son pack de langue associé. L ensemble de ces packages linguistiques (x86 français) sont situés dans le répertoire : "C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\fr-fr\*.cab" LE script va donc procéder à l'ajout des packages pratiquement indispensables WSH, WMI, HTA ainsi que des composants plus spécialisés tels que MDAC, WDS-Tools Page 196 / 409

198 Chapitre 4 : L'automatisation des installations Notez que pour chaque package, il faut également penser à ajouter le pack de langue associé. Pour simplifier la saisie, le script positionne 2 variables d environnement %FP% et %LP% chargées de référencer respectivement les chemins d'accès aux packages (features) et aux packs linguistiques SET FP=C:\Program Files\Windows AIK\Tools\PETools\ x86\winpe_fps SET LP=fr-fr Vous pouvez vérifier que les variables fonctionnent correctement en listant les fichiers via les commandes suivantes (pensez aux guillemets en raison des espaces contenus dans les noms des dossiers) DIR "%FP%\*.cab" DIR "%FP%\%LP%\*.cab" Le pack de langue de base "fr-fr\lp_fr-fr.cab" est déjà intégré du fait que le WAIK utilisé est déjà localisé en version française. Pour cette même raison, le clavier AZERTY est également actif par défaut. Ajout de la fonctionnalité Windows Scripting Host : (Prise en charge des scripts.vbs,.wsf ) DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpescripting.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\%LP%\winpescripting_%LP%.cab" Ajout de la fonctionnalité Windows Management Iinfrastrcuture : (Prise en charge de l'infrastructure de gestion Windows et de la commande "WMIC") DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpewmi.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\%LP%\winpewmi_%LP%.cab" Ajout de la fonctionnalité HTml Applications : (Support des applications HTML - Prises en charge via Interpréteur "MSHTA.exe") DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpehta.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\%LP%\winpehta_%LP%.cab" Page 197 / 409

199 Chapitre 4 : L'automatisation des installations Ajout de la fonctionnalité Microsoft Data Access Components : (Support des composants de base de données "ActiveX Data Object", Open DataBase Connectivity ) DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpemdac.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\%LP%\winpemdac_%LP%.cab" Ajout de la fonctionnalité Windows Deployment Services : (Ajoute les outils des services de déploiement Windows tel que l'outil "WDSCapture") DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpe-wdstools.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\%LP%\winpewds-tools_%LP%.cab" Vous pouvez de nouveau vérifier que les fonctionnalités ont été correctement installées dans le noyau WinPE via la commande suivante: DISM /image:.\mount /Get-Packages Modification du registre WinPE Dans cette démonstration, nous proposons d'ajouter un explorateur graphique de fichiers. Par défaut, les fichiers protégés du système (portant l'attribut "Système") ne sont pas visibles et il est nécessaire de réaliser une petite modification du registre WinPE pour pallier ce comportement. (Cette particularité a déjà été évoquée au chapitre 2) REG LOAD HKLM\WinPE.\Mount\Windows\System32\config\DEFAULT REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv anced REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv anced /v ShowSuperHidden /t REG_DWORD /d 1 REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv anced /v SuperHidden /t REG_DWORD /d 0 REG UNLOAD HKLM\WinPE Finalisation Le script se charge de l'intégration des pilotes, des outils et des fichiers de démarrage préalablement copiés dans la structure de personnalisation. Page 198 / 409

200 Chapitre 4 : L'automatisation des installations La finalisation Il ne reste plus qu'à démonter l'image du noyau WinPE modifié, en n'oubliant surtout pas de la valider les changements (/commit) via l'une des commandes suivantes : IMAGEX /UNMOUNT.\MOUNT /commit ou DISM /Unmount-Wim /MountDir:.\mount /commit Enfin, si vous souhaitez graver le résultat sur un CD ou le tester dans une machine virtuelle, utilisez la commande de génération du fichier ISO suivante: OSCDIMG -n -betfsboot.com.\iso MyPE_x86.iso Aperçu du résultat obtenu dans une machine virtuelle Contenu global du script off Echo Attention : Ce script doit etre lance a partir de l'invite de commande Windows AIK SET PE=%~dp0 Echo Chemin des personnalisations : %PE%PersoPE TREE %PE%PersoPE Echo. Echo Attention : Ce script doit être execute a partir de l'invite de commande Windows AIK if "%1"=="d" Echo --- Mode Demo/Debug actif ---- Echo Appuyez sur CTRL + C pour stopper ce script ou Page 199 / 409

201 Chapitre 4 : L'automatisation des installations Pause Echo - Preparation de la structure de travail if exist %PE%MyPE_x86\nul rmdir %PE%MyPE_x86 /S /Q call COPYPE x86 %PE%MyPE_x86 Rem le dossier courant devient %PE%MyPE_x86 Echo - Deplacement du noyau au bon endroit MOVE winpe.wim ISO\Sources\boot.wim Echo. Rem Remplacer eventuellement ce noyau par WinRE Rem CALL CopyRE.cmd if "%1"=="d" pause Echo. Echo - Montage du noyau WinPE en lecture-ecriture DISM /Mount-WIM /WimFile:.\ISO\Sources\boot.wim /index:1 /MountDir:.\mount Echo. if "%1"=="d" Echo - Verification de la disponibilite des packages dans le Kit SET FP=C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs SET LP=fr-fr if "%1"=="d" DIR "%FP%\*.cab" if "%1"=="d" pause if "%1"=="d" DIR "%FP%\%LP%\*.cab" if "%1"=="d" pause Echo. Echo - Enumerer les fonctionnalites du noyau WinPE (Avant) DISM /image:.\mount /get-packages Echo. if "%1"=="d" pause Echo - Ajout des fonctionnalites dans le noyau WinPE DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpescripting.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\%LP%\winpescripting_%LP%.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpewmi.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\%LP%\winpewmi_%LP%.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpehta.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\%LP%\winpehta_%LP%.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpemdac.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\%LP%\winpemdac_%LP%.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpe-wdstools.cab" DISM /image:.\mount /Add-Package /PackagePath:"%FP%\%LP%\winpewds-tools_%LP%.cab" Echo - Enumerer les fonctionnalites du noyau WinPE (Apres) DISM /image:.\mount /get-packages Echo. if "%1"=="d" pause Echo - Modification du registre REG LOAD HKLM\WinPE.\Mount\Windows\System32\config\DEFAULT REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv anced Page 200 / 409

202 Chapitre 4 : L'automatisation des installations REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv anced /v ShowSuperHidden /t REG_DWORD /d 1 REG ADD HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv anced /v SuperHidden /t REG_DWORD /d 0 REG UNLOAD HKLM\WinPE Echo. :Drivers if not exist %PE%Drivers\nul goto KTools Echo - Ajout des pilotes additionnels DISM /image:.\mount /add-driver /driver:%pe%drivers /recurse /forceunsigned Echo. if "%1"=="d" pause :KTools if not exist %PE%PersoPE\KernelTools\nul goto Media Echo - Ajout des outils additionnels xcopy %PE%PersoPE\KernelTools\*.*.\Mount\Windows\*.* /S Echo. if "%1"=="d" pause :Media if not exist %PE%PersoPE\MediaTools\nul goto Fin Echo - Copie des outils complementaires sur le media PE MKDIR.\ISO\Tools xcopy %PE%PersoPE\MediaTools\*.*.\ISO\Tools\*.* /S Echo. if "%1"=="d" pause :Fin Echo - Ajout des fichiers complementaires if exist %PE%PersoPE\winpe.bmp copy /Y %PE%PersoPE\winpe.bmp.\Mount\Windows \System32\winpe.bmp if exist %PE%PersoPE\startnet.cmd copy /Y %PE%PersoPE\startnet.cmd.\Mount\Windows \System32\startnet.cmd if exist %PE%PersoPE\winpeshl.ini copy /Y %PE%PersoPE\winpeshl.ini.\Mount\Windows \System32\winpeshl.ini if exist %PE%PersoPE\unattend.xml copy /Y %PE%PersoPE\unattend.xml.\Mount\unattend.xml Echo. if "%1"=="d" pause Echo - Finalisation et validation des modifications DISM /Unmount-Wim /MountDir:.\mount /commit Echo. Echo Fin du processus de personalisation!.. Echo Pour generer l'image ISO prete a graver, utilisez la commande suivante Echo OSCDIMG -n -betfsboot.com.\iso MonPE.iso Echo Pour une utilisation sur clef USB, utilisez DISKPART pour creer la partition Echo puis copiez integralement le contenu du repertoire ISO vers cette clef USB. Page 201 / 409

203 Chapitre 4 : L'automatisation des installations CD.. Note : Vous pouvez ajouter le paramètre "d" lors de l'appel du script afin d'activer le mode "demo/debug" et ainsi déclencher des pauses durant l'exécution. Page 202 / 409

204 Chapitre 5 : Services de déploiement Windows (WDS) Chapitre 5 : Services de déploiement Windows (Windows Deployment Services) 1. Introduction Ce chapitre a pour objectif de vous faire découvrir l''intérêt des Services de déploiement Windows. Complémentaire aux solutions de déploiement de machines, le recours à un serveur "PXE" ( Pre-boot execution Environment) permet de centraliser et simplifier la gestion des distributions et des outils de maintenance. Contraintes des médias Depuis plusieurs années, Microsoft propose ce type de service autour de produits complémentaires tels que SMS (Systems Managment Server), puis SCCM (System Center Configuration Manager) ou intégrés aux distributions "Windows Server", tel que RIS (Remote Installation Services) puis (WDS - Windows Deployment Services). Les Services de déploiement Windows - WDS (Windows Deployment Services), sont intégrés aux distributions "Windows Server 2003 sp2" et ultérieures. Ils reposent principalement sur un service PXE fournissant le processus d'amorçage des clients via le réseau et d'un service TFTP (Trivial File Transfer Protocol) pour le téléchargement des images vers ces clients. Les Services de déploiement Windows prennent naturellement en charge le format d images WIM, intégrant le support de WinPE - Il est également possible d'installer WDS en tant que mise à des Services d'installation à distance (RIS) afin d'assurer la cohabitation des 2 solutions sur un même serveur (mode "Mixte") - Par opposition, le mode "Natif" indique que le serveur ne prend pas en charge les Services d'installation à distance d'ancienne génération. Pour ne pas développer inutilement l'historique, et focaliser notre présentation sur la solution actuelle voici un schéma résumant les évolutions des solutions de déploiement Windows Page 203 / 409

205 Chapitre 5 : Services de déploiement Windows (WDS) Afin de resituer notre contexte de travail, le schéma ci-après symbolise les principaux éléments clés d'un processus de déploiement. Partant d'un poste de référence dument préparé avec "sysprep", les images résultantes sont stockées sur un média puis déployées vers les ordinateurs cibles. Le poste du technicien est aussi mentionné à titre indicatif pour l'édition des fichiers de réponse et la personnalisation des images.wim et.iso mais n'intervient pas directement dans ce processus. L'élément "WDS (PXE)" situé au centre de ce dessin est également au cœur des propos de ce chapitre et symbolise toute une infrastructure que nous allons détailler maintenant. Présentation de la maquette. Afin de tendre vers un véritable scénario d'exploitation, nous avons opté pour une séparation totale des principaux rôles de serveur composant cette infrastructure. Ainsi, les rôles de contrôleur de domaine Active Directory (ADDS) et les services de déploiement Windows (WDS) seront installés au sein de 2 Page 204 / 409

206 Chapitre 5 : Services de déploiement Windows (WDS) machines virtuelles distinctes. Les services DHCP seront fournis par la plateforme physique au même titre qu'un serveur indépendant ou un équipement réseau autonome. Les clients sont des machines virtuelles configurées pour démarrer sur le réseau (Clients PXE avec carte réseau héritée). 2. Préparation de la maquette Avant de procéder à l'installation des Services de déploiement Windows (WDS), un certain nombre de prérequis doivent être vérifiés: Le futur serveur WDS doit être installé au minimum sur Windows Server 2003 sp1 et membre d'un domaine Active Directory Un service DHCP doit être présent sur le réseau Idéalement, une partition NTFS ou un disque dédié au stockage des images.wim Afin de gagner un peu de temps lors de l'installation de ces 2 machines virtuelles supplémentaires, tout en balayant une de nouvelles facettes techniques d'installation, nous vous proposons une procédure fortement inspirée de la configuration réalisée au chapitre 3 - B2a (variante graphique). Cette technique de préparation est très employée pour provisionner des modèles "Prêt à installer" au sein des environnements virtuels (Templates) mais peut servir également de technique de déploiement Windows 7 via les services de déploiement Windows (WDS) dans le cadre d'un démarrage natif sur disque virtuel. Page 205 / 409

207 Chapitre 5 : Services de déploiement Windows (WDS) 2.1. Installation et configuration des prérequis (1 ) Création du disque VHD A partir du menu "Démarrer" de la machine physique, exécutez "DISKMGMT.msc", puis dans la console "Gestion des disques" utilisez le menu "Action Créer un disque dur virtuel". Dans la fenêtre "Créer et attacher un disque dur virtuel", dans le champ "Emplacement" entrez un nom complet désignant le fichier de disque dur virtuel à créer, "C:\Hyper- V\VHDs\W2008R2-Base.vhd". Au niveau de la ligne "Taille du disque dur virtuel :", entrez la valeur "40" dans le champ de saisie, sans oublier de sélectionner l'unité de grandeur "Go" dans la liste déroulante. Dans le cadre "Format du disque dur virtuel", sélectionnez l'option "Taille dynamique" (Ce choix permet d'accélérer le processus de création au détriment des performances de ce disque virtuel mais ce dernier pourra ultérieurement être converti en disque à taille fixe pour des besoins de production) Cliquez sur le bouton "OK" pour terminer. Dans la console "Gestion des disques", l'opération de création d'un disque dur virtuel enchaine automatiquement l'attachement de ce dernier. Un nouveau disque dur apparait dans cette interface graphique, symbolisé par une icône bleuté indiquant qu'il s'agit d'un disque virtuel. Page 206 / 409

208 Chapitre 5 : Services de déploiement Windows (WDS) Sélectionnez la zone à gauche "Disque n", puis utilisez le menu "Action Toutes les taches initialiser le disque" ou le menu contextuel. Dans la fenêtre "Initialiser le disque", le disque doit être déjà sélectionné et l'option du type de partition positionné sur "Secteur de démarrage principal" (Master Boot Record) Précisions : MBR versus GuidPT Depuis NT6, Windows supporte 2 types de gestion de partition y compris pour les disques système, contrairement au versions précédentes. Le format traditionnel "Secteur de démarrage principal", communément dénommé disque "MBR" supporte une taille maximale de 2 To, dont il limite le "découpage" à 4 partitions. C'est d'ailleurs pour cette raison que la console "Gestion des disques", refuse la création d'une 4ème partition principale et impose le type "Etendue" sur le reste disque afin d'exploiter au maximum cet espace via un ou plusieurs les lecteurs logiques Le format "Partition GPT (GUID Partition Table)" permet d'outrepasser les limites MBR tant en termes de taille que du nombre de partitions. Cependant, pour un disque système, ce type d'amorçage ne sera supporté que par des machines EFI ou UEFI (Unified Extended Firmware Interface). Véritable microsystème (pourquoi pas même un hyperviseur) intercalé entre un système d'exploitation et le matériel, l'uefi développé en langage C, est à terme appelé à remplacer le BIOS traditionnel de nos bons vieux ordinateurs. La conversion de ce format peut être réalisée tant que le disque est vierge (via le gestionnaire de disques ou l'outil DISKPART). Autrement dit, une fois en exploitation, il est nécessaire de sauvegarder puis détruire le contenu pour réaliser ce changement de format. Revenons à notre manipulation : Cliquez sur le bouton "OK" pour initialiser le disque au format MBR. Sélectionnez la zone correspondant à l'espace non alloué puis utilisez le menu "Action Toutes les taches Nouveau volume simple" ou le menu contextuel. Page 207 / 409

209 Chapitre 5 : Services de déploiement Windows (WDS) Dans l'assistant de création d'un volume simple, cliquez sur le bouton "Suivant ", vérifiez que la taille proposée occupe l'intégralité de l'espace disponible puis cliquez de nouveau sur le bouton "Suivant ". Relevez ou changez la lettre d'unité proposée, par exemple "H:" puis cliquez sur le bouton "Suivant ". Au niveau de l'écran "Formater une partition", conservez les valeurs par défaut, système de fichier "NTFS", taille d'unité d'allocation "Par défaut", et la case "Effectuer un formatage rapide" cochée. Entrez éventuellement un nom de volume tel que "W2K8R2-SYS" puis cliquez sur le bouton "Suivant ". Cliquez sur le bouton "Terminer". Après quelques secondes le disque est prêt. Fermez l'éventuelle fenêtre d'exécution automatique Note : A l'instar d'un disque SCSI enfichable à chaud ("Hot-plug") un disque virtuel peut être assimilé à un support amovible Sélectionnez cette nouvelle partition "H:" puis utilisez le menu "Action Toutes les taches Marquer la partition comme active " ou le menu contextuel. Conservez la console de gestion des disques ouverte puis ouvrez une fenêtre dans l'explorateur Windows (2 ) Extraction de l'iso Windows server 2008R2 vers le VHD Sélectionnez le fichier correspondant à l'image ISO de Windows Server 2008 R2 utilisé précédemment pour l'installation de la plateforme physique. (eg. " _x64fre_server_eval_fr-fr- Page 208 / 409

210 Chapitre 5 : Services de déploiement Windows (WDS) GRMSXEVAL_FR_DVD.iso") puis utilisez le menu contextuel "Monter (Virtual CloneDrive G:)". Exécutez ensuite l'outil "GImageX.exe" utilisé lors de manipulations précédentes sur WinPE et théoriquement déjà présent dans le dossier "C:\Deploy\DL\GImagex\install\x64" Dans la fenêtre "GImagex v2", sous l'onglet "Apply", utilisez les boutons "Browse" afin d'indiquer respectivement la source "G:\sources\install.wim" et la destination "H:\". Utilisez le bouton "Select" pour sélectionner l'index "3" correspondant à l'image "Windows Server 2008 R2 SERVERENTERPRISE" puis cliquez sur le bouton "Apply" pour débuter l'extraction. Une fois l'opération correctement terminée, cliquez sur le bouton "Close" puis fermez la fenêtre "GImagex v2". Ajoutez la structure d'amorçage en ouvrant une invite de commande en tant qu'administrateur, via la commande suivante BCDBOOT H:\windows /s H: /l fr-fr C:\> BCDBOOT H:\windows /s H: /l fr-fr Les fichiers de démarrage ont bien été créés. Fermez la fenêtre de l'invite de commande puis revenez sur la console de gestion des disques. Sélectionnez la zone "Disque n", correspondant au disque virtuel puis utilisez le menu "Action Toutes les taches Détacher un disque dur virtuel " ou le menu contextuel. Cliquez sur le bouton "OK" Page 209 / 409

211 Chapitre 5 : Services de déploiement Windows (WDS) Facultatif : Afin de prévenir d'éventuelles erreurs de configuration par la suite, vous pouvez affecter l'attribut de lecture seule à ce fichier.vhd (3 ) Création des machines virtuelles Avant de procéder à la création des machines virtuelles, nous allons préparer 2 disques virtuels de différentiation. Cette technique de maquettage permet d'utiliser un disque parent (en lecture seulement) associé à un disque "fils" qui contiendra les données (différentielles) en écriture. Similaire aux techniques des captures instantanées proposées par Hyper-V (.AVHD), cette astuce de provisionnement rapide est à éviter pour les machines virtuelles en production (évolution inéluctable de la volumétrie). Il sera néanmoins possible de fusionner, à postériori, ces disques virtuels afin d'obtenir un disque virtuel unique plus performant. Démarrez la console du "Gestionnaire Hyper-V" puis utilisez le menu "Action Nouveau Disque dur " Passez l'écran d'accueil de l'assistant en cliquant sur le bouton "Suivant", puis cochez l'option "Différentiation" et cliquez sur le bouton "Suivant". Page 210 / 409

212 Chapitre 5 : Services de déploiement Windows (WDS) Entrez le nom désignant le futur disque propre à chaque machine virtuelle, comme par exemple "HD0-DC-Labs.vhd" pour l'un et "HD0-WDS-Labs.vhd" pour l'autre. Cliquez sur le bouton "Suivant", puis le bouton "Parcourir" afin de sélectionner le disque parent "C:\Hyper-V\VHDs\W2008R2-Base.vhd"créé lors de l'étape précédente. Cliquez sur le bouton "Terminer". Réitérez ces opérations pour le second disque virtuel. A partir de la console du "Gestionnaire Hyper-V" utilisez le menu "Action Nouveau Ordinateur Virtuel ". Passez l'écran d'accueil de l'assistant en cliquant sur le bouton "Suivant", entrez un nom désignant la machine virtuelle comme par exemple "DC-Labs" pour l'une et "WDS-Labs" pour l'autre. Cliquez sur le bouton "Suivant", spécifiez ou conservez la quantité mémoire proposée "512" puis cliquez de nouveau sur le bouton "Suivant". Au niveau de l'écran "Configurer la mise en réseau", sélectionnez "INTERNE HOTE" dans la liste déroulante "Connexion" puis cliquez sur le bouton "Suivant". Au niveau de l'écran "Connecter un disque virtuel", cochez la seconde option "Attacher un disque dur virtuel existant" puis utilisez le bouton "Parcourir" afin de sélectionner respectivement le disque différentiel, soit "C:\Hyper- V\VHDs\HD0-DC-Labs.vhd" ou C:\Hyper-V\VHDs\HD0-WDS-Labs.vhd" correspondant à la machine virtuelle. Cliquez sur le bouton "Terminer". Réitérez ces opérations pour la seconde machine virtuelle (4 ) Configuration initiale commune aux 2 machines virtuelles A ce stade, vous pouvez démarrer chacune des machines virtuelles et après quelques minutes, la technique d'installation employée doit s'achever par l'ouverture d'une première fenêtre "Configurer Windows". Confirmez les préférences régionales et cliquez sur le bouton "Suivant". Page 211 / 409

213 Chapitre 5 : Services de déploiement Windows (WDS) Cochez la case pour accepter le contrat de licence, et cliquez sur le bouton "Démarrer". Après le message de finalisation des paramètres, vous êtes invité à saisir un mot de passe obligatoire respectant les exigences de complexité. (cf Chapitre 1), Entrez par exemple "Pa$$w0rd". Entrez par exemple "Pa$$w0rd", et après validation du mode passe, l'écran de l'assistant "Taches de configuration initiales" s'ouvre automatiquement. Page 212 / 409

214 Chapitre 5 : Services de déploiement Windows (WDS) Cliquez sur le lien "Configurer le réseau" de l'assistant, afin d'affectez une adresse IPv4 statique. A partir des propriétés de l'interface réseau, sélectionnez "Protocole Internet version (TCP/IPv4)" puis cliquez sur le bouton "Propriétés". Sur la machine virtuelle "DC-Labs", entrez les valeurs suivantes: Adresse IP : Masque de sous-réseau : Passerelle par défaut : Serveur DNS préféré : Cliquez sur le bouton "OK", puis le bouton "Fermer". Vous pouvez également fermer ou réduire la fenêtre "Connexions réseau" afin de revenir sur l'assistant "Taches de configuration initiales". Cliquez sur le lien "Indiquer un nom d'ordinateur et un domaine " puis cliquez sur le bouton "Modifier" de la fenêtre "Propriétés système". Entrez le nom "DC01" dans le champ "Nom de l'ordinateur", puis cliquez sur le bouton "OK" pour valider. Cliquez de nouveau sur le bouton "OK" pour acquitter le message vous informant qu'un redémarrage de l'ordinateur est nécessaire. Cliquez sur le bouton "Fermer" de la fenêtre "Propriétés système", puis cliquez sur le bouton "Redémarrer maintenant" lorsque vous y êtes invité: Page 213 / 409

215 Chapitre 5 : Services de déploiement Windows (WDS) Sur la machine virtuelle "WDS-Labs", répétez ces même opérations de finalisation jusqu à l'écran de l'assistant "Taches de configuration initiales" Cliquez sur le lien "Configurer le réseau" puis procédez de la même manière afin de saisir les paramètres réseau suivants: Adresse IP : Masque de sous-réseau : Passerelle par défaut : Serveur DNS préféré : Cliquez sur le lien "Indiquer un nom d'ordinateur et un domaine " puis cliquez sur le bouton "Modifier" de la fenêtre "Propriétés système". Entrez le nom "WDS" dans le champ "Nom de l'ordinateur", puis cliquez sur le bouton "OK" pour valider. Cliquez de nouveau sur le bouton "OK" pour acquitter le message vous informant qu'un redémarrage de l'ordinateur est nécessaire. Cliquez sur le bouton "Fermer" de la fenêtre "Propriétés système", puis cliquez sur le bouton "Redémarrer maintenant" lorsque vous y êtes invité. Nous reprendrons la configuration de cette machine lors de l'installation des services de déploiement, traitée plus loin dans ce chapitre (5 ) Configuration du domaine Active Directory Ce passage traite succinctement l'installation d'un domaine Active Directory. En raison de l'ampleur d'un tel sujet, nous procéderons à une configuration par défaut. Le détail des étapes de configuration étant destiné aux néophytes en la matière. Sur la machine virtuelle "DC-Labs", ouvrez une session avec le compte "Administrateur" et son mot de passe "Pa$$w0rd". Si vous le souhaitez, vous pouvez cocher la case en bas de l'assistant "Taches de configuration initiales" afin que celui-ci ne soit plus systématiquement affiché à l'ouverture de session. (Au besoin, vous pourrez le rappeler en exécutant la commande "OOBE.exe"). De la même manière, le "Gestionnaire de serveur" est automatiquement ouvert avec les sessions des administrateurs. Etant donné que cet outil de gestion global est disponible dans la barre des taches ainsi que dans le menu contextuel "Gérer" de l'icône "Ordinateur", vous pouvez également cocher la case "Ne plus afficher cette fenêtre à l'ouverture de session" et fermer cet outil. Page 214 / 409

216 Chapitre 5 : Services de déploiement Windows (WDS) Notez que cet écran permet également de configurer la configuration renforcée d'internet Explorer, relativement gênante lors de l'affichage d'une page web locale, tel qu'un rapport de stratégie. A condition d'en assumer les risques potentiels, vous pouvez désactiver cette confirmation de sécurité pour les administrateurs. Pour installer un domaine, il est théoriquement nécessaire d'installer préalablement le rôle "Service de domaine Active Directory " (AD-DS) puis procéder à sa configuration dans un deuxième temps. Dans la même logique, les services DNS associés devraient être préalablement vérifiés et configurés le cas échéant. Page 215 / 409

217 Chapitre 5 : Services de déploiement Windows (WDS) Pour faire simple, nous vous proposons d'exécuter directement la commande "DCPROMO" via le menu "Démarrer Recherche". Ce qui aura pour conséquence d'installer le rôle ainsi que les binaires nécessaires et enchainera "l'assistant d'installation Active Directory" Une fois les fichiers du rôle "Service de domaine Active Directory" installés, l'assistant de configuration s'ouvre automatiquement. Cliquez sur le bouton "Suivant" Cliquez de nouveau sur le bouton "Suivant", afin accepter le message relatif à la compatibilité du système d'exploitation (cf KB942564). Cochez ensuite l'option "Créer un domaine dans une nouvelle forêt" puis cliquez sur le bouton "Suivant" Entrez "labs.local" dans le champ "Nom de domaine complet du nouveau domaine racine de la forêt" puis cliquez sur le bouton "Suivant" Page 216 / 409

218 Chapitre 5 : Services de déploiement Windows (WDS) Un message de vérification du nom NetBIOS apparait furtivement. Sélectionnez le mode fonctionnel de la forêt "Windows Server 2008 R2" et cliquez sur le bouton "Suivant". Page 217 / 409

219 Chapitre 5 : Services de déploiement Windows (WDS) Ce choix irréversible est uniquement dans un but de simplifier la procédure et impose de fait ce même mode fonctionnel maximal pour le domaine. Ceci induit que tous les contrôleurs du domaine "labs.local", y compris dans des domaines supplémentaires, soient sous Windows Server 2008 R2 et ultérieur. Ce mode n'a aucune conséquence sur les postes ou serveurs membres du domaine et le mode "Windows Server 2003" aurait pu suffire. Après un message furtif relatif à l'analyse de la configuration DNS, vérifiez que la case "Serveur DNS" est cochée et cliquez sur le bouton "Suivant". Une boite de dialogue relative à la délégation DNS, apparaît Celle-ci vous informe que pour respecter les préconisations d'une structure de noms DNS, et garantir des résolutions de noms à partir de l'extérieur, une délégation de ce domaine devrait être créée dans la zone parente "local." (Cette dernière devrait également être déléguée au niveau de la racine). Ignorez cet avertissement et cliquer sur le bouton "Oui" Page 218 / 409

220 Chapitre 5 : Services de déploiement Windows (WDS) Acceptez les chemins par défaut et cliquez sur le bouton "Suivant". Entrez un mot de passe de restauration des services d'annuaire, tel que "Pa$$w0rd" puis cliquez sur le bouton "Suivant". Vérifiez le résumé des sélections puis cliquez sur le bouton "Suivant" pour démarrer le processus de configuration Active Directory. Cochez éventuellement la case "Redémarrer à la fin de l'opération" Après le redémarrage de la machine virtuelle ", ouvrez une session avec le compte "LABS\Administrateur" et le mot de passe "Pa$$w0rd" (6 ) Configuration du DHCP Pour garantir un mécanisme d'amorçage PXE, il est nécessaire d'offrir un adressage IP dynamique aux clients via un serveur BOOTP ou DHCP. Les clients peuvent ensuite télécharger un système d'amorçage via un serveur Page 219 / 409

221 Chapitre 5 : Services de déploiement Windows (WDS) Trivial FTP. Le schéma ci-après symbolise les principales étapes de ce processus. Ce service DHCP pourrait être assuré par le serveur de déploiement WDS lui-même, ou encore par le contrôleur de domaine de cette maquette. Toutefois, afin d'aborder quelques subtilités importantes en la matière et nous opterons pour une configuration du serveur DHCP déjà installé sur la plateforme physique. La première remarque porte sur l'autorisation d'un serveur DHCP. En effet, si vous ouvrez la console DHCP (DHCPMGMT.msc) à partir de la machine physique, vous constaterez que le service est probablement arrêté (Les icones correspondantes à "IPv4" et "IPv6" devraient être estampillées d'une flèche rouge). Si ce n'est pas le cas, ce n'est qu'une question de minutes et pour forcer la détection, tentez un redémarrage du service à partir de la console. Page 220 / 409

222 Chapitre 5 : Services de déploiement Windows (WDS) Ceci est lié au fait que le service DHCP à détecter la présence d'un domaine Active Directory, via une trame 'DHCP Inform' et qu'il n'a reçu aucune approbation. Ce comportement propre aux serveurs Microsoft, permet d'éviter certaines installations sauvages de serveurs DHCP pouvant déstabiliser un réseau de production. Ajouter la fonctionnalité "Console DHCP" Nous allons donc procéder à l'autorisation de ce serveur DHCP au sein d'active Directory, à partir de la machine virtuelle "DC-Labs" sur laquelle une session Administrateur (d'entreprise) est normalement en cours. En l'absence de serveur DHC P dans cet environnement virtuel de domaine, il est nécessaire d'ajouter les outils de gestion. Sur une machine Windows Server 2008/R2, ces derniers sont disponibles au niveau des fonctionnalités "Outils d'administration de serveur à distance". En fonction de vos préférences, utilisez le lien "Ajouter des fonctionnalités" au niveau du "Gestionnaire de serveur" ou de l'assistant des taches de configuration initiale "OOBE.exe". Vous pouvez également recourir à DISM via les lignes de commandes suivantes : DISM /online /enable-feature /featurename:dhcpserver- Tools Page 221 / 409

223 Chapitre 5 : Services de déploiement Windows (WDS) DISM /online /enable-feature /featurename:dhcpserver- RSATClient-Tools Ouvrez la console DHCP à partir des outils d'administration du menu "Démarrer". Utilisez le menu "Action Gérer les serveurs autorisés" ou le menu contextuel. Cliquez sur le bouton "Autoriser" puis entrez l'adresse " " dans le champ de saisie puis cliquez sur le bouton "OK". N'ayant pas réussi à résoudre le nom du serveur, une nouvelle fenêtre "Confirmer l'autorisation" apparait, dans laquelle vous devez ajouter un nom de machine tel que "DHCP-HOTE" puis cliquez sur le bouton "OK" pour valider. Cliquez sur le bouton "Fermer" puis fermez également la console DHCP. Ouvrez la console DHCP à partir des outils d'administration du menu "Démarrer" de la machine physique ou exécutez la commande "DHCPMGMT.msc". Les icones correspondantes à "IPv4" et "IPv6" devraient être estampillées d'une flèche verte. Si ce n'est pas le cas, forcez la détection en sélectionnant le nom du serveur puis le menu "Action Toutes les taches Redémarrer" ou le menu contextuel. Page 222 / 409

224 Chapitre 5 : Services de déploiement Windows (WDS) Configurer les options DHCP Maintenant que le serveur est potentiellement opérationnel pour les clients du domaine nous allons stipuler les options DNS de l'active Directory et préparer les options relatives aux services de déploiement. A partir de la console DHCP de la machine physique, développez l'arborescence afin de sélectionner la rubrique "Etendue [ ] INTERNE HOTE" "Options d'étendue". Utilisez le menu "Action Configurer les options" ou le menu contextuel Cochez la case "003 Routeur ", entrez la valeur " " dans le champ "Adresse IP" puis cliquez sur le bouton "Ajouter" - Cette valeur reste inchangée si vous avez défini cette option lors de l'implémentation du routage NAT dans le chapitre 1. Cochez la case "006 Serveur DNS", entrez la valeur " " dans le champ "Adresse IP" puis cliquez sur le bouton "Ajouter". Si vous avez défini cette option lors de l'implémentation du routage dans le chapitre 1, vous devrez reprendre ces adresses DNS de fournisseur d'accès Internet afin de les renseigner dorénavant au niveau des redirecteurs DNS du contrôleur de domaine. Cochez la case "015 Nom de domaine DNS", entrez la valeur "labs.local" dans le champ "Valeur de chaine" Options spéciales PXE L'installation d'un service DHCP sur la même machine que les services de déploiement Windows (WDS) simplifie grandement cette configuration en ajoutant automatiquement une option spéciale nommée "060 PXE Client". Cette option permet d'indiquer qu'un client PXE peut localiser lui-même le serveur WDS présent sur son réseau local. Cette option utilise un mécanisme de diffusion générale et n'est opérationnelle que dans le cas où les clients sont sur le même réseau local que les serveurs d'amorçage PXE. Dans le cas où le serveur DHCP est membre d'un Active Directory, mais qu'il n'assure pas les services PXE, vous devez procéder à une configuration manuelle de cette option. Pour ajouter une option DHCP qui ne fait pas partie de la liste proposée par défaut, vous devez solliciter l'outil en ligne de commande "NETSH". Pour cela, ouvrez une invite de commande en tant Page 223 / 409

225 qu'administrateur sur la machine suivantes: NETSH dhcp server \\ Chapitre 5 : Services de déploiement Windows (WDS) physique puis entrez les commandes add optiondef 60 PXEClient STRING 0 comment="option speciale PXE" set optionvalue 60 STRING PXEClient show optionvalue all exit c:\users\administrateur>netsh netsh> dhcp server \\ netsh dhcp server> add optiondef 60 PXEClient STRING 0 comment="option speciale PXE" La commande s'est terminée correctement. netsh dhcp server> set optionvalue 60 STRING PXEClient La commande s'est terminée correctement. netsh dhcp server> show optionvalue all DHCP Standard Options : Valeurs d'options générales : IDoption : 60 Valeur option : Nombre d'éléments d'option = 1 Type d'élément d'option = STRING Valeur élément d'option = PXEClient La commande s'est terminée correctement. netsh dhcp server> exit Afin de vérifier la présence de cette option, utilisez la console DHCP. Cette option devrait apparaitre au niveau des "options de serveur" et sera donc répercutée dans toutes les étendues. Il est possible que l'option fraichement déclarée soit mentionnée "inconnu". Pour pallier cette erreur d'affichage, fermez ou rouvrez la console DHCP. Suite à ces opérations, vous devriez obtenir le résultat suivant : Page 224 / 409

226 Chapitre 5 : Services de déploiement Windows (WDS) Si le serveur DHCP avait été membre du domaine, cette configuration aurait été opérationnelle. Dans le cas de cette maquette, le serveur DHCP est membre d'un groupe de travail et alors que le serveur de déploiement est nécessairement membre d'un Active Directory. Hors, tout serveur WDS doit être considéré comme un serveur DHCP. C est-à-dire que qu'il doit être également autorisé au sein de l'active Directory. Cette autorisation devenant prioritaire à celle du serveur DHCP n'appartenant pas au domaine, ce dernier va cesser de répondre aux demandes de ces clients. Pour résoudre ce cas de figure, vous devez opter pour une configuration des options "066" et "067" traditionnellement réservées aux serveurs PXE. Cette configuration est compatible et applicable aux serveurs PXE Microsoft ou alternatifs (Non Microsoft). Contrairement à l'option "060" cette configuration présente la possibilité d'ouvrir le service PXE à des machines situées sur d'autres réseaux locaux que celui du serveur. Au niveau de la console DHCP de la machine physique, développez l'arborescence afin de sélectionner "DHCP NomDuServeur IPv4 Etendue [INTERNE HOTE] Options d'étendue" puis utilisez le menu "Action Configurer les options" ou le menu contextuel. Cochez la case "066 Nom d'hôte du serveur de démarrage", entrez la valeur " " dans le champ "Valeur de chaine" Cochez la case "067 Nom du fichier de démarrage", entrez la valeur "Boot\x86\wdsnbp.com" dans le champ "Valeur de chaine" Si vous avez préalablement activez l'option "060 PXEClient ", sélectionnez la rubrique "DHCP NomDuServeur IPv4 Options de serveur" puis sélectionnez l'option "060 PXEClient ". Utilisez le menu "Action Supprimer" ou la menu contextuel, puis cliquez sur 'Oui' à la demande de confirmation. Suite à ces opérations, vous devriez obtenir le résultat suivant : Page 225 / 409

227 Chapitre 5 : Services de déploiement Windows (WDS) Important : Afin d'éviter le conflit avec ce serveur DHCP connecté à un réseau local commun, il sera nécessaire de désactiver le port d'écoute UDP/67 dans la console du serveur WDS (Cochez la case appropriée au niveau de l'onglet "DHCP" des propriétés du serveur) Configuration d'amorçage "affinée" d'un serveur WDS/PXE Cet aparté s'adresse à un public averti ayant pour objectif d'implémenter des solutions alternatives de déploiement ou de proposer des serveurs d'amorçage PXE hébergés sur des réseaux locaux différents de ceux des clients PXE Toutefois, en première lecture, ou pour une mise en œuvre simplifiée, reportez-vous directement au paragraphe B2 traitant l'installation classique. Exemple 1 : Choix d'un serveur WDS au démarrage Les options DHCP que nous venons d'évoquer permettent d'orienter le client sur le serveur PXE de votre choix. Pour des raisons de charge ou de secours, il est parfois intéressant de disposer de plusieurs serveurs sur un même réseau. Si le client PXE ne reçoit que l'option "060", il se connecte au premier serveur WDS qui lui répond. Hors, bien que Microsoft ne commente pas cette possibilité, il est possible de choisir sur quel serveur WDS le client PXE doit se connecter lors de la phase d'initialisation en appuyant sur la touche Pour activer cette possibilité, propre à Windows Server 2008 R2, il est nécessaire de modifier la clé de registre suivante sur chacun des serveurs WDS qui doivent répondre au client PXE. HKLM\SYSTEM\CurrentControlSet\Services\WDSServer\Provider s\wdspxe\providers\binlsvc Modifiez ensuite la donnée "AllowServerSelection" en entrant la valeur "1". Vous pouvez effectuer cette opération via Regedit ou via la ligne de commande suivante : C:\>reg add HKLM\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE \Providers\BINLSVC /v AllowServerSelection /t REG_DWORD /d 1 /f Comme pour toute modification de configuration du serveur de déploiement, il est préférable de redémarrer le service "WDSServer", via la console WDS en sélectionnant le serveur puis le menu "Action Toutes les taches Redémarrer" ou le menu contextuel, ou encore plus globalement via la console "Services.msc", ou finalement via la rubrique "Services système" propre à chaque rôle dans le "Gestionnaire de serveur" Page 226 / 409

228 Chapitre 5 : Services de déploiement Windows (WDS) Pour les inconditionnels de la ligne de commande, vous pouvez également procéder comme suit: C:\> NET STOP WDSSERVER && NET START WDSSERVER Lors de la procédure d'amorçage du client PXE, que nous détaillerons plus tard, vous aurez alors une option supplémentaire "F11 for server selection". En appuyant sur [F11], le client PXE pourra découvrir tous les serveurs WDS dont la clé de registre précédemment mentionnée est à "1". Exemple 2 : Cohabitation d'un serveur WDS et SYSLinux Pour de nombreuses sociétés, universités ou centres de formation, la solution de déploiement ne se cantonne pas toujours à des machines sous Windows et peut conduire à des choix difficiles. Dans le cadre d'une complémentarité avec les systèmes d'exploitation que WDS ne prend pas en charge, nous vous Page 227 / 409

229 Chapitre 5 : Services de déploiement Windows (WDS) proposons une approche alternative, prétexte à une analyse plus approfondie des mécanismes du chargeur de démarrage WDS ("bootstrap loader"), En premier lieu, il convient de présenter la structure des dossiers retenue par Microsoft pour son serveur WDS. La racine, dénommée "TFTP Root", est située dans le dossier défini lors de l'installation (ie. "E:\RemoteInstall\" ) mais les clients ont un droit de lecture par défaut uniquement sur les sous-dossiers "boot" et "tmp". Ces réglages sont respectivement stipulés sous la clé de registre suivante : "HKLM:\SYSTEM\CurrentControlSet\Services\WDSServer\Provide rs\wdstftp" Pour l'emplacement de la racine via l'entrée [REG_SZ] "RootFolder" = "E:\RemoteInstall" Pour les droits de lecture des clients PXE via l'entrée [REG_MULTI_SZ] "ReadFilter" = "\boot\* \tmp\* boot\* tmp\*". Au niveau de la racine TFTP, on distinguera 2 dossiers essentiels : "Boot" : Contient la structure composée principalement des fichiers d'amorçage ( ) et des images.wim de démarrage (Autrement dit, les images système WinPE). "Images" : Contient les images.wim d'installation (Autrement dit, les distributions Windows préparées avec "sysprep") Dans la structure de dossier "Boot", il semblerait que Microsoft ai choisi d'utiliser un sous-répertoire propre à chaque plateforme (x86, x64, IA64), dans lesquels sont stockés les fichiers d'amorçage (tels que bootmgr.exe, default.bcd, pxeboot.com, wdsnbp.com ) et un sous-dossier "Images" dans lequel sont placés les images.wim de WinPE ainsi qu'un fichier ".WIM.bcd" associé. Sur le plan pratique, il apparait que les fichiers situés dans les dossiers x86 et x64 sont identiques et le répertoire x86x64 ne contient que le fichier de configuration d'amorçage. Nous nous concentrerons donc uniquement sur le dossier x86 qui reste pleinement opérationnel pour les 2 architectures. Page 228 / 409

230 Chapitre 5 : Services de déploiement Windows (WDS) Schéma simplifié de la structure TFTP de WDS : Le premier chargeur d'amorçage PXE, nommé "wdsnbp.com" commence par valider l'architecture processeur du client puis, initialise l'amorçage correspondant. En fonction des réglages du serveur la machine peut attendre une confirmation (cf périphériques en attente) ou initialiser le chargeur par défaut "pxeboot.com"(son équivalent, le fichier "pxeboot.n12" évite la confirmation du chargement via un second appui sur la touche [F12]). En fonction des images de démarrage disponibles, un éventuel menu est ensuite affiché puis le chargement du noyau WinPE est effectué. Ce processus peut être modifié au niveau des propriétés du serveur sous l'onglet "Démarrer" (Sensiblement modifié et simplifié depuis Windows Server 2008R2) Page 229 / 409

231 Chapitre 5 : Services de déploiement Windows (WDS) Le principe d'amorçage standard PXE pourrait schématiquement être représenté comme suit : Page 230 / 409

232 Chapitre 5 : Services de déploiement Windows (WDS) Dans cette présentation ostensiblement marginale, nous souhaitons démontrer qu'il est possible de substituer ce système d'amorçage par un chargeur Linux ayant la possibilité de rendre la main au chargeur WDS initial en cas de besoin. Pour modifier ce processus d'amorçage, vous devez préalablement télécharger un noyau "syslinux" v3.72 ou supérieur à l'adresse suivante " Sachant que certains de ces fichiers spéciaux ne portent pas d'extension, pensez à démasquer les extensions de fichiers connus afin d'éviter les confusions, surtout si vous effectuez ces manipulations via l'interface graphique de Windows. Choisissez l'un des packages proposé, portant idéalement une extension ".zip" afin de le gérer au sein de l'explorateur Windows. Vous devrez ensuite extraire de cette archive les 3 fichiers suivants vers le dossier "Boot\x86" situé sous la racine TFTP du serveur WDS, soit "\RemoteInstall". modules/pxechain.com core/pxelinux.0 com32/menu/menu.c32 Téléchargez un noyau d'amorçage réseau Linux comme par exemple celui d'une distribution Ubuntu à l'adresse suivante : Enregistrez les 2 fichiers "vmlinuz" et "initrd.gz" dans le même dossier "boot\x86" situé sous la racine TFTP du serveur WDS. Faites bien attention à respecter les extensions. En effet, lors du téléchargement d'un fichier spécial tel que "vmlinuz" une extension ".txt" peut être ajoutée à votre insu via l'explorateur Windows. Pour compléter cet exemple, nous ajouterons le célèbre outil de test mémoire "Memtest86" que vous pouvez télécharger à l'adresse suivante : Ouvrez cette archive avec "7-Zip" et faites une extraction de l'unique fichier dans ce même dossier "boot/x86" sous la racine TFTP du serveur WDS, puis renommez ce fichier "memtest86" sans extension. A partir de l'explorateur Windows ou en ligne de commande, créez un sousrépertoire nommé "pxelinux.cfg" au niveau du sous-dossier "Boot" : Page 231 / 409

233 Chapitre 5 : Services de déploiement Windows (WDS) C:> MD "E:\RemoteInstall\Boot\pxelinux.cfg" Le fichier de configuration nommé "Default." (sans extension) doit être stocké dans ce dossier. Pour éviter d'utiliser le bloc-notes, et simplifier l'explication, tapez les commandes suivantes : C:> E: E:> CD RemoteInstall\Boot\pxelinux.cfg E:\RemoteInstall\Boot\pxelinux.cfg>copy con default. # # Fichier de configuration PXE # default menu.c32 prompt 0 menu title Demarrage PXE / Installation label WDS (Services d'installation Windows) menu default kernel pxechain.com append ::\boot\x86\wdsnbp.com label Test memoire kernel memtest86 label Installation Ubuntu kernel vmlinuz append initrd=initrd.gz vga=788 label Demarrage sur disque local localboot 0 ^Z 1 fichier(s) copié(s). E:\RemoteInstall\Boot\pxelinux.cfg> Pour terminer la saisie," appuyez sur les touches + ou Il ne reste plus qu'à modifier l'option DHCP stipulant le fichier d'amorçage. Au niveau de la console DHCP de la machine physique, développez l'arborescence afin de sélectionner "DHCP NomDuServeur IPv4 Etendue [INTERNE HOTE] Options d'étendue" Si vous n'avez pas déjà configuré cette option, utilisez le menu "Action Configurer les options" ou le menu contextuel. Cochez la case "067 Nom du fichier de démarrage", puis entrez la valeur "Boot\x86\pxelinux.0" dans le champ "Valeur de chaine". Dans le cas contraire, éditez simplement l'option existante afin d'en modifier la valeur. Utilisez une machine virtuelle de test pour le client PXE. Le résultat devrait ressembler à ceci : Page 232 / 409

234 Chapitre 5 : Services de déploiement Windows (WDS) Le premier choix aura pour conséquence de poursuivre l'initialisation de l'amorce WDS classique (wdsnbp.com) Installation du rôle "Services de déploiement Windows" (WDS) Installation du rôle WDS Sur la machine virtuelle "WDS-Labs", ouvrez une session avec le compte "Administrateur" et son mot de passe "Pa$$w0rd". L'assistant "Taches de configuration initiales" devrait s'ouvrir automatiquement. Cliquez sur le lien "Indiquer un nom d'ordinateur et un domaine" puis cliquez sur le bouton "Modifier" de la fenêtre ". Dans le cadre "Membre d'un", cochez l'option "Domaine" et saisissez "labs.local", puis cliquez sur le bouton "OK". Dans la fenêtre de sécurité, entrez le compte "Administrateur"(*) et son mot de passe "Pa$$w0rd" puis cliquez sur le bouton "OK". (*) (Il s'agit du seul compte de domaine disponible pour l'instant, mais nous reviendrons sur les privilèges nécessaires pour cette adhésion au domaine) Lorsque le message de bienvenue dans le domaine s'affiche, cliquez sur le bouton "OK". Page 233 / 409

235 Chapitre 5 : Services de déploiement Windows (WDS) Cliquez sur le bouton "OK" pour acquitter le message vous informant qu'un redémarrage de l'ordinateur est nécessaire. Cliquez sur le bouton "Fermer" de la fenêtre de propriétés système puis Cliquez sur le bouton "Redémarrer maintenant" lorsque vous y êtes invité. Appuyez sur "Ctrl" + "Alt" + "Suppr" une fois l'ordinateur redémarré, et remarquez que la fenêtre propose l'ouverture de session par défaut avec le compte local "WDS\Administrateur" (En fait, c'est le dernier compte d'utilisateur ayant ouvert un session sur cet ordinateur). Dans ce genre de situation, il est possible de le confondre avec le compte du domaine qui a pour l'instant le même nom et mot de passe, mais pas les mêmes privilèges sur le domaine. (cf commande "WHOAMI" en cas de doute). Cliquez sur le bouton "Changer d'utilisateur" puis sur l'icône "Autre utilisateur" puis entrez "LABS\Administrateur" et "Pa$$w0rd" dans les champs respectifs, puis cliquez sur la flèche à droite du mot de passe. Contrairement aux générations antérieures de Windows, cet écran d'ouverture de session n'offre plus de liste déroulante pour choisir entre l'utilisation d'un compte local ou un compte de domaine. Sur un ordinateur membre d'un Page 234 / 409

236 Chapitre 5 : Services de déploiement Windows (WDS) domaine, cette information est affichée juste au-dessous du champ du mot de passe "Ouvrir une session sur :.". Pour ouvrir une session avec un compte local, il est nécessaire de préfixer le nom de l'utilisateur par le nom de la machine ou plus simplement par un point Dans notre exemple, ".\Administrateur" équivaut à "WDS\Administrateur" Il est possible de s'affranchir de ce préfixe pour un compte de domaine, SAUF si le nom correspond au compte d'administrateur intégré dans la base locale de l'ordinateur. En fait, dans notre exemple, sans ce préfixe "LABS\", le système aurait automatiquement basculé sur le compte d'administrateur local. (Pour rappel, ce compte est désactivé par défaut sur les postes de travail NT6). Dans la pratique, il est conseillé de renommer ces comptes d'administration pour des raisons de sécurité et en l'occurrence lever ces ambiguïtés homonymiques Une fois l'ouverture de session achevée, l'assistant "Taches de configuration initiales" devrait s'ouvrir automatiquement. Cliquez sur le lien "Ajouter des rôles" puis cliquez sur le bouton "Suivant "afin de passer l'écran d'accueil de l'assistant. Cochez la case "Services de déploiement Windows" et cliquer sur le bouton "Suivant". Au niveau de l'écran "Vue d'ensemble des Services de déploiement Windows", cliquez sur le bouton "Suivant". Vérifier que les cases "Serveur de déploiement" et "Serveur de transport" sont cochées et cliquer sur le bouton "Suivant", puis sur le bouton "Installer". Page 235 / 409

237 Chapitre 5 : Services de déploiement Windows (WDS) Pour information, l'option "Serveur de transport" correspond à une fonctionnalité de diffusion multiple des images (Multicast Mode) disponible depuis Windows Server Cliquez sur le bouton "Fermer", une fois l'installation terminée Configuration initiale du rôle WDS Si vous le souhaitez, vous pouvez cocher la case en bas de l'assistant "Taches de configuration initiales" afin que celui-ci ne soit plus systématiquement affiché à l'ouverture de session. De la même manière, le "Gestionnaire de serveur" est automatiquement ouvert avec les sessions des administrateurs. Etant donné que cet outil de gestion global est disponible dans la barre des taches ainsi que dans le menu contextuel "Gérer" de l'icône "Ordinateur", vous pouvez également cocher la case "Ne plus afficher cette fenêtre à l'ouverture de session" et fermer cet outil. Ouvrez la console "Services de déploiement Windows" à partir des outils d'administration du menu "Démarrer" ou exécutez la commande "WDSMGMT.msc". En sélectionnant le nom du serveur "WDS.labs.local" dans la console, un message d'avertissement vous indique que les services de déploiement ne sont pas encore configurés. Facultatif : Avant de procéder à la configuration proprement dite, il est conseillé de disposer d'un volume NTFS réservé au stockage des images de déploiement. Cette préconisation n'est pas bloquante et l'installation reste possible sur la partition système mais engendre un risque de saturation de ce dernier à plus ou moins long terme. A défaut d'un disque dédié, vous pouvez utiliser la capacité de réduction dynamique des partitions NTFS apparue depuis Vista, en procédant comme suit : Page 236 / 409

238 Chapitre 5 : Services de déploiement Windows (WDS) Ouvrez la console de "Gestion des disques" à partir "Démarrer Exécuter DISKMGMT.msc". Sélectionnez la partition marquée "(C:)" correspondant au volume système puis utilisez le menu "Action Toutes les taches Réduire le volume" ou le menu contextuel. Suite au message furtif d'analyse, une fenêtre vous propose la taille maximale de réduction possible sur le volume sélectionné. Entrez la valeur "20000" puis cliquez sur le bouton "Réduire ". Après quelques instants, un espace contigu "Non alloué" devrait apparaitre. Sélectionnez cet espace puis utilisez le menu "Action Toutes les taches Nouveau volume simple" ou le menu contextuel. Cliquez sur le bouton "Suivant" de l'assistant, conservez la valeur proposée "19999" et cliquez de nouveau sur le bouton "Suivant". Conservez ou modifiez la lettre de lecteur "E:", puis cliquez sur le bouton "Suivant". Conservez le système de fichier "NTFS" ainsi que la taille d'unité d'allocation "Par défaut"et entrez un nom de volume tel que "Images WDS" puis cliquez sur le bouton "Suivant" et enfin sur le bouton "Terminer". Dans la console de gestion des disques, la configuration devrait ressembler à ceci: Fermez la console de gestion des disques et revenez sur la console de gestion des "Services de déploiement Windows" et développez la rubrique "Serveurs", afin de sélectionner le nom du serveur "WDS.labs.local", puis utilisez le menu "Action Configurer le serveur" ou le menu contextuel. Page 237 / 409

239 Chapitre 5 : Services de déploiement Windows (WDS) L'assistant de configuration commence par rappeler les prérequis. Après avoir constaté que ces conditions sont remplies, cliquez sur le bouton "Suivant". Dans le champ "Chemin d'accès", remplacez par la valeur "E:\RemoteInstall" correspondant au volume dédié précédemment créé puis cliquez sur le bouton "Suivant". La fenêtre suivante, mentionnée à titre indicatif, n'apparait que lorsque l'assistant détecte la présence d'un service DHCP sur le serveur et permet de définir les réglages de cohabitation de ces services sur un même serveur. Page 238 / 409

240 Chapitre 5 : Services de déploiement Windows (WDS) Le port 67 correspond au port d'écoute par défaut des serveurs DHCP. En écoutant sur ce même port, les services de déploiement peuvent s'annoncer aux clients grâce à l'option "PXE Client". Nous reviendrons sur ces réglages au niveau des propriétés du serveur WDS, importants lors d'une installation DHCP à postériori, ou d'un serveur DHCP "indépendant". Dans notre cas, en l'absence de serveur DHCP sur la machine, l'assistant affiche directement l'écran de "réponse aux clients PXE". Nous reviendrons particulièrement sur ces réglages qui méritent d'être commenté. Dans l'immédiat, le serveur n'ayant rien à proposer pour l'instant, conservez l'option "Ne répondre à aucun ordinateur client" puis cliquer sur le bouton "Suivant". Quelques instants, après la progression de la tâche, l'assistant de configuration propose d'ajouter des images dans la foulée. Cette option masque quelque peu le principe de gestion des images, et n'offre pas de choix d'importation dans les cas d'images WIM multiples. Afin de mieux comprendre le principe de ces images, nous allons décomposer cette procédure de gestion des images. Décocher la case "Ajouter les images au serveur maintenant" puis cliquer sur le bouton "Terminer". Maintenant que la configuration initiale du serveur WDS est achevée, il est nécessaire de procéder à l'autorisation de celui-ci au sein d'active Directory, au même titre qu'un serveur DHCP. Page 239 / 409

241 Chapitre 5 : Services de déploiement Windows (WDS) A partir de la machine virtuelle "DC-Labs" puis ouvrez la console DHCP à partir des outils d'administration du menu "Démarrer". Utilisez le menu "Action Gérer les serveurs autorisés" ou le menu contextuel. Cliquez sur le bouton "Autoriser" puis entrez l'adresse " " dans le champ de saisie puis cliquez sur le bouton "OK". Une nouvelle fenêtre "Confirmer l'autorisation" apparait, et devrait normalement avoir compléter la résolution d'adresse par le nom DNS du serveur "WDS.labs.local". Cliquez sur le bouton "OK" pour valider. Cliquez sur le bouton "Fermer" puis fermez également la console DHCP Configuration détaillée de WDS De retour sur la machine virtuelle "WDS-Labs", la console "Services de déploiement Windows" propose un environnement de gestion graphique relativement complet. Toutefois, certaines fonctionnalités ou réglages avancés sont disponibles uniquement son équivalant d'administration en ligne de commande "WDSUTIL" La console est construite autour de rubriques spécialisées que nous allons détailler par la suite. Page 240 / 409

242 Chapitre 5 : Services de déploiement Windows (WDS) Vue d'ensemble Pour que le serveur soit rapidement opérationnel, il faudra lui ajouter à minima une image de démarrage WinPE (eg. BOOT.wim) et une image d'installation ou une distribution préparée (eg. INSTALL.wim) En fait, pour débuter, les premières étapes vont consister à transposer un DVD original d'un système Windows 7 vers le serveur WDS afin que les capacités de démarrage et d'installation du DVD soient disponibles via PXE sur le réseau. Pour alléger la lecture, les exemples suivants porteront uniquement sur les images 32 bits Ajout d'une image de démarrage En premier lieu, nous allons ajouter une première image de démarrage (WinPE) qui sera retournée au client PXE (via TFTP). A partir de la console de la machine virtuelle "WDS-Labs", utilisez le menu "Support Lecteur DVD Insérer un disque". Sélectionnez le fichier.iso correspondant à la version d'évaluation de Windows 7 32bits Entreprise (eg." _x86fre_enterprise_fr-fr_EVAL_Eval_Enterprise- GRMCENEVAL_FR_DVD.iso") puis cliquez sur le bouton "Ouvrir". Annulez l'exécution automatique liée à l'insertion du DVD (D:). Au niveau de la console "Services de déploiement Windows", sélectionnez la rubrique "Images de démarrage" puis utilisez le menu "Action Ajouter une image de démarrage" ou le menu contextuel. Utilisez ensuite le bouton "Parcourir" afin de sélectionner le fichier "D:\Sources\Boot.wim" puis cliquez sur le bouton "Suivant" Page 241 / 409

243 Chapitre 5 : Services de déploiement Windows (WDS) Cliquer sur le bouton "Suivant" (Les métadonnées du fichier.wim sont affichées) Modifier éventuellement le contenu des champs "Nom de l'image " et "Description de l'image" par "Installation Windows (x86)" puis cliquer deux fois sur le bouton "Suivant". Cliquer sur le bouton "Terminer" une fois que l'image à correctement été ajoutée au serveur. A ce stade, nous avons ajouté une seule image d'amorçage et les clients PXE démarreront sur celle-ci sans afficher aucun menu de démarrage. Nous allons donc ajouter une seconde image de démarrage afin d'afficher un menu au niveau des clients PXE. Là encore, vous n'êtes peut être pas familiarisé avec les mécanismes de WinPE, mais la console WDS vient à votre secours en proposant la génération automatique d'une "image de capture". Ce genre d'image est destiné aux préparateurs des postes de référence (master) qui auront été Page 242 / 409

244 Chapitre 5 : Services de déploiement Windows (WDS) préparés avec SYSPREP, et pour lesquels une image WIM d'installation sera réalisée (via l'outil WDSCapture que nous reverrons plus tard). Sélectionnez une image "compatible" de démarrage dans le volet de détail (c'est le cas de l'image Setup du DVD qui contient déjà le package nécessaire) puis utiliser le menu "Action Créer une image de capture" ou le menu contextuel. Dans la fenêtre de l'assistant, modifiez éventuellement le nom et la description de l'image par "Capture Windows (x86)" et utilisez le bouton "Parcourir" pour définir l'emplacement du fichier temporaire modifié. Sélectionnez par exemple le volume des images "E:", créez un nouveau dossier "E:\Temp" puis entrez un nom de fichier résultant "WDSCapture_x86.wim". Cliquez sur le bouton "Suivant" et laissez le processus s'exécuter (plusieurs minutes) Page 243 / 409

245 Chapitre 5 : Services de déploiement Windows (WDS) Pour information, cette opération consiste à extraire l'intégralité du fichier.wim original, créer un fichier "WINPESHL.ini" (un des points d'entrée d'exécution automatique de WinPE), d'y inclure la directive de lancement de l'outil de capture, puis de re-capturer le tout dans une version modifiée, c'est dire le fichier "WDSCapture.wim". Contenu du fichier "WINPESHL.ini": [LaunchApps] %SYSTEMROOT%\system32\wdscapture.exe Vous aurez peut être également remarqué le menu ""Action Créer une image de découverte". Ce choix quelque peu équivoque est destiné aux clients non compatibles avec PXE. Très similaire dans le principe, cette option permet de modifier l'amorçage du noyau en y intégrant un fichier "WINPESHL.ini" modifié comme suit : Contenu du fichier "WINPESHL.ini": [LaunchApps] %SYSTEMDRIVE%\sources\setup.exe,"/wds /wdsdiscover /WdsServer:wds.labs.local" L'intégration de cette image modifiée au sein d'un média de type CD ou USB amorale restera toutefois à votre charge. Il est malgré tout intéressant, lors des phases de tests ou de mises au point, d'en connaitre l'existence afin de "raccrocher" un serveur de déploiement ou simplement le poste a démarré sur WinPE sans recourir à l'amorçage PXE. Une fois l'image générée, il reste à l'inclure en tant que nouvelle image de démarrage. Cochez la case "Ajouter une image au serveur de déploiement Windows" (Cette option est propre à WDS2008R2 - Pour les versions antérieures, vous deviez effectuer cette action via le menu traditionnel.) Page 244 / 409

246 Chapitre 5 : Services de déploiement Windows (WDS) Le champ "Emplacement du fichier" doit être déjà correctement renseigné. Cliquez sur le bouton "Suivant". Les métadonnées de l'image "Capture Windows (x86)" doivent également être correctes. Cliquez deux fois sur le bouton "Suivant". Cliquez sur "Terminer" une fois que l'image à correctement été ajoutée au serveur Ajout d'images d'installation Précédemment, nous avons ajouté 2 images de démarrage, il reste encore à ajouter une ou plusieurs distributions (Equivalentes au fichier INSTALL.wim d'un DVD original). Pour information, WDS utilise une gestion très particulière de ces images. En effet, habituellement, un fichier.wim est composé d'une ou plusieurs images disque (Structure de dossiers et de fichiers) et de métadonnées XML décrivant le contenu. (Vous pouvez consulter ces métadonnées via des outils spécialisés tels que "IMAGEX /INFO ") WDS utilise un dossier dédié, appelé "Groupe d'images" dans lequel il stocke un fichier unique de "ressource" nommé "RES.RWM" et un fichier.wim de métadonnées uniquement, et ce par image. Ainsi, un fichier INSTALL.wim, contenant 5 images (déclinaisons d'installation) engendre un fichier de ressource unique.rwm et 5 fichiers de descriptions portant l'extension.wim. Ces répertoires seront utilisés pour ajouter des images de même type (c'est-àdire proches l'une de l'autre) et éventuellement de définir par la suite des autorisations NTFS qui limiteront la visibilité d'un installateur. A 'instar des fichiers WIM traditionnels, le stockage d'images multiples au sein d'un même groupe à pour finalité un gain d'espace significatif lorsque les images sont proches mais en rend la gestion plus délicate. Il est donc préférable d'opter pour des fichiers mono-image afin d'en simplifier la maintenance et la granularité des distributions exposées par le serveur WDS. Page 245 / 409

247 Chapitre 5 : Services de déploiement Windows (WDS) Nous allons démontrer ce comportement en ajoutant la distribution actuellement présente dans le lecteur DVD de machine virtuelle "WDS-Labs" Sélectionner la rubrique "Images d'installation" dans la console WDS, puis utiliser le menu "Action Ajouter un groupe d'images" ou le menu contextuel. Entrez un nom significatif des images qui y seront ajoutées, par exemple "Windows 7 DVD (x86)" puis cliquer sur le bouton "OK" Sélectionner le groupe d'image nouvellement créé et utilisez le menu "Action Ajouter une image d'installation" ou le menu contextuel. Utilisez le bouton "Parcourir" afin de sélectionner le fichier "[DVD]:\Sources\INSTALL.wim" Cliquez sur le bouton "Suivant". Vous constaterez que dans cet exemple, le fichier.wim ne contient qu'une seule image. Page 246 / 409

248 Chapitre 5 : Services de déploiement Windows (WDS) A titre d'exemple, l'écran suivant montre un autre fichier INSTALL.wim provenant d'"une distribution d'abonné MSDN et contenant plusieurs déclinaisons d'installation. Ne cochez que les images à conserver et à importer sur votre serveur WDS, puis cliquez sur le bouton "Suivant" Cliquez de nouveau sur le bouton "Suivant" pour confirmer l'importation puis après quelques minutes, (la taille d'une image Windows 7 32 bits est d'environ 2Go), cliquez sur le bouton "Terminer" une fois que les images ont été correctement ajoutées au serveur. Page 247 / 409

249 Réponse aux clients PXE Chapitre 5 : Services de déploiement Windows (WDS) A ce stade, le serveur WDS est presque opérationnel. Il manque cependant un réglage décisif que nous avons laissé de côté durant la phase de configuration initiale, par défaut : "Ne pas répondre aux clients PXE". Avant d'activer ce paramètre, il convient d'expliquer la notion de "client connu ou inconnu". Un client connu est un compte d'ordinateur reconnaissable par un identifiant physique dans un domaine Active Directory. Sans aucun lien avec le "Security IDentifier " (SID), ces identifiants, à l'instar des numéros de série, sont tatoués au sein des équipements électroniques par les fabricants et peuvent garantir l'unicité d'une machine. Grâce à une déclaration préalable d'un compte d'ordinateur auquel est associé un numéro de type "Globally Unique IDentifier" (GUID) ou "Universally Unique IDentifier" [UUID] ou encore l'adresse physique de carte réseau (adresse MAC), les services de déploiement Windows sont en mesure de reconnaitre une machine précise. Ainsi l'opération de création de compte liée à la jonction du domaine n'est plus nécessaire. Cette technique est aussi connue par l'anglicisme "Prestaging". Les ordinateurs déjà installés et joints au domaine via les services de déploiement Windows sont considérés comme des clients connus en cas de réinstallation. Le fabriquant peut proposer d'apposer l'identifiant GUID sur le carton d'emballage afin de renseigner de manière industrielle les postes qui seront installés (option généralement payante) L'identifiant UUID (Numéro de carte mère) peut être obtenu via WMI, via la commande suivante : WMIC CSPRODUCT GET UUID L'identifiant d'adresse physique de carte réseau (MAC) peut être obtenu de différentes manières, via la commande "IPCONFIG /ALL", par script ou encore au niveau des baux actifs du serveur DHCP. Cette adresse composée de 6 octets (12 caractères) doit être précédée de 20 zéros. (Astuce de saisie : Entrer l'adresse MAC, supprimer les séparateurs, ajouter des zéros au début jusqu'à ce que le bouton "suivant" ne soit plus grisé.) Dans tous les cas, les séparateurs doivent être supprimés Il existe plusieurs méthodes pour effectuer la déclaration préalable de ces identifiants afin de faciliter la jonction au domaine. : 1 / Déclaration à partir de l'outil WDSUTIL Cette technique en ligne de commande peut être associée à un processus industriel, tel qu'un script, voire un programme de lecture de codes à barre ou base de données. Page 248 / 409

250 Chapitre 5 : Services de déploiement Windows (WDS) WDSUTIL /Add-Device /Device:<nom_ordinateur> /ID:<Identifiant> 2 / Déclaration à partir de la console "Utilisateurs et ordinateurs Active Directory" La création du compte d'ordinateur s'effectue à partir de la console "Utilisateurs et ordinateurs Active Directory" sur un serveur de déploiement Windows. A moins que celui-ci soit également contrôleur de domaine, vous devrez installer cet outil d'administration via l'ajout de fonctionnalités "Composants logiciels enfichables et outils en ligne de commande AD DS" Une fois le composant installé sur la machine virtuelle "WDS-Labs", ouvrez la console "Utilisateurs et ordinateurs Active Directory" à partir des outils d'administration ou exécutez directement la commande "DSA.msc". Sélectionnez un conteneur tel que "computers" puis utilisez le menu "Action Nouveau Ordinateur" ou le menu contextuel. Cette même opération réalisée à partir du contrôleur de domaine "DC-Labs", n'offre qu'une seule boite de dialogue où le bouton "OK" en lieu et place du bouton "Suivant". Entrez un nom d'ordinateur dans les champs prévus à cet effet Page 249 / 409

251 Chapitre 5 : Services de déploiement Windows (WDS) Cliquez sur le bouton "Suivant". C'est cette boite de dialogue qui va déterminer si l'ordinateur est un client connu ou non, c'est-à-dire un ordinateur pris en charge par WDS. En cochant la case "Ceci est un ordinateur pris en charge", vous serez invité à saisir un identifiant unique qui permettra de reconnaitre cet ordinateur Page 250 / 409

252 Chapitre 5 : Services de déploiement Windows (WDS) durant un processus d'installation et de jonction au domaine et ainsi de l'associer automatiquement à ce compte. Cliquer sur le bouton "Suivant". Par défaut, tous les serveurs de déploiement pourront prendre en charge l'installation de ce client mais il est possible de lui associé un serveur WDS particulier. Cliquez de nouveau sur le bouton "Suivant" puis sur le bouton "Terminer". Un client connu est donc un ordinateur préalablement créé dans Active Directory avec un identifiant unique. Tout autre ordinateur est considéré comme un client inconnu, toutefois il est possible de nommer l'ordinateur et de laisser le serveur de déploiement joindre automatiquement le poste au domaine. Accorder les droits au serveur WDS: Pour que ce processus de jonction au domaine s'effectue sans erreur, il est nécessaire d'octroyer les droits de création d'un compte d'ordinateur dans le domaine. Pour cela, utilisez la console "Utilisateurs et ordinateurs Active Directory" à partir des outils d'administration ou exécutez directement la commande "DSA.msc". Sélectionnez le conteneur "computers" puis utilisez le menu "Action Délégation de contrôle" Dans cet exemple, nous utilisons le conteneur de stockage par défaut. Il est tout à fait possible de créer une unité d'organisation propre aux postes déployés, sur laquelle vous octroyer ces mêmes autorisations. Il vous suffira ensuite de stipuler cet emplacement sous l'onglet "AD DS" du serveur WDS Page 251 / 409

253 Chapitre 5 : Services de déploiement Windows (WDS) CH5-15a.png Cliquez sur le bouton "Suivant" puis sur le bouton "Ajouter", et sur le bouton "Types d'objet " puis cochez la case "des ordinateurs" et cliquez sur le bouton "OK". Dans le champ "Entrez les noms des objets à sélectionner", saisissez "WDS" et cliquez sur le bouton "Vérifier les noms". Si le nom est valide, cliquez sur le bouton "OK" Cliquez sur le bouton "Suivant", choisissez l'option "Créer une tache personnalisée à déléguer" puis cliquez sur le bouton "Suivant". Choisissez l'option "Seulement des objets suivants dans le dossier " puis cochez la case "Objets Ordinateur" ainsi que la case " Créer les objets sélectionnés dans le dossier " Page 252 / 409

254 Chapitre 5 : Services de déploiement Windows (WDS) Cliquez sur le bouton "Suivant". Cochez la case "Spécifiques aux propriétés" ainsi que la case "Ecrire toutes les propriétés" dans la liste des "Autorisations". Page 253 / 409

255 Chapitre 5 : Services de déploiement Windows (WDS) Cliquez sur le bouton "Suivant" puis sur le bouton "Terminer". Pour obtenir le détail des autorisations relatives aux services de déploiement Windows, consultez l'adresse suivante (en anglais) : Au niveau de la console des "Services de déploiement Windows", sélectionnez le serveur "WDS" puis utilisez le menu "Action... Propriétés" ou le menu contextuel. Sélectionnez ensuite l'onglet "Réponse PXE". Dans cette boite de dialogue, nous retrouvons le réglage décisif que nous avons laissé de côté durant la phase de configuration initiale, par défaut : "Ne répondre à aucun ordinateur client" Cochez la 3ème option "Répondre à tous les ordinateurs clients (connus et inconnus)" et remarquez la case "Exiger l'approbation administrateur". Ce choix permet de marquer un point d'arrêt au niveau du client PXE inconnus en affichant par défaut "Message from Administrator". Ce message peut être personnalisé via la commande : WDSUTIL /Set-Server /Server:WDS.labs.local /AutoAddPolicy /Message:"Veuillez attendre l'approbation de l'administrateur WDS" Page 254 / 409

256 Chapitre 5 : Services de déploiement Windows (WDS) Vue du côté client PXE, l'écran se présente comme suit : L'administrateur du serveur WDS verra apparaitre le(s) ordinateur(s) en attente d'installation, dans la rubrique "Périphériques en attente" de la console WDS. Il aura alors accès aux choix suivants : "Refuser" - Le client échoue l'initialisation PXE et poursuit son démarrage le cas échéant sur un autre périphérique. "Approuver" - Le client poursuit l'amorçage PXE et affiche l'éventuel menu ou charge l'unique image de démarrage. L'ordinateur sera joint au domaine selon la convention de nommage de l'onglet "AD DS" - Par défaut le nom du poste sera égal au nom du compte d'installation complété d'un incrément conformément au modèle " %61Username%# ". Vous pouvez changer la règle de nommage par une autre convention telle que " Win%03# ". Pour plus d'information sur cette règle, cliquez sur le lien "Comment spécifier ce format". Vous pouvez également stipuler l'emplacement de création du compte d'ordinateur. (cf Accorder les droits au serveur WDS) Page 255 / 409

257 Chapitre 5 : Services de déploiement Windows (WDS) "Nommer et approuver" - Identique au choix précédent en stipulant le nom qui sera affecté à l'ordinateur lors de la jonction au domaine. Cette 3ème option vous invite à entrer le nom de l'ordinateur Page 256 / 409

258 Chapitre 5 : Services de déploiement Windows (WDS) Par défaut, toute installation réalisée via les services de déploiement Windows entraine une jonction automatique du poste au domaine (AutoAddPolicy). Vous pouvez modifier ce comportement via la commande "WDSUTIL " ou plus simplement depuis Windows Server 2008 R2 au niveau de l'onglet "Client" Pour toutes les versions de WDS, la jonction au domaine ou un groupe de travail peut être définie en ligne de commande et ce par type de plateforme : wdsutil /set-server /AutoAddSettings /Architecture:x86 /JoinDomain:No Précision : Un poste ayant déjà joint le domaine, sera considéré comme un client connu et de nouveau joint au domaine lors d'une réinstallation via WDS malgré le changement de la stratégie. Il faudra, si besoin, détruire le compte d'ordinateur correspondant pour que la réinstallation laisse le poste dans le groupe de travail par défaut "Workgroup". Vous pourrez remarquer que cet onglet propose également depuis Windows Server 2008 R2, la possibilité de consigner les messages d'erreur des clients "Activer la journalisation des clients" Page 257 / 409

259 Chapitre 5 : Services de déploiement Windows (WDS) Sélectionner l'onglet "Démarrer", afin de définir la stratégie de démarrage PXE. En effet, pour qu'un poste démarre à partir d'un réseau, la normalisation PXE recommande l'appui de la touche de fonction [F12]. (L'action ou un éventuel menu dépend ensuite du BIOS et du fabriquant de l'ordinateur). Par défaut, le serveur WDS demande une confirmation et nécessite donc un second appui de la touche [F12] pour confirmer le démarrage PXE. Depuis Windows Server 2008R2 ce réglage a été affiné: En général, dans un "monde réel", la 3ème option est plus appropriée puisque l'on peut considérer que l'installeur a déjà appuyé une première fois sur [F12] et appuiera sur [Echap] en cas d'erreur. Selon l'environnement virtuel retenu pour nos tests, tels que Hyper-V, l'ordre d'amorçage (du BIOS) n'est pas accessible sans que la machine virtuelle ne soit arrêtée. Cette dernière bouclera donc sans cesse sur la première phase de démarrage. Dans ce cas, la 1ère option est plus adéquate. Désactivation du port 67 Comme nous l'avons mentionné lors de la configuration des options PXE sur le serveur DHCP, ces services DHCP et WDS écoutent sur le même port réseau et engendre nt donc un conflit de réponse aux clients lors de diffusion générale (Broadcast). Pour pallier cet effet de bord, rendez-vous au niveau de la console des services de déploiement Windows. Sélectionnez le serveur "WDS" puis utilisez le menu "Action... Propriétés" ou le menu contextuel et sélectionnez ensuite l'onglet "DHCP". Cochez la case "Ne pas écouter sur le port 67" puis cliquez sur le bouton "OK". Page 258 / 409

260 Chapitre 5 : Services de déploiement Windows (WDS) Pour information, de nombreux réglages "affinés" sont disponibles uniquement via la commande WDSUTIL : wdsutil /set-server /? 2.4. Validation et tests fonctionnels A ce stade le serveur WDS est opérationnel, et il vous reste donc à valider le fonctionnement correct de la plateforme au sein de cet environnement de test. Pour cela, nous allons créer une machine virtuelle destinée à tester le comportement d'un poste client PXE Tests d'installation A partir de la console du "Gestionnaire Hyper-V" utilisez le menu "Action Nouveau Ordinateur Virtuel ". Passez l'écran d'accueil de l'assistant en cliquant sur le bouton "Suivant", entrez un nom désignant la machine virtuelle comme par exemple "Test-PXE". Cliquez sur le bouton "Suivant", spécifiez ou conservez la quantité mémoire proposée "512" Mo puis cliquez de nouveau sur le bouton "Suivant". Au niveau de l'écran "Configurer la mise en réseau", sélectionnez "INTERNE HOTE" dans la liste déroulante "Connexion" puis cliquez sur le bouton "Suivant". Au niveau de l'écran "Connecter un disque virtuel", conservez l'option "Créer un disque dur virtuel" et modifiez éventuellement la taille par "40" Go puis cliquez le bouton "Suivant". Au niveau de l'écran "Options d'installation", sélectionnez l'option "Installer un système d'exploitation à partir d'un serveur d'installation réseau", Page 259 / 409

261 Chapitre 5 : Services de déploiement Windows (WDS) puis cliquez sur le bouton "Terminer". Cette dernière option, propre à Hyper- V 2008 R2, permet de configurer automatiquement le démarrage PXE en ajoutant une carte réseau de type "Héritée" dans la machine virtuelle. Vous pouvez vérifier ces réglages à postériori via le manu "Paramètres" de la machine virtuelle. Démarrez l'ordinateur virtuel, et attendez l'initialisation DHCP durant quelques secondes. Appuyez sur la touche [F12] dès que le message apparait Page 260 / 409

262 Chapitre 5 : Services de déploiement Windows (WDS) Le menu suivant devrait apparaitre (pendant 30 secondes) : Sélectionnez "Installation Windows (x86)" avec les touches de curseur et validez votre choix en appuyant sur la touche [Entrée] Après le chargement du noyau WinPE,("\boot\x86\images\boot.wim"),le programme d'installation démarre Vous pouvez remarquer une légère différence au niveau de cet écran d'installation qui porte la mention ("Service de déploiement Windows") Cliquez sur le bouton "Suivant" puis entrez vos identifiants de connexion. Page 261 / 409

263 Chapitre 5 : Services de déploiement Windows (WDS) Ces identifiants de connexion peuvent correspondre à ceux d'un simple utilisateur membre du domaine. De cette identité, peut dépendre la visibilité des images d'installation (cf " Visibilité des images d'installation" plus loin dans ce chapitre). La procédure d'installation suivante pourrait être automatisée partiellement ou totalement via un fichier de réponse associé à l'image sélectionnée. Pour plus d'explications sur ce sujet, reportez-vous au chapitre précédent (Création d'un fichier de réponse et/ou association d'un fichier de réponse) Après avoir cliqué sur le bouton "OK", la liste des images d'installation disponibles apparait Notez que la notion de "groupe d'images" utilisée sur le serveur WDS n'apparait pas. Toutes les images disponibles dans l'ensemble des groupes Page 262 / 409

264 Chapitre 5 : Services de déploiement Windows (WDS) d'images seront affichées coté client. Il faudra donc agir sur les autorisations NTFS des dossiers correspondants à chaque groupe d'images pour limiter la visibilité des installateurs. Pour plus d'explications, reportez-vous au paragraphe sur la gestion des autorisations Attention, le démarrage à partir d'une image WinPE X64 peut également affecter la visibilité des images d'installation x86. Sélectionnez l'image Windows à installer puis cliquez sur le bouton "Suivant" Dans cet exemple d'installation manuelle, nous conservons les partitions qui sont créées par défaut. (100Mo pour la partition d'amorçage "Réservé au système" et le reste du disque pour la partition Windows) - Le processus d'installation se poursuit donc par l'extraction des fichiers durant une dizaine de minutes. (Cette étape consiste à transférer via le réseau le fichier de distribution) Page 263 / 409

265 Chapitre 5 : Services de déploiement Windows (WDS) A la fin de cette opération, l'ordinateur redémarre automatiquement Laissez le démarrage PXE échouer afin de démarrer sur le disque dur et laissez le processus d'installation suivre son cours. Page 264 / 409

266 Chapitre 5 : Services de déploiement Windows (WDS) Après un second et dernier redémarrage, l'installation reprend la phase finale de personnalisation (OOBE) Cette distribution ne contenant qu'une seule langue "Français", vérifiez les valeurs et cliquez sur le bouton "Suivant". Page 265 / 409

267 Chapitre 5 : Services de déploiement Windows (WDS) Le second écran de configuration demande un nom d'utilisateur qui sera affecté au groupe des administrateurs locaux. Le nom d'ordinateur n'est demandé qu'à la condition d'avoir choisi l'option "Ne pas joindre un domaine" au niveau des propriétés du serveur WDS (Onglet "Client"). Dans cet exemple, le compte d'ordinateur est automatiquement joint au domaine selon les règles de nommage définies au niveau des propriétés du serveur WDS (Onglet "AD DS"). Entrez un nom d'utilisateur puis cliquez sur le bouton "Suivant". Page 266 / 409

268 Chapitre 5 : Services de déploiement Windows (WDS) Entrez ensuite un mot de passe (facultatif) affecté à ce compte puis cliquez sur le bouton "Suivant". (Une indication de mot de passe est obligatoire dès lors que vous entrez un mot de passe) Cochez la case "J'accepte les termes du contrat de licence" puis cliquez sur le bouton "Suivant". Selon la distribution retenue, une clé de licence peut vous êtes demandée. Celle-ci reste cependant facultative et vous pourrez toujours utiliser l'outil SLMGR par la suite. Page 267 / 409

269 Chapitre 5 : Services de déploiement Windows (WDS) Sélectionnez votre préférence pour les mises à jour automatiques puis vérifiez la date, l'heure et le fuseau horaire et cliquez sur le bouton "Suivant" Page 268 / 409

270 Chapitre 5 : Services de déploiement Windows (WDS) Notez que l'adhésion automatique au domaine n'affiche pas le choix de l'emplacement réseau, auquel le "profil avec domaine" est implicitement affecté. De la même manière, l'écran d'ouverture de session n'affiche pas l'écran d'accueil des comptes locaux et nécessite la combinaison des touches Association d'un fichier de réponse Les installations via WDS peuvent être partiellement ou entièrement automatisées via un fichier de réponse. Nous ne reviendrons pas sur l'élaboration d'un fichier de réponse déjà traitée dans le chapitre précédent mais sur l'association avec les images d'installation disponibles sur un serveur de déploiement Windows. Sur un serveur WDS, il convient de distinguer 2 types de fichier de réponse : 1 - Le fichier de réponse général : Ce fichier doit être stocké dans le répertoire "\WDSClientUnattend" à la racine des services de déploiement Windows (eg E:\RemoteInstall\ WDSClientUnattend \unattend_x86.xml). Il permet d'automatiser les taches préliminaires tels que l'authentification de l'installateur, la sélection d'une image de distribution ou la préparation des supports disques ou partitions. Page 269 / 409

271 Chapitre 5 : Services de déploiement Windows (WDS) Au niveau de la console WDS, éditez les "propriétés" du serveur, puis sélectionnez l'onglet "Client". Cochez la case "Activer l'installation sans assistance" puis utilisez les boutons "Parcourir" afin de sélectionner le fichier.xml correspondant aux différentes architectures. Cliquez sur le bouton "OK" pour valider les changements. Exemple de fichier de réponse (eg WDSGlobalUnattend_x86.xml) : <?xml version="1.0"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="windowspe"> <component name="microsoft-windows-setup" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" processorarchitecture="x86"> <WindowsDeploymentServices> <Login> <WillShowUI>OnError</WillShowUI> <Credentials> <Username>Install</Username> <Domain>labs.local</Domain> <Password>Pa$$w0rd</Password> </Credentials> </Login> <ImageSelection> <WillShowUI>OnError</WillShowUI> <InstallTo> <DiskID>0</DiskID> <PartitionID>1</PartitionID> </InstallTo> </ImageSelection> </WindowsDeploymentServices> <DiskConfiguration> <WillShowUI>OnError</WillShowUI> <Disk> <DiskID>0</DiskID> <WillWipeDisk>false</WillWipeDisk> <CreatePartitions> <CreatePartition> Page 270 / 409

272 Chapitre 5 : Services de déploiement Windows (WDS) <Order>1</Order> <Size>20000</Size> <Type>Primary</Type> </CreatePartition> </CreatePartitions> <ModifyPartitions> <ModifyPartition> <Order>1</Order> <PartitionID>1</PartitionID> <Letter>C</Letter> <Label>W7-SYS</Label> <Format>NTFS</Format> <Active>true</Active> <Extend>true</Extend> </ModifyPartition> </ModifyPartitions> </Disk> </DiskConfiguration> </component> <component name="microsoft-windows-international-core- WinPE" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" processorarchitecture="x86"> <SetupUILanguage> <WillShowUI>OnError</WillShowUI> <UILanguage>fr-FR</UILanguage> </SetupUILanguage> <UILanguage>fr-FR</UILanguage> </component> </settings> </unattend> Idéalement, ce genre de fichier de réponse ne doit pas faire référence à des composants intrinsèques de l'image afin qu'il puisse s'appliquer à des images de génération antérieures telles que Windows XP. Attention, si vous utilisez un fichier de réponse global ET un fichier de réponse propre à une image, seules les phases préliminaires "WinPE" et "OfflineServicing" du fichier global seront traitées. Ces mêmes phases ne seront donc pas traitées par le fichier associé à une image. 2 - Le fichier spécifique à une image : Ce fichier doit être nommé "ImageUnattend.xml" et être stocké dans un sousdossier "\Install\Unattend" du groupe d'image. Son contenu peut reprendre les mêmes directives ou compléter des réglages spécifiques à l'image. En cas de redondance des directives, c'est ce fichier qui est prioritaire. Pour associer un fichier de réponse spécifique, accédez aux "propriétés" d'une image d'installation, cochez la case "Autoriser l'image à s'installer en mode sans assistance" puis utilisez le bouton "Sélectionner un fichier "afin de choisir le fichier associé. (Peu importe le nom du fichier qui sera automatiquement nommé et stocké au bon emplacement) Page 271 / 409

273 Chapitre 5 : Services de déploiement Windows (WDS) Pour les versions antérieures telles que Windows XP, vous devrez stocker manuellement les fichiers de réponse (sysprep.inf) dans une structure de sous-dossier spécifique du groupe d'image correspondant telle que : "\$OEM$\$1\sysprep\sysprep.inf" Exemple de fichier de réponse (eg WDSImageUnattend_x86.xml) : <?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="windowspe"> <component name="microsoft-windows-setup" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <UserData> <AcceptEula>true</AcceptEula> <FullName>ENI</FullName> <Organization>ENI</Organization> </UserData> </component> </settings> Page 272 / 409

274 Chapitre 5 : Services de déploiement Windows (WDS) <settings pass="specialize"> <component name="microsoft-windows-deployment" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <RunSynchronous> <RunSynchronousCommand wcm:action="add"> <Path>cmd /c net user Administrator /active:no</path> <Description>EnableAdmin</Description> <Order>1</Order> </RunSynchronousCommand> </RunSynchronous> </component> </settings> <settings pass="oobesystem"> <component name="microsoft-windows-shell-setup" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <OOBE> <HideEULAPage>true</HideEULAPage> <NetworkLocation>Work</NetworkLocation> <ProtectYourPC>1</ProtectYourPC> </OOBE> <TimeZone>Romance Standard Time</TimeZone> <UserAccounts> <LocalAccounts> <LocalAccount wcm:action="add"> <Password> <Value>UABhACQAJAB3ADAAcgBkAFAAYQBzAHMAdwBvAHIAZAA=</Value> <PlainText>false</PlainText> </Password> <Description>Default User</Description> <DisplayName>AdminLocal</DisplayName> <Group>Administrators</Group> <Name>AdminLocal</Name> </LocalAccount> </LocalAccounts> </UserAccounts> </component> <component name="microsoft-windows-international-core" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <InputLocale>fr-FR</InputLocale> <SystemLocale>fr-FR</SystemLocale> <UILanguage>fr-FR</UILanguage> <UILanguageFallback>fr-FR</UILanguageFallback> <UserLocale>fr-FR</UserLocale> </component> </settings> </unattend> Bien que cet exemple soit fonctionnel, dès lors qu'un fichier de réponse est associé à une image, il prend le pas sur les réglages par défaut. Par exemple, le poste restera dans un groupe de travail "Workgroup" bien que l'option "Joindre un domaine" soit active. De plus, par sécurité, nous avons inversé la commande de réactivation du compte d'administrateur intégré qui aurait un Page 273 / 409

275 Chapitre 5 : Services de déploiement Windows (WDS) mot de passe vide si ce fichier de réponse est associé à une distribution originale. Emplacements des fichiers de réponse CH5-21c.png REDACTION EN COURS L'association d'un fichier de réponse à une image fait perdre le bénéfice du nommage et de l'éventuelle jonction automatique au domaine. Pour pallier ce comportement vous devrez stipuler les variables correspondantes dans le fichier de réponse Extrait de la doc. WDS Dans l exemple qui suit, les Services de déploiement Windows remplacent automatiquement les variables %USERDOMAIN%, %USERPASSWORD%, %USERNAME% et %MACHINEDOMAIN% par les valeurs correctes. Pour plus d informations, voir la rubrique sur l utilisation de variables pour obtenir des informations du client dans Scénarios d installation sans assistance avancés <?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="specialize"> Page 274 / 409

276 Chapitre 5 : Services de déploiement Windows (WDS) <component name="microsoft-windows-unattendedjoin" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <Identification> <Credentials> <Domain>%USERDOMAIN%</Domain> <Password>%USERPASSWORD%</Password> <Username>%USERNAME%</Username> </Credentials> <JoinDomain>%MACHINEDOMAIN%</JoinDomain> </Identification> </component> <component name="microsoft-windows-shell-setup" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <ComputerName>%MACHINENAME%</ComputerName> </component> </settings> <settings pass="oobesystem"> <component name="microsoft-windows-shell-setup" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <UserAccounts> <DomainAccounts> <DomainAccountList wcm:action="add"> <Domain>%USERDOMAIN%</Domain> <DomainAccount wcm:action="add"> <Group>Administrators</Group> <Name>%USERNAME%</Name> </DomainAccount> </DomainAccountList> </DomainAccounts> </UserAccounts> <RegisteredOrganization>%ORGNAME%</RegisteredOrganization> </component> </settings> </unattend> Exemple de capture d'un poste Windows XP Un autre aspect intéressant des services de déploiement, est la capacité d'intégrer vos propres images d'installation. Pour la démonstration nous allons générer une image d'installation de Windows XP. Vous pouvez utiliser une procédure similaire afin de capturer votre poste de référence Windows 7 décrit dans le chapitre précédent. Pour rappel au sujet de Windows XP, contrairement à Vista et ultérieure, cette opération ne lèvera pas les dépendances importantes avec le matériel - cette contrainte étant liée à la version du système d'exploitation - L'image obtenue sera donc fortement liée au matériel) Page 275 / 409

277 Chapitre 5 : Services de déploiement Windows (WDS) En premier lieu, on considère que la préparation du poste de référence a été effectuée dans les règles d l'art et s'est donc achevée par une commande sysprep afin de mettre l'ordinateur en condition de déploiement. Vous pouvez trouver un tutoriel sur ce sujet à l'adresse suivante (en anglais) De plus, la machine virtuelle retenue pour les tests dispose d'une capacité de démarrage PXE (A l'instar du test d'installation précédemment décrit) Au niveau du serveur WDS, il faut préparer le groupe d'image (destiné à recevoir l'image du poste de référence qui va être capturé). Dans la console WDS, sélectionnez la rubrique "Images d'installation" puis utiliser le manu "Action Ajouter un groupe d'image " ou le menu contextuel. Entrer un nom distinctif pour décrire le groupe d'image Dans notre exemple, nous n'ajouterons qu'une seule image liée à un matériel spécifique mais on peut envisager d'y stocker d'autres images similaires propres à d'autres matériels. Démarrez la machine virtuelle Windows XP et appuyez sur la touche [F12] afin d'enclencher l'amorce PXE. Choisissez l'option "Capture Windows (x86)" et appuyez sur la touche [Entrée] - Après l'initialisation du noyau WinPE, le programme "WDSCapture" devrait s'afficher automatiquement. Page 276 / 409

278 Chapitre 5 : Services de déploiement Windows (WDS) Cliquez sur le bouton "Suivant" pour passer l'écran de bienvenue. Dans la fenêtre "Répertoire à capturer ", en développant la liste déroulante "Volume à " (on suppose "à capturer"), vous devriez voir une lettre d'unité indiquant l'emplacement d'un système d'exploitation préalablement préparé (L'absence de lettre indique qu'aucun système d'exploitation préparé avec "sysprep" n'a été détecté et le processus de capture ne donc pas se poursuivre) Page 277 / 409

279 Chapitre 5 : Services de déploiement Windows (WDS) En fonction de la configuration des disques au moment de la capture, la lettre d'unité peut être différente de celle associée au système durant son exploitation. Ceci n'affecte en rien le processus. Entrez un nom et une description pour l'image puis cliquez sur le bouton "Suivant". Dans la fenêtre "Nouvel emplacement de l'image", entrez le nom et l'emplacement du fichier d'image WIM résultant ou utilisez le bouton "Parcourir". Paradoxalement, si aucun support local n'est disponible, il est possible d'utiliser le même support que celui que l'on va capturer. (Pour information, il est souhaitable de ne pas utiliser un lecteur réseau mais un disque amovible en cas de pénurie d'espace disque.) Cochez la case "Télécharger l'image sur serveur de services de déploiement Windows (facultatif)", entrez le nom du serveur ("WDS") ou l'adresse IP (" ") puis cliquez sur le bouton "Connexion". Page 278 / 409

280 Chapitre 5 : Services de déploiement Windows (WDS) Entrer les identifiants complets de connexion au serveur WDS (Ayant les droits d'importer une image) - "LABS\Administrateur" "Pa$$w0rd" et cliquez sur le bouton "OK". Si la connexion est établie, la liste déroulante "Nom du groupe d'images :" permet d'afficher les groupes d'images disponible sur le serveur. Sélectionnez le groupe "Windows XP (x86) Hyper-V "précédemment créé, puis cliquez sur le bouton "Suivant" afin de déclencher le processus de capture. L'opération s'effectue en 2 phases distinctes. En cas d'échec lors de l'importation, tel qu'un problème réseau ou une insuffisance de droits, il sera toujours possible de transférer le fichier WIM manuellement vers le serveur de déploiement. Cliquez sur le bouton "Terminer" une fois l'opération achevée. Cette action a pour effet de redémarrer l'ordinateur. A ce stade, vous pouvez éteindre, la machine virtuelle "Test-PXE" Sur le serveur WDS, vérifiez la disponibilité de cette nouvelle image d'installation. Au niveau de la console des "Services de déploiement Windows", l'affichage n'est pas dynamique. Sélectionnez le nom du serveur puis utilisez le menu "Action Actualiser" ou le menu contextuel ou encore la touche [F5]. Développez la rubrique "Images d'installation" Page 279 / 409

281 Chapitre 5 : Services de déploiement Windows (WDS) A ce stade, l'image peut être déployée sur un autre poste similaire Créez des groupes d'image pour y stocker des images similaires (déclinaisons d'un même système d'exploitation) et/ou affecter des autorisations selon les installeurs. Un groupe d'image correspond à un dossier contenant un fichier de ressource unique "RES.RWM" et un fichier.wim de métadonnées par image. Notez qu'à l'instar des autres outils, il est possible d'automatiser le processus de capture et/ou modifier les options via un fichier de réponse. Ce fichier nommé "WDSCapture.inf" doit être stocké dans le dossier "\Windows\System32" au même niveau que l'outil exécutable. Exemple : [Capture] Unattended=Yes VolumeToCapture=C: SystemRoot=windows ImageName="Windows 7" ImageDescription="Socle Win7 Entreprise + bureautique" DestinationFile=C:\Capture.wim Overwrite=Yes [ExclusionList] $ntfs.log hiberfil.sys pagefile.sys "System Volume Information" RECYCLER winpepge.sys %SYSTEMROOT%\CSC [WDS] UploadToWDSServer=Yes WDSServerName=WDS.labs.local WDSImageGroup="ImageGroup1" Username=AdminWDS Domain=Labs Password=Pa$$w0rd DeleteLocalWimOnSuccess=No Page 280 / 409

282 Chapitre 5 : Services de déploiement Windows (WDS) 2.5. Aménagements et extensions liés à la gestion WDS Gestion des autorisations Afin d'arriver rapidement à un premier résultat fonctionnel, nous avons utilisé le compte Administrateur du domaine. En production, la délégation de ces opérations de déploiement, devient une évidence. Voici donc le détail des autorisations à octroyer en fonction de chaque interaction avec WDS et les postes clients. Pour notre exemple, nous utiliserons un compte "Install" pour le technicien de déploiement. (Idéalement, et en fonction de la taille de votre organisation, il serait plus judicieux de créer des groupes globaux pour les délégations et d'y inclure les comptes d'utilisateurs concernés, (Administrateurs WDS, Installateurs des postes, Techniciens chargés des postes de référence et des images, etc.), mais c'est un autre sujet. Les rôles et autorisations étant un thème relativement long à détailler, nous ne traiterons que les fondamentaux de l'installation dans ce document. Pour obtenir plus de détail sur la gestion WDS et des autorisations en particulier, téléchargez le document (en anglais): 4b21eead884e/WDSUpdate.exe Ouvrez une session "Administrateur" à partir de l'ordinateur virtuel "DC-Labs". En premier lieu, nous allons créer un groupe global "Techniciens Postes" auquel vous devrez ajouter les comptes d'utilisateur des personnes habilitées, puis lui associer les privilèges nécessaires. Ouvrez la console "Utilisateurs et ordinateur Active Directory" à partir des outils d'administration ou exécutez "DSA.msc". Sélectionnez le conteneur "Users" situé sous le domaine "labs.local" (ou l'unité d'organisation appropriée selon votre structure), puis utilisez le menu "Action Nouveau Groupe". Dans la boite de dialogue "Nouvel objet - Groupe" entrez la valeur "Techniciens Postes ", conservez les options "Globale" et "Sécurité" pour l'étendue et le type du groupe puis cliquez sur le bouton "OK" Page 281 / 409

283 Chapitre 5 : Services de déploiement Windows (WDS) Pour la démonstration utilisez le menu "Action Nouveau Utilisateur". Dans la boite de dialogue "Nouvel objet - Utilisateur", entrez la valeur "Install", au niveau des champs "Nom" et " Nom d'ouverture de session d'utilisateur" puis cliquez sur le bouton "Suivant". Entrez un mot de passe (respectant la complexité) tel que "Pa$$w0rd", décochez la case "L'utilisateur doit changer le mot de passe à la Page 282 / 409

284 Chapitre 5 : Services de déploiement Windows (WDS) prochaine ouverture de session" puis cliquez sur le bouton "Suivant" et sur le bouton "Terminer". Sélectionnez ce nouveau compte "Install" puis utilisez le menu "Action Ajouter à un groupe" ou le menu contextuel. Entrez "Tech" dans le champ de sélection et cliquez sur le bouton "Vérifier les noms" afin de faire apparaitre le nom du groupe, puis cliquez 2 fois sur le bouton "OK". Jonction d'un ordinateur au domaine Dans notre exemple, nous avons utilisé le compte du serveur WDS pour effectuer automatiquement la jonction au domaine. Notez que par défaut, un simple compte d'utilisateur du domaine dispose du privilège de joindre 10 fois un ordinateur dans son domaine Active Directory. Ce réglage est stipulé au niveau de a la partition de domaine et peut être consulté ou modifié en procédant comme suit : Lancez l'outil d'administration "Modification ADSI" ou exécutez "ADSIEDIT.msc", puis utilisez le menu "Action Connexion" ou le menu contextuel. Conservez l'option proposée "Contexte d'attribution de noms par défaut" et cliquez sur le bouton "OK". Développez cette rubrique afin de sélectionner la partition de domaine "DC=labs,DC=Local" puis utilisez le menu "Action Propriétés" ou le menu contextuel. L'attribut "msds-machineaccountquota" défini cette limite transmise à chaque compte d'utilisateur. Pour vérifier si des utilisateurs standard s ont déjà eu recours à cette possibilité, vous devrez consulter les propriétés des comptes d'ordinateur au sein desquels l'attribut "msds-creatorsid", indique l'identifiant unique de l'utilisateur. L'absence de valeur indique que la jonction au domaine n'a pas été réalisée par un utilisateur standard. Page 283 / 409

285 Chapitre 5 : Services de déploiement Windows (WDS) Il est déconseillé d'augmenter cette valeur mais plutôt de déléguer cette capacité de jonction Active Directory à un compte spécialisé selon la procédure suivante : Au niveau de la console "Utilisateurs et ordinateur Active Directory", sélectionnez le domaine "labs.local", puis utilisez le menu "Action Délégation de contrôle " ou le menu contextuel. Cliquez sur le bouton "Suivant" pour passer l'écran de bienvenue. Cliquez sur le bouton "Ajouter" puis entrez "Tech" dans le champ de sélection et cliquez sur le bouton "Vérifier les noms" afin de faire apparaitre le nom du groupe, puis cliquez sur le bouton "OK". Cliquez sur le bouton "Suivant". Au niveau de l'écran des tâches à déléguer, cochez simplement la case "Joindre un ordinateur au domaine" Page 284 / 409

286 Chapitre 5 : Services de déploiement Windows (WDS) Cliquez sur le bouton "Suivant" puis sur le bouton "Terminer" Administrateurs des postes En général, les techniciens sont administrateurs des postes afin d'effectuer les opérations de configuration, d'installation et de dépannage. Un compte "local" tel que l'administrateur intégré peut suffire (pour rappel, ce compte est désactivé par défaut depuis Vista) et il est donc plus judicieux de recourir à des comptes de domaine. A moins d'avoir anticipé ce besoin au niveau des postes (images) de référence ou dans le processus de déploiement, il peut être intéressant d'utiliser les groupes restreints ou une préférence de stratégie de groupe pour définir les appartenances aux groupes locaux. A défaut de maitrise de ces concepts, voici un exemple de mise en œuvre: A partir du contrôleur de domaine "DC-Labs", ouvrez la console "Gestion des stratégies de groupe" disponible dans les outils d'administration ou exécutez "GPMC.msc". Développez l'arborescence afin de sélectionner l'élément "Forêt : labs.local Domaines labs.local ", puis utilisez le menu "Action Nouvelle unité d'organisation". (L'affectation d'une la liaison de stratégie de groupe au niveau du domaine "labs.local", engloberait les comptes de serveur). Entrez par exemple, la valeur "Postes" puis cliquez sur le bouton "OK" Page 285 / 409

287 Chapitre 5 : Services de déploiement Windows (WDS) Sélectionnez cette unité d'organisation destinée à accueillir les comptes d'ordinateurs des postes de travail, puis utilisez le menu "Action Créer un objet GPO dans ce domaine, et le lier ici " ou le menu contextuel. Entrez un nom pour décrire l'objet de stratégie tel que "Config. Postes" puis cliquez sur le bouton "OK". Développez l'unité d'organisation "Postes" et sélectionnez l'objet de stratégie "Config. Postes" puis utilisez le menu "Action Modifier " ou le menu contextuel. Au niveau de la fenêtre de l'éditeur de stratégie de groupe, développez l'arborescence afin de sélectionner "Configuration Ordinateur Stratégies Paramètres Windows Paramètres de sécurité Groupes restreints". Utilisez le menu contextuel "Ajouter un groupe " puis entrez la valeur "Administrateurs" sans recourir au bouton "Parcourir" et cliquez sur le bouton "OK". Nous avons recours à une saisie manuelle des comptes du fait que cette console n'est pas exécutée à partir d'un poste de travail. La visibilité des groupes locaux est sensiblement différente sur un contrôleur de domaine Dans la boite de dialogue " Administrateurs - Propriétés", cliquez sur le bouton "Ajouter". Là encore, entrez le nom "Administrateur" sans recourir au bouton "Parcourir" et cliquez sur le bouton "OK". Cliquez de nouveau sur le bouton "Ajouter", puis cliquez sur le bouton "Parcourir", entrez la valeur "Admin" dans le champ de saisie, cliquez sur le bouton "Vérifier les noms", sélectionnez l'entrée "Admins du domaine" et cliquez 3 fois sur le bouton "OK". Cliquez une dernière fois sur le bouton "Ajouter", puis cliquez sur le bouton "Parcourir", entrez la valeur "Tech" dans le champ de saisie, cliquez sur le bouton "Vérifier les noms" afin de faire apparaitre le groupe "Techniciens Postes" et cliquez 2 fois sur le bouton "OK". Page 286 / 409

288 Chapitre 5 : Services de déploiement Windows (WDS) Cliquez sur le bouton "OK" pour valider et clore la boite de dialogue. "Administrateurs - Propriétés". Fermez également la fenêtre de l'éditeur de stratégie de groupe. Nous avons retenu cette procédure en raison du fait qu'elle est applicable à toutes les versions de poste de travail Windows. En effet, le recours à une gestion des groupes locaux via les préférences de stratégie impliquent que les postes prennent en charge cette extension coté client. (cf KB943729). Visibilité des images d'installation Par défaut, les "Utilisateurs Authentifiés" ont un droit de lecture sur les dossiers contenant les images d'installation (Groupes d'images). Il peut être judicieux d'en limiter l'accès aux installateurs (ou à un public averti) ou encore à certaines images propres à un utilisateur/installateur lorsque le nombre d'images d'installation est élevé. Pour modifier cette visibilité, il faut en premier lieu, rompre l'héritage au niveau du dossier parent des groupes d'images d'installation. Pour cela, au niveau de la machine virtuelle "WDS-Labs", lancez l'explorateur Windows, sélectionnez le dossier "E:\RemoteInstall\Images" puis utilisez le menu contextuel "Propriétés". Sélectionnez l'onglet "Sécurité" et cliquez sur le bouton "Avancé", puis sur le bouton "Modifier les autorisations". Décochez la case "Inclure les autorisations pouvant être héritées du parent de cet objet" et cliquez sur le bouton "Ajouter" (ou le bouton "Copier") au niveau de la boite de dialogue d'avertissement. Dans la liste des "Entrées d'autorisations", sélectionnez la ligne correspondant aux "Utilisateurs Authentifiés" puis cliquez sur le bouton "Supprimer". Page 287 / 409

289 Chapitre 5 : Services de déploiement Windows (WDS) Cliquez 3 fois sur le bouton "OK" pour appliquer ces nouvelles autorisations. A ce stade, plus aucun utilisateur, hormis l'administrateur n'a accès aux images d'installation du serveur WDS. Sélectionnez chacun des sous-répertoires correspondant aux groupes d'image concernés, puis accédez à l'onglet "Sécurité" dans les propriétés de ce dernier afin ajouter les autorisations de lecture pour le(s) utilisateur(s) / installateur(s) concerné(s). Pour cet exemple, ajoutez au moins le groupe "Techniciens" afin de poursuivre vos essais. Notez qu'il est également possible de modifier les autorisations au niveau des propriétés de chaque image d'installation (Onglet "Autorisations de l'utilisateur") ou d'un groupe d'image (Menu contextuel "Sécurité"). Importateur d'image Nous ne détaillerons pas ces délégations de privilèges directement dépendantes de la segmentation des responsabilités informatiques (ie : Techniciens d'installation et de maintenance, techniciens de déploiement, administrateurs de domaine, de serveur WDS. Pour information la réalisation d'une capture d'image (importation) implique de disposer des autorisations NTFS "Contrôle total" sur les dossiers correspondant aux groupes d'images (ou le dossier parent) ainsi que sur le partage "REMINST". Page 288 / 409

290 Chapitre 5 : Services de déploiement Windows (WDS) Pour plus d'information sur la délégation d'autorisations des services de déploiement Windows, reportez-vous à l'adresse suivante : Sachant que la capture est réalisée localement, sur un éventuel disque amovible, cette délégation n'est pas impérative et l'importation de l'image d'installation peut être réalisée via la console WDS à partir d'un disque amovible Gestion des pilotes Depuis Windows Server 2008 R2, Microsoft a ajouté la possibilité de gérer des packages de pilotes au niveau de la console WDS. Cette option permet d'administrer plus facilement les pilotes spécifiques et exposer implicitement ces derniers aux postes clients lors de l'installation. Au niveau de l'arborescence de la console des services de déploiement Windows, sélectionnez la rubrique "Pilotes" permet de gérer ce magasin. Vous distinguerez l'élément "Tous les packages" permettant d'afficher l'ensemble des packages de pilotes disponibles et un groupe par défaut "DriverGroup1". Un groupe de pilotes permet d'organiser ces derniers selon des critères définis au sein d'un "filtre", afin de cibler précisément des postes clients. Seuls les pilotes associés à un groupe sont exposés aux clients PXE et un groupe peut être désactivé pour suspendre cette mise à disposition. Pour illustrer ce principe, sélectionnez le groupe par défaut "DriverGroup1" puis utilisez le menu "Action Modifier les filtres de ce groupe " ou le menu contextuel. Page 289 / 409

291 Chapitre 5 : Services de déploiement Windows (WDS) Vous pouvez indiquer de nombreux critères composés de tests logiques liés au matériel concerné. Cette technique de filtrage permet d'optimiser l'exposition des pilotes lorsque leur nombre devient considérable. Ce magasin permet également d'injecter un package de pilote au sein d'une image de démarrage WinPE 3 et ultérieure sans recourir à la commande DISM. En premier lieu, vous devez récupérer les packages de pilotes auprès du constructeur, les extraire dans un répertoire temporaire (ie "\\ \Deploy\Drv")"puis les ajouter dans le magasin du serveur WDS en procédant comme suit: Au niveau de l'arborescence de la console des services de déploiement Windows, sélectionnez la rubrique "Pilotes" puis utilisez le menu "Action Ajouter un package de pilote " ou le menu contextuel. Indiquez le chemin du média contenant le fichier.inf du pilote à ajouter ou utilisez le bouton "Parcourir". Vous pouvez également ajouter un ensemble de pilotes de manière récursive en stipulant l'emplacement d'un dossier contenant ces derniers. Cliquez sur le bouton "Suivant" afin d'afficher le(s) package(s) de pilote(s) disponible(s). Page 290 / 409

292 Chapitre 5 : Services de déploiement Windows (WDS) Au besoin, si le package contient plusieurs pilotes, vous pouvez décochez ceux que vous ne souhaitez pas intégrer dans le magasin du serveur WDS puis cliquez sur le bouton "Suivant". Vérifiez votre sélection puis cliquez de nouveau sur le bouton "Suivant". Une fois le(s) package(s) de pilote(s) correctement ajouté(s), vous êtes invité à l'associer à un groupe de pilotes en cliquant sur le bouton "Suivant". Vous pouvez choisir un groupe de pilotes existant ou créer un nouveau groupe. Dans notre exemple, le pilote étant destiné à un usage local, sélectionnez l'option "Ne pas mettre les packages dans un groupe de pilotes". Cliquez sur le bouton "Suivant" puis sur le bouton "Terminer". Page 291 / 409

293 Chapitre 5 : Services de déploiement Windows (WDS) Vous pouvez constater que l'ensemble des pilotes du magasin sont affiché sous forme détaillée au sein d'un tableau au niveau de l'élément "Pilotes... Tous les packages" Facultatif : La modification d'une image de démarrage présente un risque potentiel qui peut rendre cette dernière inutilisable. Vous pouvez vous préserver de ce désagrément en utilisant le menu "Action Exporter une image " afin de stocker une copie de secours dans un répertoire temporaire. En cas d'incident, vous pourrez utiliser le menu "Action Remplacer l'image " afin de restaurer le fichier d'origine. Sélectionnez l'une des images de démarrage telle que "Installation Windows (x86)" au niveau de la console WDS, puis utilisez le menu "Action Ajouter des packages de pilotes à l'image " ou le menu contextuel. Cliquez sur le bouton "Suivant" pour passer l'écran de mise en garde sur l'intégrité de l'image. Cet écran permet de rechercher les pilotes fondamentaux tels que les disques durs, le réseau et les composants système (Chipsets) disponible dans l'ensemble du magasin. Notez que l'assistant détecte également l'architecture de l'image sélectionnée (ie : "x86"). Vous pouvez cependant utiliser le bouton "Ajouter" afin d'affiner les critères de sélection. Cliquez sur le bouton "Rechercher des packages" afin de vérifier la pertinence du résultat sur ce même écran. Page 292 / 409

294 Chapitre 5 : Services de déploiement Windows (WDS) Si le choix vous convient, cliquez 2 fois sur le bouton "Suivant " afin de procéder à l'injection des packages dans l'image, puis cliquez sur le bouton "Terminer" une fois l'opération achevée. Facultatif : Vous pouvez vous assurer du résultat via la commande DISM traitée précédemment dans cet ouvrage. Attention aux fichiers de démarrage contenant des images multiples (Index = 2 dans notre exemple). Au sein d'une invite de commande en mode administrateur, entrez les commandes suivantes : md e:\temp\mnt dism /Get-WimInfo /WimFile:e:\RemoteInstall\Boot\x86\Images\boot.wim dism /Mount-Wim /WimFile:e:\RemoteInstall\Boot\x86\Images\boot.wim /MountDir:e:\temp\mnt /index:2 /readonly dism /image:e:\temp\mnt /get-drivers dism /unmount-wim /MountDir:e:\temp\mnt /discard Exemple: E:\> md E:\temp\mnt E:\> dism /Get-WimInfo /WimFile:e:\RemoteInstall\Boot\x86\Images\boot.wim Outil Gestion et maintenance des images de déploiement Version : Détails pour l'image : e:\remoteinstall\boot\x86\images\boot.wim Page 293 / 409

295 Chapitre 5 : Services de déploiement Windows (WDS) Index : 1 Nom : Microsoft Windows PE (x86) Description : Microsoft Windows PE (x86) Taille : octets Index : 2 Nom : Installation Windows (x86) Description : Installation Windows (x86) Taille : octets L'opération a réussi. E:\>dism /Mount-Wim /WimFile:e:\RemoteInstall\Boot\x86\Images\boot.wim /MountDir :e:\temp\mnt /index:2 /readonly Outil Gestion et maintenance des images de déploiement Version : Montage de l'image [==========================100.0%==========================] L'opération a réussi. E:\> dism /image:e:\temp\mnt /get-drivers Outil Gestion et maintenance des images de déploiement Version : Version de l'image : Obtention d'une liste de pilotes tiers à partir du magasin de pilotes... Liste des packages de pilotes : Nom publié : oem0.inf Nom du fichier d'origine : netamd.inf Boîte de réception : Non Nom de la classe : Net Nom du fournisseur : AMD Inc. Date : 07/07/2004 Version : L'opération a réussi. E:\> E:\>dism /unmount-wim /MountDir:e:\temp\mnt /discard Outil Gestion et maintenance des images de déploiement Version : Fichier image : e:\remoteinstall\boot\x86\images\boot.wim Index de l'image : 2 Démontage de l'image [==========================100.0%==========================] L'opération a réussi. E:\> Mise en œuvre de la multidiffusion Page 294 / 409

296 Chapitre 5 : Services de déploiement Windows (WDS) Depuis Windows Server 2008, les services de déploiement Windows supportent la multidiffusion pour une distribution optimisée des images de distribution. Cette technique est basée sur une transmission unique, particulièrement intéressante pour installer plusieurs ordinateurs en même temps. La déclaration d'un flux de multidiffusion s'effectue à partir de la console WDS. Sélectionnez la rubrique "Transmission par multidiffusion" puis utilisez le menu "Action Créer une transmission par multidiffusion" ou le menu contextuel. Entrez un nom "W7 x86 Entreprise" pour décrire le flux puis cliquez sur le bouton "Suivant". Sélectionnez le groupe d'image puis l'image de distribution à diffuser puis cliquez sur le bouton "Suivant". Vous pouvez ensuite opter pour différents déclencheurs "Diffusion Automatique" (AutoCast): Valeur par défaut. Le flux de multidiffusion est déclenché dès la première demande d'un client. Au besoin, les clients suivants intègrent le flux en cours. "Diffusion Planifiée" : Le flux de multidiffusion est déclenché en fonction d'un nombre défini de demandes et/ou à une heure définie. Cliquez sur le bouton "Suivant" puis sur le bouton "Terminer". Notez que Windows Server 2008 R2 permet une gestion affinée de ces transmissions au niveau de l'onglet "Multidiffusion" des propriétés du serveur. Page 295 / 409

297 Chapitre 5 : Services de déploiement Windows (WDS) En fait, il faut savoir que ce genre de flux peut être pénalisé par un client plus lent qui ralenti l'ensemble du groupe. Il est possible d'exclure manuellement un ou plusieurs clients d'un flux en cours via la console WDS mais depuis Windows Server 2008 R2, cette sélection peut être automatisée par le serveur lui-même, en fonction de ces critères de rapidité. Lorsqu'un client est exclu d'un flux de multidiffusion, il poursuit son processus d'installation via une transmission par monodiffusion classique. Le client PXE doit utiliser WinPE v2.1 ou supérieur. La procédure d'installation est identique. La liste détaillée des clients associés à un flux de multidiffusion est affichée dans la console WDS. Page 296 / 409

298 Chapitre 5 : Services de déploiement Windows (WDS) Chaque flux est associé à une image unique et il n'est pas possible de modifier les propriétés d'un flux existant Facultatif : Ajout d'un choix dépannage WinRE Pour parachever cette présentation des services de déploiement Windows, nous vous proposons de compléter les choix de démarrage en y ajoutant une option de réparation. En effet, vous aurez probablement déjà constaté qu'un démarrage à partir d'un DVD original, offre une possibilité intéressante de "Réparer l'ordinateur" (Choix en bas à droite de l'écran d'installation). Cet outil, dénommé "WinRE", pour "Recover Environment", permet d'effectuer des opérations de dépannage de l'amorçage, d'utiliser un point de restauration, une sauvegarde ou encore d'ouvrir une invite de commande WinPE. Ce genre d'image, très similaire au fichier de démarrage "boot.wim" de WinPE peut être fabriqué à partir du kit de déploiement WAIK. Il est également possible de récupérer le fichier prêt à l'emploi "WinRE.wim" stocké à l'intérieur le fichier "Install.wim" d'une image de distribution Windows 7 ou Windows Server 2008 R2 ou encore celui utilisé par le menu de diagnostic [F8] situé dans un dossier caché de la partition système "\Recovery\{guid}\winre.wim". Pour récupérer le fichier "WinRE.wim" d'un DVD original, et l'ajouter dans les images de démarrage, au niveau de la machine virtuelle "WDS-Labs", utilisez le menu "Support Lecteur DVD Insérer un disque", puis sélectionnez le fichier ISO correspondant à Windows 7 x86 Entreprise. (ie : _x86fre_enterprise_fr-fr_EVAL_Eval_Enterprise- GRMCENEVAL_FR_DVD.iso) Fermez la fenêtre d'exécution automatique puis ouvrez une invite de commande en mode Administrateur et tapez les commandes suivantes : md e:\temp\mnt dism /Mount-Wim /WimFile:d:\Sources\install.wim /MountDir:e:\temp\mnt /index:1 /readonly Page 297 / 409

299 Chapitre 5 : Services de déploiement Windows (WDS) Maintenez l'invite de commande ouverte et démarrez la console WDS, puis sélectionnez la rubrique "Images de démarrage" puis utilisez le menu "Action Ajouter une image de démarrage " ou le menu contextuel. Cliquez sur le bouton "Parcourir" afin de sélectionnez le fichier "E:\Temp\mnt\Windows\System32\Recovery\winRE.wim" puis cliquez sur le bouton "Ouvrir" et sur le bouton "Suivant". Modifiez éventuellement le nom et la description de l'image par "Reparation Windows (x86)" Cliquez 2 fois sur le bouton "Suivant" puis sur le bouton "Terminer" une fois l'importation achevée. Revenez sur l'invite de commande précédente et démontez l'image via la commande suivante : dism /unmount-wim /MountDir:e:\temp\mnt /discard Enfin, notez qu'il est très facile de masquer une entrée de menu PXE client. Pour cela il suffit de sélectionner une image de démarrage puis d'utiliser le menu "Action Désactiver" ou le menu contextuel. (Affecte l'attribut caché "Hidden" au fichier.wim correspondant) et inversement le menu "Action Activer" pour la faire réapparaitre. Page 298 / 409

300 Chapitre 5 : Services de déploiement Windows (WDS) Notez qu'aucun menu n'apparaitra coté client image de démarrage active sur le serveur. s'il ne reste qu'une seule L'ordre d'affichage est délicat à modifier du fait qu'il est basé l'ordre alphabétique du fichier WIM effectif de chaque image. En revanche, vous pouvez stipuler l'image de démarrage par défaut au niveau de l'onglet "Démarrer" disponible au niveau des "propriétés" du serveur WDS. Utilisez les boutons "Sélectionner " pour choisir le fichier en fonction de chaque architecture. Il est également possible de modifier la durée d'attente avant le démarrage du choix par défaut via une invite de commande : bcdedit /timeout 10 /store e:\remoteinstall\boot\x86\default.bcd bcdedit /timeout 10 /store e:\remoteinstall\boot\x64\default.bcd Page 299 / 409

301 Chapitre 5 : Services de déploiement Windows (WDS) wdsutil /stop-server wdsutil /start-server Page 300 / 409

302 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Chapitre 6 : MDT (Microsoft Deployment Toolkit) 1. Introduction Bien conscient que l'évolution des technologies de déploiement Windows faisant appel à de multiples compétences, engendre une complexité inévitable, Microsoft propose un outil fédérateur chargé de capitaliser vos sources et vous assister dans vos processus de migration et d'installation. De ce constat est né le "Business Desktop Deployment" (BDD) devenu ensuite le "Microsoft Deployment Toolkit" (MDT2008), affilié à la gamme de ce que Microsoft appelle les "accélérateurs de solution". Comparativement aux solutions commerciales spécialisées, ce produit gratuit, disponible uniquement en langue anglaise, souffre probablement de quelques limitations ou imperfections, et il pêne parfois à trouver sa place au sein des petites comme des grandes entreprises. Au fil des années, cette solution a acquis une véritable maturité et gagné en souplesse tout en intégrant de nouvelles possibilités. Mis en œuvre de manière autonome ou complémentaire, le MDT apporte une cohérence d'ensemble nécessaire lors des déploiements assistés des systèmes d'exploitation Windows. D'un point de vue très simplifié, nous pourrions l'assimiler à une sorte de "constructeur" chargé de collecter puis d'assembler les différentes technologies de déploiement Windows afin d'implémenter des scénarios d'installation assistés et globalement automatisés. De nombreux sites et tutoriels autour de ce vaste sujet se développent sur Internet et l'objectif de ce chapitre n'a pas la prétention de s'y substituer mais plutôt celle de vous en faire découvrir quelques rouages puis évaluer cette solution par une brève mise en pratique. Sur le plan technique, le MDT repose principalement sur le kit de déploiement WAIK constituant un prérequis impératif. L'architecture de cet outil est articulée autour de 3 parties fondamentales : La console ou "Atelier de déploiement" : Composée d'un poste Windows sur lequel sont installés le kit de déploiement WAIK, Powershell et le MDT. Le point de distribution : Serveur de fichier (Par défaut "DeploymentShare$") Le client : Basé sur un noyau WinPE utilisant principalement un script "LiteTouch.wsf" chargé de connecter et d'interpréter les directives publiées sur le point de distribution. Les services de déploiement Windows (WDS) constituent une composante facultative des scénarios. De même, l'intégration de MDT à la solution commerciale SMS/SCCM, désignée par le nom "Zero Touch" reste facultative et n'est pas développée dans cet ouvrage. Page 301 / 409

303 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Les scénarios sont composés d'un ensemble de taches pouvant débuter par un test de prérequis, une sauvegarde des données d'utilisateur ou une capture de référence puis installer un système d'exploitation et d'éventuelles applications, pour s'achever par une restauration des données d'utilisateur. Les scénarios prennent en charge 4 cas de figure : Upgrade : Mise à jour sur place d'un même ordinateur (Sous réserve que le système d'exploitation soit supporté) Refresh : Réinstallation sur un même ordinateur (récupération préalable des données d'utilisateur) Remplace: Installation sur un nouvel ordinateur (récupération des données d'utilisateur à partir de l'ancien ordinateur) New : Installation d'un nouvel ordinateur La migration des fichiers et paramètres d'utilisateur est assurée via l'outil USMT (User State Migration Tool) dont le pilotage est assuré par les scénarios choisis. Le MDT présente de nombreux avantages tels que la "portabilité". En effet, une fois installé, le MDT s'appuie sur une structure de dossiers pouvant être facilement transportée sur un disque amovible. Le schéma suivant décrit les principaux éléments : Page 302 / 409

304 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Au niveau de la ressource partagée ("DeploymentShare$" par défaut), on distingue particulièrement les dossiers suivants : Boot : Contient les fichiers.wim et éventuellement.iso correspondants aux images WinPE modifiées "LiteTouch", nécessaires à l'initialisation de la connexion et l'exécution des tâches définies sur le serveur de fichiers. Operating Systems : Contient les fichiers sources des distributions Windows (Copies intégrales des CD ou DVD d'origine ou images.wim issues de capture) Out-of-Box Drivers : Contient les fichiers de pilote au format.inf nécessaires aux images WinPE et aux systèmes d'exploitation à installer Packages : Contient les packs de langues, correctifs et mises à jour des systèmes d'exploitation au format.cab ou.msu Applications : Contient les applications au format.msi ou.exe. qui seront exécutées en post-installation. Control : Contient les séquences de tâches à exécuter. La majeure partie des réglages du MDT est contenue dans des fichiers.xml Nous distinguerons toutefois les fichiers utilisés par les processus d'installation du système d'exploitation de ceux utilisés par le MDT : Afin de mieux appréhender le MDT, nous vous proposons de débuter son implémentation et d'en présenter succinctement les grandes lignes. 2. Installation et configuration du MDT La plateforme physique sous Windows Server 2008 R2 dispose déjà des prérequis nécessaires. En effet, PowerShell est un composant intrinsèque et le kit de déploiement a été préalablement installé lors du 4ème chapitre. La rédaction de cet ouvrage a débutée avec le "Microsoft Deployment Toolkit" dénommée "MDT 2010 Update 1". Cette dernière correspond à la version technique : v (Cette information est disponible via le menu "? A propos de Microsoft Deployment Workbench "). Pour accompagner la sortie des nouveaux produits, Microsoft à mis à disposition une nouvelle version nommée MDT 2012 Update 1 ( ) a été. Dans la continuité de son prédécesseur, cette version dispose des mêmes capacités de déploiement tout en apportant la prise en charge des déploiements de disques virtuels.vhd ainsi que le nouveau Windows 7 allégé ("Windows Thin PC"). Elle permet également de s'intégrer pleinement au sein du System Center 2012 (incluant dorénavant SCCM). Page 303 / 409

305 Chapitre 6 : MDT (Microsoft Deployment Toolkit) N'étant que très légèrement différentes sur le plan esthétique sans présenter de différences techniques fondamentales avec son antécédent, notre présentation s'appuiera sur le MDT2012. Ces distinctions sont essentiellement notables au niveau du client LiteTouch et la disponibilité de nouvelles séquences de taches. Avant de procéder à l'installation du Microsoft Deployment Toolkit (MDT2012 Update 1) vous devez procéder à son téléchargement à partir de l'adresse suivante : Vous aurez peut être également constaté que ce lien de téléchargement du MDT est également proposé au niveau du programme d'installation du WAIK. En dernier lieu, notez que MDT est proposé sous la forme de 2 versions distinctes 32 ou 64 bits, à choisir en fonction du système d'exploitation de la plateforme de déploiement retenue, Sous réserve d'opter pour une installation personnalisée dans un autre dossier, il est possible de faire cohabiter plusieurs versions du MDT mais cette approche reste risquée. En effet, si vous avez déjà créé ou utilisé des points de déploiement avec une version antérieure de MDT, l'ouverture d'une structure existante engendre une obligation de mise à jour de celle-ci. ("Upgrade Deployment Share") mais cette opération est irréversible. Page 304 / 409

306 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Afin d'anticiper une éventuelle portabilité vers l'environnement de la maquette WDS du chapitre 5, nous allons réaliser l'installation du MDT dans un disque dur virtuel VHD sur la plateforme physique. Création du disque dur virtuel Pour cela, ouvrez le "Gestionnaire de serveur" puis sélectionnez la rubrique "Stockage Gestion des disques" ou utilisez plus directement la console "Diskmgmt.msc". Utilisez le menu "Action Créer un disque virtuel" ou le menu contextuel. Utilisez le bouton "Parcourir" afin de sélectionner le disque physique destiné à héberger ce futur disque dur virtuel et entrez un nom de fichier tel que "C:\Hyper-V\_VHDs\MDT.vhd" puis cliquez sur le bouton "OK" Entrez une taille conséquente "80 Go" et sélectionnez l'option "Taille dynamique" dans le cadre "Format du disque virtuel". Ce disque virtuel à taille dynamique va s'étendre au fur et à mesure de son remplissage mais en cas de saturation, celui-ci peut être facilement déplacé, étendu en cas de besoin et/ou converti en taille fixe. Cliquez sur le bouton "OK" pour créer et attacher ce disque virtuel à la plateforme physique. Un nouveau disque, symbolisé par une icône bleutée, doit apparaitre avec un statut "Non initalisé" Page 305 / 409

307 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Sélectionnez ce disque en cliquant sur la zone à gauche puis utilisez le menu "Action Toutes les tâches Initialiser le disque" ou le menu contextuel. A moins que vous envisagiez de dépasser une taille de 2To, conservez l'option par défaut "Secteur de démarrage principal" (="Master Boot Record") puis cliquez sur le bouton "OK" Sélectionnez ensuite l'espace "Non alloué" puis utilisez le menu "Action Toutes les tâches Nouveau volume simple " ou le menu contextuel. Au niveau de l'assistant de création d'un volume simple, cliquez sur le bouton "Suivant", conservez la taille proposée puis cliquez de nouveau sur le bouton "Suivant". Choisissez une lettre d'unité à affecter à ce nouvel espace de stockage, tel que "M:" par exemple, puis cliquez sur le bouton "Suivant". Conservez les options de formatage proposée par défaut en saisissant éventuellement un label tel que "MDT" dans le champ "Nom de volume" et cliquez sur le bouton "Suivant" puis sur le bouton "Terminer". Les attachements de disques virtuels ne sont pas conservés après un redémarrage du système. Avant de lancer la console MDT, vous devrez donc penser à attacher le disque virtuel existant via le gestionnaire de disques et recréer le partage réseau. Facultatif : Vous pouvez cependant créer une tache planifiée qui sera chargée d'appeler les commandes adéquates au démarrage du système. Page 306 / 409

308 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Créez par exemple, un dossier C:\Scripts puis ajoutez-y les 2 fichiers suivants: Fichier DISKCMD.txt select vdisk file C:\Hyper-V\_VHDs\MDT.vhd attach vdisk exit Fichier MNT-MDT.cmd DISKPART /S C:\Scripts\DISKCMD.txt NET SHARE DeploymentShare$=M:\DeploymentShare A partir du planificateur de taches, sélectionnez la rubrique "Bibliothèque du planificateur de taches" puis utilisez le menu "Action Créer une tâche" ou le menu contextuel. Sous l'onglet "Général", entrez "AutoMount MDT" dans le champ "Nom" et cochez la case "Exécuter avec les autorisations maximales". Sous l'onglet "Déclencheur" cliquez sur le bouton "Nouveau" puis sélectionnez "Au démarrage" et cliquez sur le bouton "OK". Sous l'onglet "Action", cliquez sur le bouton "Nouveau". L'action "Démarrer un programme" est proposée par défaut. Cliquez sur le bouton "Parcourir" afin de sélectionner le script "MNT-MDT.cmd" créé précédemment puis cliquez sur le bouton "OK". Cliquez de nouveau sur le bouton "OK" pour créer la tâche. Entrez le mot de passe du compte d'exécution si vous y êtes invité. Installation du MDT Sur la plateforme physique Windows Server 2008R2, les prérequis PowerShell et WAIK étant déjà satisfaits, l'installation du MDT consiste à exécuter le package.msi approprié à l'architecture de processeur x64 dans notre cas. Cette opération ne présente aucune difficulté particulière. Exécutez le programme "MicrosoftDeploymentToolkit2012_x64.msi" précédemment téléchargé. Page 307 / 409

309 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Acceptez les valeurs par défaut en cliquant sur les boutons "Next", "Install" puis "Finish". Une fois installé, le MDT ajoute plusieurs raccourcis sous la rubrique "Microsoft Deployment Toolkit" dans le menu "Démarrer" Les autres liens étant liés à la documentation et à l'intégration avec SCCM, nous développerons uniquement l'utilisation de l'"atelier de déploiement" désigné par le raccourci "Deployment Workbench" 3. Découverte de l'atelier de déploiement (Deployment Workbench) Une fois la console démarrée, l'écran d'accueil vous affiche un résumé des principaux avantages du produit, une liste des systèmes supportés ainsi qu'une énumératrion des nouveautés liées à la nouvelle version. Page 308 / 409

310 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Aperçu de l'écran d'accueil général de la console MDT Basée sur un composant logiciel enfichable de la technologie MMC (Microsoft Management Console), la console d'administration du MDT est principalement organisée autour de 2 rubriques générales : "Information center" : Contient les explications de démarrage et les documentations et nouveautés en anglais ("Getting Started", "Documentations", "News"), ainsi que les liens de téléchargement relatifs aux technologies de déploiement ("Components"). "Deployment Shares" : Contient la ou les structures de référence que nous allons détailler dans ce chapitre. Dans un premier temps, vous devrez considérer et gérer cette arborescence au travers la console du MDT mais cette structure est totalement accessible au travers de l'explorateur Windows et l'ensemble des réglages est défini dans des fichiers.ini et.xml. Dans un premier temps, sélectionnez la rubrique "Deployment Shares" puis utilisez le menu "Action" ou le menu contextuel pour créer une nouvelle structure de dossier "New Deployment Share" ou ajouter une structure existante "Open Deployment Share". Cette arborescence étant destinée à recueillir l'ensemble de vos sources de distribution système, pilotes, mises à jour et autres applications, vous devrez penser à provisionner un espace de stockage relativement conséquent. Les actions entrainent systématiquement l'affichage d'un assistant ("wizard") afin de renseigner les paramètres requis. La présence d'un symbole "Point d'exclamation rouge" à droite d'un champ indique que la saisie est invalide. Page 309 / 409

311 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Vous pouvez également recourir à l'aide contextuelle (en anglais) en appuyant sur la touche Entrez un chemin complet afin de stipuler la racine d'un point de déploiement ("M:\DeploymentShare") ou utilisez le bouton "Browse" (Si le répertoire existe déjà, l'arborescence ne doit pas contenir d'installation d'un précédent MDT - Sinon il est nécessaire d'utiliser l'option "Open Deployment Share") puis cliquez sur le bouton "Next" Acceptez ou modifiez le nom de partage par défaut "DeploymentShare$" (Le caractère "$" permettant de masquer le partage est facultatif) puis cliquez sur le bouton "Next" Toutes ces valeurs sont modifiables à postériori dans l'onglet général des propriétés d'un point de déploiement et dans le fichier "bootstrap.ini" correspondant. Page 310 / 409

312 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Acceptez ou modifiez le nom chargé de décrire ce point de distribution, par défaut "MDT Deployment Share" Cette nouvelle version de MDT2012 offre l'avantage de regrouper les options globales par défaut en une même fenêtre. Les versions antérieures de MDT proposaient un écran propre à chaque option. Ces options permettent de stipuler des choix proposés par défaut lors de la création des scénarios (séquences). Ces choix restent toutefois modifiables individuellement pour chaque scénario et/ou au sein du fichier de configuration global du MDT "\Control\CustomSettings.ini" dont nous détaillerons le contenu. D'ores et déjà, nous attirons votre attention sur l'importance de distinguer deux types de directives pouvant apparaitre dans ce fichier de configuration. - Celles qui masquent l'écran d'une option (Skip =YES) - Celles qui modifient le comportement et les réglages par défaut d'une option. Cet assistant proposé lors de l'initialisation du MDT, permet des définir les principaux écrans qui seront affichés ou masqué par défaut dans un scénario, et génère le fichier de configuration global du MDT en conséquence. Page 311 / 409

313 Chapitre 6 : MDT (Microsoft Deployment Toolkit) "Ask if an upgrade should be performed instead of refresh" Cette nouvelle option permet de proposer une mise à jour sur place du système d'exploitation existant. (cf "Upgrade", "Refresh" définis précédemment) Ce réglage est modifiable dans le fichier "\Control\CustomSettings.ini" via les directives "SkipDeploymentType=YES NO" et "DeploymentType=REFRESH UPGRADE" "Ask if a computer backup should be performed" : Cette nouvelle option du MDT2012 permet de proposer une sauvegarde préalable de l'ordinateur avant de procéder à l'installation d'un nouveau système. Ce réglage reste modifiable dans le fichier "\Control\CustomSettings.ini" via la directive " SkipComputerBackup = YES NO" "Ask for a product key" : Cette option permet d'indiquer si l'installateur aura la possibilité de saisir la clé d'activation du produit lors de l'installation. Si cette option est décochée, l'installation se poursuivra en mode "évaluation*" sans clé de licence (* "Période de grâce initiale" - cf "SLMGR") à moins que la clé de licence ne soit renseignée dans le fichier de réponse ou la séquence de tâche. Ce réglage est également modifiable dans le fichier "\Control\CustomSettings.ini" via la directive "SkipProductKey=YES NO" "Ask to set the local Administrator password ". Si vous cochez cette option, les scénarios inviteront l'opérateur à saisir le mot de passe de l'administrateur local lors de l'installation. Ce réglage est également modifiable dans le fichier "\Control\CustomSettings.ini" via la directive "SkipAdminPassword=YES NO" Pour information, le MDT réactive le compte d'administrateur intégré. Lorsque l'installation est réalisée à partir d'une distribution originale, ce compte n'a donc aucun mot de passe. "Ask if an image should be captured" Cette option autorise la capture préalable (génération d'un fichier.wim après exécution de sysprep) avant d'effectuer l'installation d'un système sur un nouvel ordinateur. Vous pouvez décocher cette case "Ask if an image should be captured "dans un premier temps. Ce réglage reste modifiable dans le fichier "\Control\CustomSettings.ini" via la directive "SkipCapture = YES NO" Pour rappel, il est déconseillé d'effectuer la capture d'un poste déjà joint à un domaine et privilégier l'appartenance à un groupe de travail "Ask if Bitlocker should be enabled". Cette nouvelle option du MDT2012 permet de proposer la mise en œuvre du chiffrement intégral du disque sous réserve que le système d'exploitation le supporte. Ce réglage est modifiable dans le fichier "\Control\CustomSettings.ini" via la directive " SkipBitLocker= YES NO" Page 312 / 409

314 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Cliquez sur le bouton "Next" Un écran de synthèse des réglages est ensuite affiché Cliquez sur le bouton "Next" afin de procéder à l'exécution du script de configuration. Une fois le processus achevé, il est possible d'enregistrer le message de résultat dans un fichier via le bouton "Save output " ou bien de visualiser le script PowerShell qui a réalisé la configuration via le bouton "View script". Cliquez sur le bouton "Finish". Vous pouvez renouveler cette opération autant de fois que nécessaire afin de gérer simultanément plusieurs points de déploiement différents. Cette technique permet également d'effectuer des copies en toute simplicité. Cependant, la console ne permet pas d'annuler ou détruire un point de déploiement mais uniquement de le fermer via le menu "Action Close Deployment Share" ou le menu contextuel. Une fois celui-ci fermé, vous devez détruire le partage et/ou la structure correspondante via les outils Windows traditionnels. La création d'un nouveau point de déploiement (ou l'ouverture d'un existant) se présente sous la forme suivante : Page 313 / 409

315 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Sachant que la création d'un scénario (Task Sequences) impose à minima de disposer d'un système d'exploitation, et que les modifications du MDT surviennent en fonction de vos évolutions de besoin, nous utiliserons donc une chronologie arbitraire pour débuter. Remarque : Chaque dossier de premier niveau (Application, Operating System, Out-of-box Drivers, Packages et Task Sequence) autorise la création de sous-dossiers. ("New Folder"). La création de sous-dossier n'est pas implicite mais peut être réalisée à postériori afin de classer et organiser au mieux ces nombreuxs éléments. Dans ce cas, les opérations de copie ou de déplacement doivent impérativement être réalisées via la console Ajout d'un système d'exploitation Ce dossier contient les sources des systèmes d'exploitation provenant des CD/DVD originaux ou d'une distribution.wim personnalisée (issue d'une capture) - Dans le premier cas, l'ensemble de la structure du média est recopié dans ce répertoire. Insérez le support original du système d'exploitation dans le lecteur comme par exemple, le fichier.iso correspondant à Windows 7 Enterprise 32bits dans le lecteur virtuel VirtualCloneDrive. Au niveau de la console MDT, sélectionnez le dossier "Operating System" puis utilisez le menu "Action Import Operating System" ou le menu contextuel L'assistant vous demande ensuite quel type d'importation vous souhaitez entreprendre. Vous aurez alors 3 choix possibles : Page 314 / 409

316 Chapitre 6 : MDT (Microsoft Deployment Toolkit) "Full set of source files" : Intègre la copie conforme et intégrale du média de distribution du système d'exploitation. (pas uniquement les dossiers "Sources" ou "i386") "Custom image file" : Intègre une image.wim d'un système personnalisé. Dans ce cas, vous êtes ensuite invité à choisir de copier ou non, les programmes complémentaire d'installation "Setup" et de préparation "Sysprep" particulièrement lorsque l'image.wim correspond à un système antérieur à Vista tel que Windows XP ou Windows Server 2003 "Windows Deployment Services images" : Ajoute les images d'installation hébergées sur un serveur de déploiement WDS. Notez qu'il s'agit alors d'un référencement et que les fichiers.wim demeurent sur le serveur WDS sans être recopiés dans la structure MDT. De plus, l'importation ajoute l'ensemble des images présentes, sans possibilité de sélection unitaire. Sélectionnez la première option puis cliquez sur le bouton "Next" Au niveau du champ "Source Directory", utilisez le bouton "Browse" ou indiquez simplement la racine du média ou dossier contenant les sources originales puis cliquez sur le bouton "Next" L'assistant détecte automatiquement le système d'exploitation à importe et propose un nom par défaut: Page 315 / 409

317 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Conservez ou modifiez le nom proposé "Windows 7 x86" puis cliquez sur le bouton "Next".Cette valeur correspond au nom du sous-dossier qui sera créé dans l'arborescence MDT. Vérifier vos sélections au niveau de l'écran de synthèse puis cliquez sur le bouton "Next" afin de déclencher le processus de copie. Cliquez sur le bouton "Finish" une fois l'opération achevée. Recommencez cette opération pour chaque système d'exploitation concerné. Si vous disposez de plusieurs systèmes d'exploitation, n'hésitez pas à créer et déplacer ces derniers dans des dossiers spécifiques tels que "x86", "x64" afin d'épurer l'affichage. Pour déplacer les éléments dans un dossier de la console MDT, sélectionnez-les puis utilisez la touche "MAJ" lors du déplacement. Il est ensuite nécessaire d'appuyer sur la touche "F5" pour réactualiser l'affichage. Si votre distribution.wim contient plusieurs images, l'intégralité de ces dernières est ajoutée à la console MDT. Pour alléger l'affichage, particulièrement lorsque certaines images vous sont inutiles, vous pouvez les sélectionner puis utiliser le menu "Action Supprimer" ou le menu contextuel Ajout des pilotes De tout temps, à défaut d'outil spécialisé, la gestion et l'organisation des packages des pilotes complémentaires a été délicate. Chaque constructeur ayant sa propre technique de référencement et de packaging. Afin d'éviter d'être trop rapidement submergé par une liste conséquente de pilotes, une technique parmi d'autre consiste à créer une structure de sousdossier adaptée afin d'y intégrer les pilotes en fonction des constructeurs et de la plateforme concernés. Dans la mesure du possible, évitez d'importer les pilotes déjà intégrés dans les distributions Privilégiez une recherche et une extraction ciblée avec un outil tiers tel que "Driver Backup 2" évoqué précédemment. Une fois importés dans la console MDT, les pilotes sont affichés sous la forme d'une grille de données pouvant être triée par un simple clic sur l'entête de colonne. Vous pouvez ainsi identifier aisément la fabriquant, la version mais surtout la classe et la plateforme supportée pour chaque pilote. La seule inconnue restant le système d'exploitation ou le noyau WinPE associé à chaque pilote.. Les pilotes nécessitant impérativement l'exécution d'un programme (.EXE), tels qu'un lecteur d'empreinte digitale, ceux-ci devront être considérés comme des applications MDT (cf ci-après), Cette opération est particulièrement cruciale et à l'instar des installations classiques, il est nécessaire de distinguer les pilotes qui seront utilisés par le système d'exploitation proprement dit, de ceux requis lors de l'initialisation du programme d'installation. Autrement dit, pensez qu'un même périphérique tels qu'une carte réseau, ou un disque dur peuvent être reconnus et pris en compte durant le processus d'initialisation d'une installation, puis échouer lors du chargement système d'exploitation. Ces pilotes critiques (Net, MassStorgae, Chipset et Video) sont automatiquement intégrés au sein de l'image WinPE générée par le processus de création du client "LiteTouch" Page 316 / 409

318 Chapitre 6 : MDT (Microsoft Deployment Toolkit) abordée plus loin dans ce chapitre. Toutefois, le nombre de pilote correspondants à ces critères peut être conséquent et alourdir considérablement le noyau. Pour éviter cette dérive, nous vous conseillons de créer un sous- dossier dédié à ces pilotes propres au noyau WinPE puis de définir un profil de sélection associé. Pour information, les classes de pilotes particulièrement cruciales, que nous souhaitons ajouter au noyau WinPE sont : "Net" - Classe associé aux pilotes de cartes réseau "hdc", "SCSIAdapter", "DiskDrive" : Classes associées aux stockages de masse (Contrôleurs de disques durs) "System" : Classe associé aux pilotes de composants électroniques intégrés spécialisés (Egalement connus sous l'anglicisme "Chipsets") "Display" : Classe associé aux pilotes de cartes vidéo - Le support du format Standard VGA peut vous affranchir de ces pilotes. Après avoir identifié vos pilotes spécifiques et les avoir éventuellement regroupés dans un dossier arbitrairement dénommé "C:\Pilotes WinPE3", nous vous proposons de procéder comme suit : Au niveau de la console MDT, sélectionnez la rubrique "Out-of-Box Drivers" puis utilisez le menu "Action New folder". Entrez un nom de dossier comme par exemple "Noyau WinPE 3 x86" ainsi qu'un commentaire éventuel puis cliquez 2 fois sur le bouton "Next" puis sur le bouton "Finish" une fois l'opération achevée. Développez l'arborescence afin de sélectionner ce nouveau sous-dossier "Noyau WinPE 3 x86" puis utilisez le menu "Action Import driver".ou le menu contextuel Entrez le chemin complet afin de stipuler le dossier de vos pilotes comme par exemple "C:\Pilotes WinPE3\x86") ou utilisez le bouton "Browse" Page 317 / 409

319 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Cliquez 2 fois sur le bouton "Next" puis sur le bouton "Finish" une fois l'opération achevée. Répéter éventuellement cette opération en créant préalablement des sousdossiers propres aux constructeurs. Remarque : Dans le chapitre relatif aux services de déploiement Windows (WDS), vous avez constaté que Windows Server 2008 R2 apportait une nouvelle interface de gestion et d'intégration des pilotes. Le MDT, n'est malheureusement pas en mesure de mutualiser cette organisation et engendre de fait une gestion indépendante, voire redondante de vos pilotes. Création du profil de sélection Développez l'arborescence afin de sélectionner la rubrique "Advanced Configuration Selection Profiles" puis utilisez le menu "Action New Selection Profile" ou le menu contextuel. Entrez un nom tel que "WinPE x86 Drivers" et une description éventuelle puis cliquez sur le bouton "Next" Développez la structure de dossiers affichée dans le cadre de détail à l'aide des signes "+" afin de cocher uniquement la case du sous-dossier spécial préalablement créé soit "Noyau WinPE x86". Page 318 / 409

320 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Cliquez 2 fois sur le bouton "Next" puis sur le bouton "Finish" une fois l'opération achevée Si vous découvrez et voulez adopter cette procédure afin d'alléger ou réorganiser la gestion de vos pilotes, sachez qu'il est possible, au sein de la console MDT, de créer ces sous-dossiers à postériori pour y déplacer les pilotes puis les affecter éventuellement à des profils de sélection personnalisés Ajout de packages Cette rubrique est destinée à contenir des packages au format.cab ou.msu parmi lesquels on distingue les principales catégories suivantes : Les mises à jour de sécurité des systèmes d'exploitation, également dénommées correctifs ("Hotfixes") Les packs de langues ou modules linguistes d'un système d'exploitation de génération NT6 (Fichiers "lp.cab") Les modules complémentaires ou fonctionnalités additionnelles - Par exemple: Framework.NET, RSAT ou encore Windows Virtual PC pour Windows 7). Attention aux subtilités car un package complémentaire comme "Internet Explorer 9" est principalement délivré sous forme d'exécutable et devrait donc être considéré comme une application MDT (voir ci-après). Les packages IE9 pour Windows 7-32 ou 64 bits au format.msu sont disponibles respectivement aux adresses suivantes : X86 : X64 : L'intégration des correctifs lors des processus d'installation constitue un gain de productivité appréciable mais la gestion manuelle via le MDT risque de devenir rapidement fastidieuse En effet, l'absence d'interface spécialisée dans Page 319 / 409

321 Chapitre 6 : MDT (Microsoft Deployment Toolkit) la gestion et le suivi de ces mises à jour dans le MDT, se cantonne généralement à l'intégration de quelques correctifs. Lorsque le nombre de packages devient important, il peut s'avérer plus efficace d'installer ces derniers sur un poste de référence puis relancer une préparation via "sysprep" afin de capturer le résultat dans une nouvelle image.wim puis l'intégrer au MDT en tant que nouvelle image de système d'exploitation. Les correctifs peuvent être manuellement récupérés à partir des sites "Microsoft Knowledge Base" (Technet), le Download Center ou via du catalogue en ligne " Cette technique est employée pour palier ponctuellement les problèmes, alors que l'installation est généralement laissée à la discrétion du client des mises à jour automatiques via Windows Update. BITS Background Intelligent Transfer Service est un service de transfert de fichier en arrière-plan destiné à préserver la bande passante et capable de gérer la reprise des téléchargements interrompus. Ce service est utilisé pour le transfert des mises à jour via Windows Update à partir de votre serveur Intranet (WSUS) ou celui de Microsoft. Les réglages de BITS sont disponibles au niveau des stratégies de groupe: "Configuration Ordinateur Stratégies Modèles d'administration Réseau Service de transfert intelligent en arrière-plan (BITS)" Sous réserve de disposer d'éditions Intégrale ou Entreprise de Windows 7, l'activation de la fonctionnalité "Branch Cache" permet également de mutualiser les téléchargements (SMB, BITS et HTTP) mais cette approche n'est pas exploitable par les autres versions de Windows. Windows Server Update Services Ces solutions de mutualisation pair à pair restent délicates à contrôler et sous réserve de disposer d'une licence Windows Server, le recours à une solution "Windows Server Update Services" (WSUS) en interne constitue probablement la meilleure approche. En effet, la configuration proposée par défaut consiste à laisser chaque ordinateur télécharger automatiquement les mises à jour des à partir du site Microsoft. Ce réglage engendre donc rapidement une redondance et une surcharge des liaisons Internet et nécessite donc un choix stratégique pour une meilleure maitrise de ce trafic réseau. Des ouvrages dédiés sur l'implémentation d'un serveur WSUS sont disponibles et en voici les grandes lignes pour les néophytes: Page 320 / 409

322 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Schéma de principe de WSUS Téléchargement du produit WSUS à l'adresse suivante puis Installation sur un serveur Windows ayant un accès à Internet Configuration de l'adresse interne sur chaque poste via la stratégie de groupe "Configuration ordinateur Modèles d'administration Composants Windows Windows:Update Spécifier l emplacement intranet du service de mise à jour Microsoft" Gestion du serveur WSUS via la console dédiée afin de définir les règles d'approbation. La "visibilité" des clients est restreinte aux packages "approuvés" uniquement. Pour information, WSUS s'appuie sur une base de donnée SQL incluse dans le package d'installation et l'infrastructure ne requiert aucunement la présence d'un domaine Active Directory. Sachez que le MDT est en mesure de référencer directement un serveur WSUS local durant les phases d'installation des systèmes d'exploitation. Pour cela, vous devez ajouter la directive "WSUSServer= suivie du nom de votre serveur WSUS dans le fichier "CustomSettings.ini". Il conviendra également de réactiver les tâches " Windows Update (Pre- Application Installation)" et " Windows Update (Post-Application Installation)" prédéfinis mais désactivées dans les scénarios standards. A défaut, les mises restantes seront installées de manière traditionnelle après une mise en production de l'ordinateur en fonction du réglage des stratégies de mises à jour automatiques. Local Update Publisher Avant de conclure sur les techniques de gestion des cmises à jour et particulièrement des services WSUS, sachez que suite à la publication de l'api par Microsoft, un projet open-source à vu le jour. Nommé LUP (Local Update Publisher), cette extension permet de distribuer vos propres mises à jour ou applications via le service Windows Update, et donc sans élévation de privilèges sur les postes cibles. Le téléchargement du produit et la documentation associée sur la mise en œuvre ainsi que plusieurs exemples Page 321 / 409

323 Chapitre 6 : MDT (Microsoft Deployment Toolkit) tels que la distribution d'acrobat Reader, Flash Player, du navigateur Firefox, ou encore Java sont disponibles à l'adresse suivante : L'aide ainsi que les procédures de mise en œuvre étant détaillées sur le site de l'éditeur, nous ne developperons pas ce produit dans cet ouvrage. Nous attirons simplement votre attention sur les contraintes d'élévation de privilèges nécessaires aux programmes de mises à jour. A défaut d'un agent ou programme de distribution spécialisé, le service Windows Update permet d'effectuer ces installations avec un compte d'utilisateur standard. Programme d installation ActiveX Enfin, notez que depuis Vista, pour les besoins exclusifs du navigateur Internet Explorer, Microsoft propose un service d'installation de compléments nommé " Programme d installation ActiveX (AxInstSV)". Lorsque ce service est démarré, vous pouvez configurer la liste des sites autorisés et/ou le comportement d'installation des compléments ActiveX via les stratégies de groupe. Ces réglages sont situés sous la rubrique "Configuration Ordinateur Modèles d'administration Service d'installation ActiveX" Packs de langue Si vous disposez des packs linguistes (lp.cab) vous pouvez les intégrer dans cette rubrique. De la même manière que les mises à jour, il peut s'avérer plus simple d'intégrer ces packs linguistes directement dans l'image de référence que vous souhaitez capturer ou de les injecter dans une image existante via la commande DISM. Composants additionnels Pour la démonstration, nous nous contenterons d'installer quelques fonctionnalités additionnelles, telles que les outils d'administration de serveur à distance, la fonctionnalité Windows Virtual PC et Internet Explorer 9 que nous avons préalablement téléchargé et déposé dans un dossier temporaire. Développez l'arborescence MDT afin de sélectionner la rubrique "Packages " puis utilisez le menu "Action New Folder" ou le menu contextuel. Entrez Page 322 / 409

324 Chapitre 6 : MDT (Microsoft Deployment Toolkit) un nom désignant le type de package concerné tel que "Windows 7 Addons" puis cliquez 2 fois sur le bouton "Next" puis le bouton "Finish" Sélectionnez ce nouveau sous-dossier puis utilisez le menu "Action Import OS Packages" ou le menu contextuel. Au niveau du champ "Package source directory", entrez le chemin complet du répertoire contenant les compléments.msu téléchargés ou utilisez le bouton "Browse" Cliquez 2 fois sur le bouton "Next" puis le bouton "Finish" Le résultat ressemble approximativement à ceci : L'association des packages doit ensuite être confirmée via le fichier de réponse associé au système d'exploitation. L'édition de ce fichier est disponible au niveau de l'onglet "OS Info" d'une séquence de tache décrite ultérieurement. Dans l'éditeur de fichier réponse (WSIM), vous pourrez sélectionner le ou les packages désirés dans le cadre "Partage de distribution" puis utilisez le menu "Edition Ajouter au fichier de réponse" ou le menu contextuel. Page 323 / 409

325 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Veillez à ne sélectionner que le packages pertinents applicables au système sélectionné. (Version et plateforme) - En fait, lors de l'édition d'un fichier de réponse via le gestionnaire d'image système Windows, les éventuels sousdossiers créés au sein de la structure MDT sont ignorés et sont affichés dans l'éditeur selon un principe de classement intrinsèque au package (cf colonnes "PackageType" et "ProcessorArchitecture" dans la vue détaillée des packages. Une fois l'intégration des packages effectuée, enregistrez vos modifications lors de la fermeture du fichier de réponse. Prenez garde à exclure ces packages des processus de génération WinPE en créant un profil de sélection, afin de ne pas surcharger inutilement les images démarrage Ajout d'application Du point de vue du MDT, une application est un exécutable, un package.msi ou bien un simple dossier à copier ou script à exécuter. Au sens MDT, les applications représentent les programmes qui doivent être exécutés durant la phase de post-installation du système avant l'éventuelle réinjection des paramètres et données d'utilisateur ou la livraison finale. Par défaut, les applications ajoutées dans cette rubrique apparaitront sous la forme de cases à cocher durant l'interprétation d'un scénario standard et resterons donc à la discrétion de l'installateur. Si le nombre d'applications est important, la création de sous-dossiers peut s'avérer judicieuse. Idéalement, il est nécessaire d'analyser le processus d'installation d'une application avant de l'intégrer au MDT. En effet, la possibilité d'effectuer une installation silencieuse dépend directement du package fournit par l'éditeur. Page 324 / 409

326 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Par exemple, assurez-vous que le programme exécutable téléchargé ne soit pas une archive composée d'un package.msi. Si c'est le cas, utilisez un outil tel que 7-Zip afin d'extraire le contenu vers un dossier provisoire, et importez ce dernier dans le MDT. Exemple d'archive.exe pour Acrobat Reader 10 Pour une application telle que Microsoft Office 2007 ou 2010, vous devez exécuter préalablement le programme d'installation avec le commutateur d'administration "SETUP /ADMIN" afin d'invoquer l'outil de personnalisation et obtenir un fichier ".MSP". Une fois les sources et le fichier.msp intégrés au MDT, la ligne de commande pour l'installation devra référencer ce fichier comme suit "SETUP /ADMINFILE custom.msp". Dans cet exemple le fichier de configuration est situé au même niveau que le programme d'installation. Dans le cas contraire, pensez à indiquer le chemin relatif au répertoire de l'application ("Working directory"). Il est également possible d'utiliser un fichier "CONFIG.XML" et stipuler la commande "SETUP /CONFIG custom.xml" au niveau du MDT. Par défaut le fichier "config.xml" est présent dans le dossier de la distribution "\entreprise.ww" ou "\proplus.ww". Le fichier.msp doit alors être enregistré dans le dossier "\Updates" de la distribution. Note : Depuis sa version 2010, le MDT reconnait automatiquement la suite Microsoft Office 2007 et ultérieures. Un onglet spécifique est alors disponible au niveau des propriétés de l'application. Page 325 / 409

327 Chapitre 6 : MDT (Microsoft Deployment Toolkit) L'onglet spécial Microsoft Office au sein du MDT Au niveau de l'onglet "Detail", la ligne de commande pour l'installation silencieuse "Quiet install command" sera simplement "Setup.exe" Pour les versions antérieures, vous devrez vous procurer le kit de personnalisation spécifique (Office Customization Tool) afin de générer un fichier de transformation ".MST". La ligne de commande pour l'installation ressemble alors à ceci "SETUP.exe TRANSFORMS="Custom.MST" /QB" Développez l'arborescence MDT afin de sélectionner la rubrique "Applications " puis utilisez le menu "Action New Application" ou le menu contextuel. Vous aurez alors 3 possibilités La première option "Application with sources files" consiste à recopier intégralement les fichiers sources de l'application dans la structure du MDT. La seconde option "Application without sources files or elsewhere on the network" permet de référencer une application sur un serveur ou une structure DFS sans l'intégrer dans la structure du MDT (Attention cependant aux contraintes d'authentication et d'exécution à distance) La dernière option "Application bundle" permet de constituer un ensemble composé de plusieurs applications déjà intégrées ou référencés par le MDT. Page 326 / 409

328 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Cette option est particulièrement intéressante afin de simplifier la tâche fastidieuse de la sélection d'un ensemble d'applications par l'installateur. Conservez la première option puis cliquez sur le bouton "Next". Entrez à minima un nom décrivant l'application dans le champ "Application Name" Cliquez sur le bouton "Next" puis entrez le chemin complet du dossier contenant les fichiers nécessaires à l'installation de l'application ou utilisez le bouton "Browse" puis cliquez de nouveau sur le bouton "Next" Saisissez un nom de sous-dossier pour le stockage dans le MDT ou conservez le nom proposé par défaut puis cliquez sur le bouton "Next" Saisissez le nom de l'exécutable d'installation. Dans la mesure du possible, ce champ devrait contenir la ligne de commande (programme et paramètres) d'une installation sans assistance. Par exemple, pour l'installation d'un package MSI, la ligne de commande ressemblerait à ceci : MSIEXEC /I AcroRead.msi /QN Conservez le chemin du répertoire de travail (Working Directory) puis cliquez 2 fois sur le bouton "Next" puis sur le bouton "Finish" une fois l'opération achevée. Page 327 / 409

329 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Les dépendances Notez qu'il est possible de définir des dépendances au niveau des applications MDT. Cette faculté est particulièrement intéressante lorsqu'une application requiert qu'une ou plusieurs autres applications soient préalablement installées. Dans ce cas, l'installateur n'est pas tenu de sélectionner les applications dépendantes qui seront automatiquement installées par le script MDT. Pour gérer les dépendances d'une application, sélectionnez l'application concernée dans la console du MDT puis utilisez le menu "Action Propriétés" ou le menu contextuel. Utilisez ensuite le bouton "Add" afin de parcourir et sélectionner la liste des applications déjà déclarées dans le MDT, puis cliquez sur le bouton "OK' pour valider. Les boutons "up" et "down" permettent d'agir sur la chronologie d'enchainement de ces installations synchrones. Vous pouvez constater que ces opérations de configuration en amont peuvent s'avérer délicates à maintenir dans le temps. De manière générale, les mises à jour et les packages additionnels récurents sont réintégrés au sein de nouvelles images de référence dès que leur nombre est important Création d'un scénario (Task sequence) Un scénario MDT aussi dénommé "Séquence de taches", consiste à définir les différentes étapes du processus de préparation et d'installation d'un poste. Pour définir votre premier scénario, développez l'arborescence MDT afin de sélectionner la rubrique "Task sequences" puis utilisez le menu "Action New Task sequence" ou le menu contextuel. Entrez un identifiant unique pour ce scénario dans le champ "Task sequence ID". Ce nom correspond au sous-dossier qui sera créé pour y héberger les fichiers propres à cette séquence. Hormis l'unicité de cette référence, aucune règle de nommage n'est imposée mais ce nom reste délicat à modifier par la suite. Par exemple "W7-x86-01" Entrez un nom explicite dans le champ "Task sequence Name". Ce nom apparaitra dans le menu de l'installateur coté client au même titre que les éventuels commentaires que vous pouvez ajouter dans le champ "Task Page 328 / 409

330 Chapitre 6 : MDT (Microsoft Deployment Toolkit) sequence Comments". Ces champs pourront être facilement modifiés au niveau des propriétés de la séquence de tâche. Une fois ces champs renseignés, cliquez sur le bouton "Next" L'écran suivant vous affiche une liste de modèles prédéfinis de scénarios (séquence de taches) que nous allons décrire brièvement : "Sysprep and Capture" Ce scénario est chargé de réaliser une tache de préparation d'un poste de référence via l'outil sysprep correspondant puis réalise une capture de l'image.wim résultante vers la structure MDT. Cette image de capture peut ensuite être importée en tant qu'image personnalisée "Custom Image" de la rubrique "Operating System". Contrairement aux importations de système d'exploitation à partir des sources DVD originaux, les images capturées ne disposent pas du programme d'installation (setup.exe) utilisé par le MDT. Bien que le MDT soit conçu pour rechercher le programme d'installation approprié, il est préférable d'opter pour une copie systématique de ces fichiers lors de l'importation, particulièrement si vous n'avez pas encore importé d'autres images au préalable. Idéalement, vous devez procéder à l'importation du premier système d'exploitation à partir des sources d'un CD/DVD original. L'ensemble des fichiers requis sera ainsi stocké dans la structure MDT. Lors de l'importation de l'image personnalisée, (typiquement capturée par ce genre de séquence) vous devrez choisir l'option "Copy Windows Vista, Windows Server 2008, or later setup files from the specified path". L'assistant recherche le dossier "\sources" contenant le programme d'installation et réalisera une copie complête de ce répertoire hormis les images de distribution. Que vous choisissiez l'origine de ce programme d'installation à partir d'un DVD, de la structure MDT ou d'un autre emplacement, indiquez simplement le chemin de la racine du sous-dossier "sources". Page 329 / 409

331 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Importation d'une nouvelle image WIM personnalisée de Windows 7 32 bits Cette séquence prédéfinie peut constituer une source de confusion pour les débutants. En effet, les taches de préparation sysprep et de capture sont également présentes dans les séquences d'installation standard. Dans ce cas, ces scénarios réalisent en fait un cycle complet de préparation, incluant une installation automatisée, une préparation puis une capture de l'image résultante. Il peut s'avéver plus simple de préparer le poste de référence, puis de solliciter cette séquence dédiée à la préparation et à la capture de l'image. Contrairement aux séquences d'installation sollicitées via un démarrage à partir du client LiteTouch, ce scénario doit être déclenché à partir d'un poste opérationnel. Autrement dit, vous pouvez procéder à la préparation et la configuration du poste en toute liberté, y compris dans un environnement virtuel. Une fois les applications, les mises à jour et les réglages achevés, vous n'avez plus qu'à solliciter cette séquence de préparation sysprep et de capture en appelant dir'ectement le script LiteTouch du serveur MDT via le réseau. \\Server-MDT\DeploymentShare$\Scripts\LiteTouch.vbs Astuce : Si vous réalisez votre image de référence à partir d'un ordinateur virtuel, exécutez une capture instantanée (snapshot) de celui-ci juste avant d'exécuter la séquence de préparation. Cette opération vous permettra de conserver une configuration type et gagner un temps précieux si vous souhaitez reprendre ou compléter une configuration existante. Page 330 / 409

332 Chapitre 6 : MDT (Microsoft Deployment Toolkit) "Standard Client Task Sequence" Ce scénario par défaut est chargé de réaliser une installation traditionnelle d'un nouveau poste client "Standard Client Replace Task Sequence" Ce scénario sauvegarde préalablement l'intégralité du poste existant et exporte les paramètres et données d'utilisateur vers un chemin réseau avant d'effacer les disques et procéder à l'installation. "Custom Task Sequence" Ce scénario ne contient aucune tâche par défaut et peut être utilisé pour effectuer des tâches ponctuelles et/ou complémentaires de déploiement "LiteTouch OEM Task Sequence" Ce scénario principalement est destiné aux intégrateurs de matériel (Original Equipment Manufacturer) et s'appuie sur un mécanisme de déploiement par média. "Standard Server Task Sequence" Ce scénario est chargé de réaliser une installation d'un nouveau système d'exploitation serveur et piloter la configuration de certains rôles tels que les services DNS (Domain Name Service), DHCP (Dynamic Host Configuration Protocol), ou encore ADDS (Contrôleur de domaine Active Directory). Les directives d'installation des rôles (ou fonctionnalités) peuvent également être définies dans un fichier de réponse associé. "Post OS Installation Task Sequence Ce scénario apparu avec le MDT2010 update 1 permet d'effectuer un ensemble de tâches complémentaires à partir d'un système Windows déjà installé (indépendamment du client "LiteTouch"). Pour déclencher cette séquence, vous devrez entrer la commande suivante : "\\MDT-Server\DeploymentShare$\Scripts\LiteTouch.vbs" puis sélectionner la séquence de tache désirée. "Deploy to VHD Client Task Sequence" Ce scénario apparu avec le MDT2012 permet de déployer des disques virtuels. Sous réserve de disposer d'un chargeur approprié (BOOTMGR et BCD) sur une partition physique, les éditions Entreprise et Intégrale de Windows 7 ont la capacité de démarrer nativement à partir d'un disque virtuel.?? Cf annexe - Démarrage sur disque virtuel? "Deploy to VHD Server Task Sequence" Scénario identique au précédent pour les systèmes "serveur" Windows Server 2008R2. depuis Les services de déploiement Windows sont en mesure de diffuser ce genre d'image de disque virtuel au même titre que les images.wim. Dans un premier temps, pour l'installation de Windows 7, sélectionnez la séquence par défaut, "Standard Client Task Sequence" puis cliquez sur le bouton "Next" Page 331 / 409

333 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Sélection d'un scénario prédéfini La liste des systèmes d'exploitation référencés par le MDT est alors affichée. Sélectionnez la ligne de votre choix, comme par exemple "Windows 7 ENTERPRISE in Windows 7 x86 install.wim" puis cliquez sur le bouton "Next" L'écran suivant permet de stipuler la clé de licence du produit afin d'en éviter la saisie par l'installateur. Pour les distributions Vista et ultérieures utilisez la seconde option afin d'affecter une licence d'activation multiple. La dernière option est utilisée pour les versions antérieures telles que Windows XP ou Windows Server Page 332 / 409

334 Chapitre 6 : MDT (Microsoft Deployment Toolkit) A défaut d'être renseignée dans un fichier de réponse, la saisie d'une clé est proposée à l'installeur lors du déploiement LiteTouch si la directive "SkipProductKey = NO" est définie dans le fichier "CustomSettings.ini" La dernière option est particulièrement appréciable pour ne pas interrompre les processus d'installation de Windows XP ou Windows Server En revanche, la génération Windows NT6 ne requiert aucune clé pour achever le processus d'installation. Dans cet exemple, conservez l'option par défaut "Do not specify a product key at this time" puis cliquez sur le bouton "Next". L'écran suivant vous permet de saisir les informations de votre société habituellement relatives au propriétaire de la licence, respectivement dans les champs "Full Name" et "Organization" Bien que facultatif, vous pouvez également préciser la page d'accueil par défaut du navigateur Internet Explorer puis cliquez ensuite sur le bouton "Next". L'écran suivant vous permet de saisir le mot de passe de l'administrateur local intégré. Cette donnée sensible est stockée dans le fichier de réponse Page 333 / 409

335 Chapitre 6 : MDT (Microsoft Deployment Toolkit) correspondant sous forme encodée. Notez toutefois que par défaut, le processus de déploiement MDT réactive ce compte administrateur intégré dont le mot passe restera vide pour les distributions originales. La saisie d'un mot de passe est proposée à l'installeur lors du déploiement LiteTouch si la directive " SkipAdminPassword = NO" est définie dans le fichier "CustomSettings.ini" A l'instar de la clé produit, vous pouvez le laisser à la charge de l'installateur en sélectionnant l'option "Do not specify an Administrator password at this time" puis cliquez 2 fois sur le bouton "Next" et sur le bouton "Finish" une fois l'opération achevée. A ce stade, le scénario est opérationnel mais il convient de vous présenter quelques réglages particulièrement intéressants. Pour cela, sélectionnez cette nouvelle séquence de taches puis utilisez le menu "Action Propriétés" ou le menu contextuel. Vous pourrez remarquer que l'onglet "General" permet de revenir sur plusieurs préférences relatives au déploiement mais surtout que l'onglet "OS Info" affiche un ou plusieurs boutons permettant d'éditer le(s) fichier(s) de réponses propres au système d'exploitation "Edit Unattend.xml" : Ce bouton apparait pour les distributions Vista et ultérieures et déclenche l'ouverture du fichier de réponses par défaut avec l'éditeur associé "Gestionnaire d'image système Windows" (WSIM) "Edit Sysprep.inf" "Edit Unattend.txt" : Ces boutons apparaissent pour les distributions Windows XP ou Windows Server 2003 et déclenche l'ouverture du fichier de réponses correspondant avec le bloc-notes. Vous pouvez cliquer sur ce bouton afin de consulter les nombreux réglages déjà renseignés par défaut. Sélectionnez l'onglet "Task Sequence" Le séquenceur affiché dans cette partie constitue probablement le cœur du mécanisme MDT. Il a pour mission de piloter de nombreux scripts dont l'enchainement n'est pas implicitement linéaire. En effet, bien qu'ils soient modifiables part une poignée d'experts, ces scripts complexes s'exécutent selon les choix définis et les résultats renvoyés. Page 334 / 409

336 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Il convient donc de présenter les grandes lignes de son utilisation : Chaque tache élémentaire (ou script spécialisé) est représentée par une pastille cochée verte (CH6-IconTask2012.png) (MDT2012) ou un triangle vert (CH6-IconTask2010.png) avec MDT2010 (Ce symbole est de couleur grise lorsque la tâche est désactivée). Les symboles de dossiers (CH6-IconFolder2012.png) ou (CH6- IconFolder2010.png) permettent d'organiser et regrouper des ensembles de taches communes. Ces blocs sont parfois divisés en sous-ensembles optionnels selon les variantes du scénario (ie upgrade, refresh, new ). Comme indiqué succinctement dans l'introduction de ce chapitre, on peut distinguer les "phases" de premier niveau qui jalonnent les scénarios standards. "Initialisation": Phase chargée de collecter les informations du poste cible sur lequel s'exécute le scénario. "Validation" : Phase chargée de tester les prérequis généraux du poste cible tels que la vitesse du processeur ou la quantité de mémoire vive. Cette tâche est par défaut réitérée lors de l'installation d'un nouveau système. "State capture" : Phase optionnelle chargée de sauvegarder les réglages ainsi que les données d'utilisation et s'appuie essentiellement sur l'outil "User State Migration Tool" (USMT) "Preinstall" : Phase chargée de préparer le poste cible pour l'installation. Ceci inclut l'injection des pilotes et des mises et pour une nouvelle Page 335 / 409

337 Chapitre 6 : MDT (Microsoft Deployment Toolkit) installation ("new"), le partitionnement et le formatage des disques. S'il s'agit d'une mise à jour d'un système existant ("Refresh"), une sauvegarde préalable est proposée. "Install" : Phase chargée de l'installation du système d'exploitation selon une technique traditionnelle pilotée par le fichier de réponse associé (cf onglet "OS Info"). "Postinstall" : Phase chargée d'effectuer la première ouverture de session automatique (autologon) afin d'exécuter les éventuelles commandes complémentaires juste après l'installation du système d'exploitation. Typiquement, la copie locale des scripts nécessaires à la poursuite des processus au prochain redémarrage. "State restore" : Dernière phase fondamentale composée de nombreuses variantes du scénario, parmi lesquelles vous trouvez typiquement, l'installation des applications, la restauration des paramètres et données d'utilisation, l'exécution des taches personnalisées et les éventuels processus de capture. La richesse de ce séquenceur ne nous permet pas d'en détailler toutes les possibilités et nous allons n'en présenter qu'une infime partie: En effet, à l'instar des taches élémentaires, la plupart des dossiers de premier niveau sont composés de 2 onglets de configuration chargés de tester une variable d'ordonnancement des phases (Il reste toutefois déconseillé de les modifier!) Chaque tâche élémentaire est également composée de ces mêmes onglets de configuration. "Properties" : Permet d'affecter un nom, une description et configurer les réglages propres aux actions. Il existe plusieurs types d'action personnalisables classés au niveau du bouton "Add"' Le tableau suivant affiche la liste des actions disponibles Thème Nom de la tache prédéfinie Description de la tache General Run Command Line Exécution d une commande, d un script Run Powershell script Set Task Sequence Variable Restart computer Exécution d un script Powershell (MDT2012) Affectation d une variable Redémarrage de l ordinateur Page 336 / 409

338 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Gather Collecte d informations Install Updates Offline Installation de mises à jour (packages) en mode hors connexion - selon les profils de sélection définis dans la configuration avancée. Validate Install Applications Inject Drivers Disks Format and Partition Disk Enable BitLocker Create virtual hard disk (VHD) Etape de validation des pré-requis (mémoire, CPU, etc ) Installation d applications Ajout de pilotes selon les profils de sélection définis dans la configuration avancée. Opération de formatage et de partitionnement de disque Activation du chiffrement intégral du disque Création d'un disque virtuel Images Install Operating System Installation d'un système d exploitation Settings Apply Network Settings (Ré)Affectation de réglages aux cartes réseau Capture Settings Network Recover from domain Roles Install Roles and Features Configure DHCP Configure DNS Configure ADDS Authorize DHCP Récupération des réglages actifs de carte réseau Réitère le processus de jonction à un domaine Active Directory Activation/Désactivation de rôles et/ou fonctionnalités (Windows Server 2008 / R2) Configuration du service DHCP Configuration Active Directory Configuration Active Directory Autorisation du service DHCP dans Active Directory Certains de ces réglages permettent d'effectuer plusieurs opérations - Dans ce cas utilisez les boutons dédiés pour ajouter, modifier les propriétés ou supprimer une action. "Options" : Bien que réservé aux techniciens avertis, cet onglet permet de désactiver ponctuellement une tache "Disable this step", affecter un numéro d'erreur qui sera consigné dans les journaux, poursuivre les étapes Page 337 / 409

339 Chapitre 6 : MDT (Microsoft Deployment Toolkit) suivantes en cas d'erreur ou encore effectuer une ou plusieurs tests ou bien ajouter des conditions d'exécution de la tâche. Pour information, l'ensemble des séquences sont consignés dans le dossier "Control". Chaque séquence de taches est enregistrée dans un fichier "TS.xml" qui lui est propre, situé dans le sous-dossier attribué lors de la création d'une nouvelle séquence. Pour l'exemple, nous allons simplement modifier les phases de personnalisation des disques. En effet, si vous laissez cette séquence de tache en l'état, le système Windows sera installé dans une partition NTFS unique "C:", baptisée "OS Disk", occupant l'intégralité du disque. Cette petite modification démontre que ces opérations sont beaucoup plus aisées que celle d'un fichier de réponse. Pour cela, développez l'arborescence des taches existantes afin de sélectionner "Preinstall New Computer only Format and Partition Disks" Sélectionnez la ligne "OS Disk (Primary)" dans le cadre de droite puis cliquez sur le bouton d'édition des propriétés (CH6-iconEditProp.png) afin d'ouvrir la fenêtre spécifique suivante que nous allons transformer en étape de création de la partition d'amorçage du système. : Page 338 / 409

340 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Modifier le champ "Partition Name" en entrant la valeur "Boot", puis sélectionnez l'option "Use spécifique size". Entrez la valeur "100" dans le champ size et sélectionnez l'unité "MB" dans la liste déroulante. Conservez l'option "Make this a boot partition" cochée ainsi que les autres réglages actuels puis cliquez sur le bouton "OK". De retour dans la fenêtre des propriétés de cette tâche, cliquez sur le bouton de création d'item (CH6-iconNewItem.png). Entrez la valeur "SYS", dans le champ "Partition Name" puis sélectionnez l'option "Use a percentage of remaining free space". Entrez la valeur "50" au niveau du champ "Size(%)"et conservez la case "Make this a boot partition" décochée ainsi que le format "NTFS". Cochez la case "Quick Format" puis cliquez sur le bouton "OK". Recommencez cette opération entrant la valeur "DATA", dans le champ "Partition Name" puis validez vos choix via le bouton "OK". Avec une bonne dose d'expérience, vous pourriez envisager d'établir un partitionnement plus intelligent basé sur la taille du disque physique de destination en appliquant des requêtes WMI pour ces options. Page 339 / 409

341 Chapitre 6 : MDT (Microsoft Deployment Toolkit) De retour dans la fenêtre des propriétés de cette tâche, sélectionnez l'élément "Install Install Operating System" dans l'arborescence des taches existantes. Entrez la valeur "2" ou utilisez le mini-ascenseur au niveau du champ "Partition" dans le détail des propriétés. Enfin, cliquez sur le bouton "OK" pour valider ces changements et fermer la fenêtre des propriétés de ce scénario. Par défaut, le MDT crée une partition d'amorçage de 300Mo nommée "BDEDrive" lors des installations de Windows 7 ou Windows Server 2008R2. Pour éviter la création de cette partition d'amorçage, ajoutez manuellement la directive "DoNotCreateExtraPartition=YES" dans le fichier "\Control\CustomSettings.ini" 3.6. Configuration détaillée du client "LiteTouch" Cette dernière phase avant l'exploitation du MDT consiste à générer le client associé au MDT. Cette opération doit être réalisée pour chaque modification majeure du MDT, telle que le changement de nom du serveur, du partage ou l'ajout de nouveau drivers ou packages dans le noyau WinPE Préparation du client Page 340 / 409

342 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Bien que la finalité soit identique, la présentation de l'assistant de création des clients a été sensiblement modifiée avec le MDT2012. A l'instar des versions précédentes, le processus génère systématiquement les 2 plateformes WinPE/LiteTouch 32 et 64 bits Pour préparer la configuration de ces clients "LiteTouch", procédez comme suit : Sélectionnez la racine du partage dans l'arborescence de la console MDT, soit "Deployment Shares MDT Deployment Share" puis utilisez le menu "Action Propriétés" ou le menu contextuel. Sélectionnez ensuite l'onglet "Windows PE ". Les réglages sont propres à la plateforme x86 ou x64 sélectionnée dans la liste déroulante. (par défaut "x86") Sous l'onglet "General" de la seconde rangée, la première case à cocher "Generate a Lite Touch Windows PE WIM File" est obligatoirement cochée et seule le champ "Description" peut être modifié. Pour rappel, le fichier WIM généré nécessitera son insertion dans une structure d'amorçage tel qu'un serveur de déploiement WDS au niveau des images de démarrage. Pour une utilisation autonome, incluant cette structure de démarrage, cochez la case "Generate a Lite Touch bootable ISO image". Le fichier.iso ainsi généré pourra être gravé sur un média ou bien être associé à une machine virtuelle. Page 341 / 409

343 Chapitre 6 : MDT (Microsoft Deployment Toolkit) La partie centrale "Windows PE Customizations" permet de définir quelques personnalisations : "Custom background bitmap file" : Définit l'image de fond d'écran affichée dans le client WinPE (au format.bmp) "Extra directory to add" : Un dossier quelconque (incluant par exemple vos propres outils) qui sera intégré au noyau WinPE "Scratch space size" : Définit l'espace de travail temporaire affecté en complément du disque mémoire "Ramdrive" de WinPE (variable de 32 à 512 Mo) principalement utilisé par les pilotes Enfin, la zone "Generic Boot Image Settings" permet de décliner ces opérations vers un noyau générique. Autrement dit, un client dépourvu du lancement automatique du client LiteTouch. Un démarrage sur ce type d'image s'achève donc sur l'invite de commande de WinPE. Sélectionnez ensuite l'onglet "Features" de cette seconde rangée et vérifiez simplement que l'option "Microsoft Data Object Components (MDAC/ADO) support" est cochée. Cet écran permet également d'ajouter quelques compléments linguistiques tels que les polices de caractères asiatiques ainsi que le client PPPoE récemment ajouté au MDT Sélectionnez enfin l'onglet "Drivers and Patches" de cette seconde rangée et utilisez la liste déroulante "Selection profile" afin de sélectionner le profil "WinPE x86 Drivers" (Pour rappel, ce profil spécifique a été préalablement créé lors de l'étape d'importation des pilotes additionnels). Page 342 / 409

344 Chapitre 6 : MDT (Microsoft Deployment Toolkit) La sélection d'un profil personnalisé incluant uniquement les pilotes nécessaires peut vous dispenser d'effectuer une requête sélective en fonction des classes de pilotes. En l'absence de profil spécialisé pour WinPE, sélectionnez le profil "All Drivers" présent par défaut puis cochez les cases de sélection appropriées à vos besoins. N'oubliez pas de cochez la case "Include all system-class drivers in selection profile" incluant les pilotes de composants électroniques (chipsets) parfois nécessaires à la détection d'autres périphériques. Au besoin, vous devez réitérer ces mêmes opérations pour la plateforme x64 Cliquer sur le bouton "OK" afin de valider vos modifications. Vous aurez peut être constaté que le MDT 2012 propose dorénavant une capacité de surveillance à distance des clients. Cette option doit être activée via l'onglet "Monitoring" de cette interface. cf aspx Génération du client "LiteTouch" La génération du client "LiteTouch" constitue l'ultime étape avant son exploitation : Sélectionnez la racine du partage dans l'arborescence de la console MDT, soit "Deployment Shares MDT Deployment Share" puis utilisez le menu "Action Update Deployment Share " ou le menu contextuel. Page 343 / 409

345 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Vous disposez alors de 2 options de génération des images : "Optimize the boot image updating process" - Permet de travailler sur des images existantes et permet de gagner en rapidité de création hormis la première fois. La case à cocher "Compress the boot image " est censée optimiser la taille du noyau WinPE en supprimant les composants inutilisés "Completely regenerate the boot images" - Ce technique de génération est plus longue mais permet d'obtenir des images fiables. Utilisez cette option suite à des modifications importantes du MDT. Préférez cette option si vous constatez un comportement anormal des clients "LiteTouch" Dans notre exemple, sélectionnez l'une ou l'autre des options puis cliquez 2 fois sur le bouton "Next". Vous trouverez les fichiers résultants de cette génération dans le dossier "Boot" situé à la racine du point de déploiement. Une fois générées, ces images WIM LiteTouch peuvent ensuite être intégrées aux images de démarrage d'un serveur de déploiement Windows (WDS) afin de bénéficier du démarrage PXE et éventuellement bénéficier du mode "Multicast*" lors du déploiement des images de distribution. (cf WDS et MDT)* 3.7. Validation détaillée des étapes de mise en œuvre Disposant d'une configuration opérationnelle, nous allons procéder aux tests de mise en œuvre au sein de la plateforme technique. Pour cela, il suffit de créer une nouvelle machine virtuelle en procédant comme suit : Ouvrez la console "Gestionnaire Hyper-V" de votre ordinateur physique puis virtuel puis utilisez le menu "Action Nouveau Ordinateur virtuel". Cliquez sur le bouton "Suivant" afin de passer l'écran d'accueil de l'assistant Entrez un nom décrivant succinctement cet ordinateur tel que "Test LTI" puis cliquez sur le bouton "Suivant" Conservez la quantité de mémoire proposée "512 Mo" puis cliquez sur le bouton "Suivant". Page 344 / 409

346 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Sélectionnez le réseau virtuel "Interne Hôte" dans la liste déroulante puis cliquez sur le bouton "Suivant". Au niveau de l'écran des disques virtuels, conservez les réglages proposés, (nouveau disque virtuel de 127Go à extension dynamique) puis cliquez sur le bouton "Suivant". A l'affichage des options d'installation, sélectionnez l'option "Installer un système d'exploitation à partir d'un CD/DVD de démarrage" puis l'option "Fichier image (.iso)" dans le cadre "Média" Utilisez le bouton "Parcourir" afin de sélectionner le fichier "E:\DeploymentShare\Boot\LiteTouchPE_x86.iso" puis cliquez sur le bouton "Terminer". Démarrez ensuite ce nouvel ordinateur virtuel qui n'a pas d'autre alternative que d'utiliser l'image.iso insérée. Après traitement des directives du fichier "bootstrap.ini", l'écran d'accueil du client "Lite Touch" est affiché Page 345 / 409

347 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Bien que cela soit peu courant, vous pouvez masquer cet écran en ajoutant la directive "SkipBDDWellcome=YES" dans le fichier "bootstrap.ini". Remarque : En cas d'échec durant une phase précédente d'installation LiteTouch, les dossiers résiduels "MININT" et "_SMSTaskSequence" peuvent être présents sur le disque système et empêcher l'initialisation du client. Reportez-vous à la fin de ce chapitre pour l'implémentation éventuelle d'un palliatif. Avant de poursuivre cette découverte, vous pourrez remarquer qu'au fil de ses évolutions successives, l'interface d'accueil du client MDT a été enrichie de plusieurs choix supplémentaires : "Run Deployment Wizard to install a new operating system" : Démarre le processus "LiteTouch" en affichant la liste des séquences de taches disponibles sur le partage de déploiement "Run the Windows Recovery Wizard" : Démarre l'outil de réparation WinRE "Exit to Command Prompt" : Ouvre une invite de commande WinPE - Pour reprendre le processus LiteTouch", vous pouvez relancer le script d'initialisation via la commande suivante : "X:\Decploy\Scripts\LiteTouch.wsf" L'interface propose également la possibilité de choisir une disposition de clavier ou de définir une adresse IP statique en cas de besoin. Page 346 / 409

348 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Après avoir cliqué sur le bouton "Run Deployment Wizard to install a new operating system" vous serez invité à saisir les identifiants nécessaires à la connexion vers le partage de déploiement, si ceux-ci ne sont pas renseignés dans le fichier d'initialisation "bootstrap.ini" Au niveau de fenêtre "Credentials", entrez un nom d'utilisateur tel que "Administrateur" et le mot de passe "Pa$$w0rd" ou un autre compte habilité à accéder au partage de déploiement. L'ordinateur physique n'étant pas membre d'un domaine, entrez le nom de l'ordinateur ou l'adresse IP " " dans le champ "Domain" puis cliquez sur le bouton "OK" Ces informations peuvent être préalablement renseignées dans la rubrique "[Default]" du fichier "bootstrap.ini" et ce respectivement via les directives "UserDomain=VotreDomaineOuServeur", "UserID=NomUtilisateurMDT" et, "UserPassword=MotDePasse" Attention, le fichier de configuration "bootstrap.ini" stocké sur le point de déploiement est également recopié dans l'image du client (X:\Deploy\Scripts). En cas de modification, il sera donc nécessaire de mettre à jour (régénérer) le client via la console MDT en sélectionnant le menu "Upgrade Deployment Share" disponible sur la racine du point de déploiement "MDT Deployment Share" Exemple de fichier "bootstrap.ini" [Settings] Priority=Default [Default] DeployRoot=\\ \DeploymentShare$ UserID=Administrateur UserDomain= UserPassword=Pa$$w0rd KeyboardlocalePE=040c: c Page 347 / 409

349 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Astuce : Pour effectuer rapidement une vérification ou une modification* du fichier "bootstrap.ini" au sein d'une image WIM, vous pouvez éventuellement utiliser l'outil "7-Zip" évoqué précédemment. (* sous réserve que le support ne soit pas en lecture seule) Nous évoquerons tout au long de ce processus d'installation, la possibilité de masquer les différents écrans affichés selon vos préférences d'utilisation des clients "LiteTouch". Ces fichiers.ini peuvent être modifiés via le bloc-notes ou à partir de la console MDT via l'onglet "Rules" disponible au niveau des propriétés du point de déploiement. Cet onglet propose également un bouton "Edit Bootstrap.ini" dans le coin inférieur droit de cette interface. Note : Si vous souhaitez inhiber provisoirement une directive ou simplement ajouter un commentaire, vous devez ajouter un point-virgule en début de ligne. (Jamais dans le reste d'une ligne sous peine qu'il soit interprété et engendre une erreur) Détail des séquences Après avoir passé l'écran d'accueil et l'authentification, la liste des séquences de taches disponibles sur le partage de déploiement est ensuite affichée : Page 348 / 409

350 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Remarque : Le volet de gauche permettant de suivre la progression des différentes étapes constitue une nouveauté de l'assistant de déploiement du MDT 2012 Chacun des choix proposés peut être identifié par le nom (obligatoire) et la description associée (facultative) définis dans les séquences de tâches. Afin de mieux illustrer cette présentation, nous avons doté notre exemple de plusieurs scénarios supplémentaires, L'affichage d'une séquence de taches ne dépend pas de l'authentification mais celle-ci peut être ponctuellement masquée en décochant l'option "Enable this task sequence" disponible sous l'onglet "General" des "Propriétés" d'une séquence de tache. Bien que cela ne présente qu'un intérêt très limité, notez que cet écran peut être masqué en ajoutant manuellement l'une des directives suivantes dans le fichier "\Control\CustomSettings.ini" SkipBuild=YES SkipTaskSequence=YES Il est alors nécessaire d'indiquer le numéro identifiant la séquence de tâches "TaskSequenceID=" ou "BuildID=" qui sera exécuté par défaut. Il est également possible d'associer une séquence de tâches propre à un modèle d'ordinateur. Sélectionnez la séquence "Windows 7 Entreprise 32 bits - Tous PC" puis cliquez sur le bouton "Next". L'étape suivante vous propose de renseigner le nom qui sera affecté à l'ordinateur durant l'installation. Un nom aléatoire commençant par "MININT-" est proposée par défaut. Page 349 / 409

351 Chapitre 6 : MDT (Microsoft Deployment Toolkit) CH6-18a.png Il est toutefois possible d'associer un nom d'ordinateur en fonction de l'adresse physique de carte réseau (MAC Address). Pour cela, vous devez modifier le fichier "\Control\CustomSettings.ini" en ajoutant la valeur "MACAddress" de la directive "Priority=" située dans la section "[Settings]", puis d'ajouter des nouvelles sections identifiées par l'adresse physique de carte réseau et contenant la directive "OSDComputerName=" suivi du nom d'ordinateur souhaité. Autrement dit, une fois modifié, le fichier "CustomSettings.ini" devrait ressembler à ceci : [Settings] Priority=MACAddress, Default Properties=MyCustomProperty [00:15:5D:17:34:07] OSDComputerName=REF-MDT-01 SkipComputerName=YES SkipCapture=NO SkipDomainMembership=YES JoinWorkgroup=WORKGROUP Vous pouvez ajouter la directive "SkipComputerName=YES" pour masquer* l'écran de saisie du nom d'ordinateur. Le MDT2012 beta 2 regroupe dorénavant l'écran de nommage de l'ordinateur avec l'écran de jonction à un domaine ou un groupe de travail. Ce réglage aura pour incidence de griser le champ du nom d'ordinateur et sélectionnera le champ suivant. Si vous souhaitez affecter ce genre de réglages spécifiques à une plus grande échelle, il est conseillé d'associer une base de données au MDT - cf configuration avancée Page 350 / 409

352 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Après avoir validé au besoin le nom d'ordinateur, l'étape suivante vous propose de joindre un domaine ou un groupe de travail. Si vous souhaiter installer systématiquement les postes dans un groupe de travail, sachez que cet écran peut être masqué en ajoutant manuellement les directives suivantes dans le fichier "\Control\CustomSettings.ini" SkipDomainMembership=YES Stipule le nom du groupe de travail (par défaut "WORKGROUP") JoinWorkgroup=WORKGROUP Ces options peuvent également être spécifiques à un ordinateur particulier en les ajoutant dans la section de ce dernier au même titre que le nom d'ordinateur évoqué dans l'exemple précédent. A l'inverse si vous souhaitez joindre systématiquement les postes à un domaine Active Directory vous devrez stipuler les directives suivantes dans le fichier "\Control\CustomSettings.ini" SkipDomainMembership=NO Stipule le nom court ou complet de votre domaine Active Directory JoinDomain=LABS.LOCAL Stipule le nom et mot de passe d'un compte habilité à joindre un ordinateur au domaine DomainAdmin=Install DomainAdminPassword=Pa$$w0rd DomainAdminDomain=LABS Stipuler le nom de l'unité d'organisation où sera créé le compte d'ordinateur. A défaut, le compte d'ordinateur sera créé dans le conteneur "cn=computers " MachineObjectOU=ou=NewComputers,dc=labs,dc=local Vous pouvez également proposer une liste d'unité d'organisation en ajoutant des directives "DomainOUs'n'=" dans le fichier "customsettings.ini". Remplacer 'n' par une valeur numérique et indiquer le nom distinctif pour chaque unité d'organisation comme par exemple:. DomainOUs1=OU=Postes Fixes,OU=ENI,DC=LABS,DC=Local DomainOUs2=OU=Portables,OU=ENI,DC=LABS,DC=Local DomainOUs3=OU=Serveurs,OU=ENI,DC=LABS,DC=Local Attention : Le nom distinctif LDAP doit toujours commence par "OU=". Autrement dit, les conteneurs de type "CN=Computers, " ne sont pas acceptés Vous pouvez également utiliser la directive "MachineObjectOU" pour fixer le choix par défaut Astuce : Pour lister les noms distinctifs de vos unités d'organisation, utilisez simplement la commande "DSQUERY OU" à partir d'une invite de commande exécutée sur le contrôleur de domaine. Les valeurs spécifiées seront affichées sous la forme d'une liste déroulante dans l'assistant de déploiement afin de simplifier la saisie par l'installateur Page 351 / 409

353 Chapitre 6 : MDT (Microsoft Deployment Toolkit) A défaut, nous poursuivrons cet exemple en conservant l'option "Join a workgroup", avec le nom proposé "WORKGROUP" puis cliquez sur le bouton "Next". L'étape suivante vous propose de restaurer les paramètres et données d'utilisateur préalablement sauvegardées via l'outil USMT (User State Migration Tool) vers un partage réseau. CH6-19a.png Si vous n'utilisez pas cette option de restauration (impliquant une sauvegarde préalable via USMT) vous pouvez masquer cet écran en ajoutant manuellement les directives suivantes dans le fichier "\Control\CustomSettings.ini" SkipUserData=YES UserDataLocation=NONE Pour notre exemple, conservez l'option par défaut "Do not restore user data and settings" sélectionnée, puis cliquez sur le bouton "Next". L'étape suivante vous demande la saisie d'une clé de licence à moins que vous ayez, modifié cette option globale lors de l'installation du MDT comme mentionné précédemment. Page 352 / 409

354 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Pour rappel, vous pouvez masquer cet écran en ajoutant manuellement la directive suivante dans le fichier "\Control\CustomSettings.ini" SkipProductKey=YES Notez toutefois, que lors de la création d'une séquence de taches, l'assistant vous propose de renseigner (ou ignorer) en fonction du système d'exploitation installé, la clé de licence qui sera alors stockée dans le fichier de réponse correspondant. Si vous avez ajouté des packs de langues supplémentaires au niveau de la rubrique "packages", l'étape suivante vous propose d'en sélectionner en fonction de vos besoins. Notez que le pack de langue intégré au sein du système d'exploitation choisi est automatiquement détecté et déjà sélectionné Page 353 / 409

355 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Vous pouvez masquer cet écran en ajoutant manuellement la directive suivante dans le fichier "\Control\CustomSettings.ini" SkipPackageDisplay=YES Cochez éventuellement le pack de langue désiré puis cliquez sur le bouton "Next" L'étape suivante vous demande de valider les préférences régionales du système d'exploitation installé. Le MDT2012 regroupe dorénavant cet écran avec le réglage du fuseau horaire. CH6-22a.png Vous pouvez figer ces réglages en ajoutant manuellement les directives suivantes dans le fichier "\Control\CustomSettings.ini" (Pour la France) Page 354 / 409

356 Chapitre 6 : MDT (Microsoft Deployment Toolkit) SkipLocaleSelection=YES Stipuler le clavier et la langue du système installé KeyboardLocale=040C: C UserLocale=fr-FR UILanguage=fr-FR La seconde partie consiste à définir le fuseau horaire qui sera affecté au système d'exploitation installé. A l'instar de préférences régionales, vous pouvez masquer cette partie en ajoutant manuellement les directives suivantes dans le fichier "\Control\CustomSettings.ini" SkipTimeZone=YES Stipuler le fuseau horaire pour la France TimeZone=105 TimeZoneName=Romance Standard Time Si les 2 directives de masquage sont positionnées sur "YES", cet écran n'est plus affiché. Vérifiez que les réglages par défaut sont bien positionnés sur "French " et après avoir sélectionné le fuseau horaire adéquat dans la liste déroulante, cliquez sur le bouton "Next". L'étape suivante affiche les applications disponibles sur le point de déploiement. Ces choix restent à la discrétion de l'installateur et les applications sélectionnées (ainsi que leurs dépendances éventuelles cochées ou non) seront installées dans la foulée du système d'exploitation. (Reportezvous à l'explication précédente à propos de la définition des applications) Il est généralement préférable de conserver cet écran bien que celui-ci puisse être également masqué en ajoutant manuellement les directives suivantes dans le fichier "\Control\CustomSettings.ini" SkipApplications=YES SkipAppsOnUpgrade=YES Page 355 / 409

357 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Pour sélectionner et/ou installer des applications par défaut, vous devrez ajouter les identifiants GUID de celles-ci dans ce même fichier, comme par exemple Applications001={1a7b58f6-5de8-4fb0-bcc ff810f4} Applications002={e34ff5f1-2a52-43d2-89ff-2d13aef76233} Applications003={c1ac9665-b9da-4db3-9e14-b729a9e09859} Si vous optez pour une installation manuelle et que le nombre d'application est important, nous vous conseillons d'organiser celles-ci sous la forme d'ensemble d'application ("bundle") ou de sous-dossiers afin de simplifier les sélections effectués par l'installateur. Après avoir coché les applications désirées, comme par exemple "Adobe Reader ", cliquez sur le bouton "Next". L'étape suivante permet de définir le mot de passe de l'administrateur local à moins que vous ayez là encore, inhibé cette option globale lors de l'installation du MDT. Pour rappel, vous pouvez afficher de nouveau cet écran en ajoutant manuellement la directive suivante dans le fichier "\Control\CustomSettiings.ini" SkipAdminPassword=NO Comme pour la clé de licence, l'assistant de création d'une séquence de taches vous propose de renseigner (ou ignorer) ce mot de passe qui sera alors stocké dans le fichier de réponse correspondant. Attention, au sein des distributions originales, le compte administrateur intégré ne dispose d'aucun mot de passe, alors que le MDT réactive ce compte par défaut. Après avoir saisie et confirmé le mot de passe du compte d'administrateur intégré, cliquez sur le bouton "Next". Page 356 / 409

358 Chapitre 6 : MDT (Microsoft Deployment Toolkit) L'étape suivante propose d'effectuer une capture préalable d'un ordinateur de référence mais cette opération s'avère inutile lorsque qu'il d'un nouveau poste de travail. A l'instar de la clé de licence, vous avez probablement masqué cet écran via l'option globale proposée lors de l'installation du MDT comme mentionné précédemment. Pour rappel, vous pouvez afficher de nouveau cet écran en ajoutant manuellement la directive suivante dans le fichier "\Control\CustomSettings.ini" SkipCapture=NO Cette directive peut être consolidée ou inversée via l'option "DoCapture", typiquement valorisée à "YES" pour un scénario appliqué sur un poste de référence. Autrement dit, l'entrée "DoCapture=NO" masque également l'écran de capture L'étape suivante ne concerne que les installations des postes Windows "NT6" Editions Intégrale ou Entreprise et propose de mettre en œuvre le chiffrement intégral de disque "BitLocker" Page 357 / 409

359 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Sachant que cette opération n'est pas destructive et peut être réalisé à postériori, vous pouvez masquer cet écran en ajoutant manuellement la directive suivante dans le fichier "\Control\CustomSettings.ini" SkipBitLocker=YES Pour plus d'information du cette technologie "Bitlocker", reportez-vous sur les explications fournies en annexe de ce document. Conservez l'option "Do not enable Bitlocker for this computer" puis cliquez sur le bouton "Next". L'ultime écran affiche un résumé des options sélectionnées durant les étapes précédentes. Cliquez sur le bouton "Details." pour développer l'affichage : Page 358 / 409

360 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Bien qu'il soit préférable de conserver cette étape de vérification, vous pouvez cependant masquer cet écran en ajoutant manuellement la directive suivante dans le fichier "\Control\CustomSettings.ini" SkipSummary=YES Cliquez sur le bouton "Begin" pour lancer le processus d'installation automatisé. L'affichage du séquenceur au premier plan vous permet de suivre la progression des différentes étapes, et ne requiert plus aucune intervention de la part de l'installateur Page 359 / 409

361 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Notez qu'il est également possible de personnaliser le nom "IT Organization" affiché par défaut. Pour cela, il suffit d'ajouter manuellement la directive suivante dans le fichier "\Control\CustomSettings.ini" _SMSTSORGNAME=ENI-Service Ce paramètre particulier est préfixé par le caractère de soulignement. A la fin du processus, le poste est opérationnel et indique le résultat de l'installation. Un fond rouge est affiché en cas d'erreur critique et un fond jaune pour un avertissement non bloquant. C'est à ce stade que les dossiers provisoires "MININT" et "_SMSTaskSequence" sont détruits. En cas d'anomalie ou d'interruption volontaire du processus, ces dossiers sont conservés et bloque une nouvelle tentative d'installation. Reportez-vous au chapitre sur la configuration avançée pour l'implémentation d'un éventuel palliatif. Une fois vos séquences vérifiées et validées, vous pourrez masquer cet écran et définir le comportement final en ajoutant manuellement les directives suivantes dans le fichier "\Control\CustomSettings.ini" SkipFinalSummary=YES FinishAction = LOGOFF SHUTDOWN RESTART REBOOT Cliquez sur le bouton "Finish" pour clore le processus d'installation. Par défaut, le MDT crée une partition d'amorçage de 300Mo nommée "BDEDrive" lors des installations de Windows 7 ou Windows Server 2008R2. Page 360 / 409

362 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Pour éviter la création de cette partition d'amorçage, ajoutez manuellement la directive suivante dans le fichier "\Control\CustomSettings.ini" DoNotCreateExtraPartition=YES Cet exemple ne vous a présenté qu'une infime partie des réglages disponibles dans le MDT, et particulièrement du fichier de configuration "CustomSettings.ini". Pour information, ce fichier, disponible dans les fichiers complémentaires de cet ouvrage, ressemblerait approximativement à ceci: [Settings] Priority=Default Properties=MyCustomProperty [Default] OSInstall=Y SkipDomainMembership=NO JoinWorkgroup=WORKGROUP JoinDomain=LABS.LOCAL DomainAdmin=Install DomainAdminPassword=Pa$$w0rd DomainAdminDomain=LABS SkipUserData=yes UserDataLocation=NONE SkipProductKey=YES SkipPackageDisplay=YES SkipLocaleSelection=YES KeyboardLocale=040C: C UserLocale=fr-FR UILanguage=fr-FR SkipTimeZone=Yes TimeZone=105 TimeZoneName=Romance Standard Time SkipAppsOnUpgrade=NO SkipApplications=NO SkipAdminPassword=YES SkipCapture=YES DoCapture=NO SkipBitLocker=YES SkipSummary=NO ; Miscellaneous settings DoNotCreateExtraPartition=YES WSUSServer= _SMSTSORGNAME=ENI-Service Page 361 / 409

363 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Astuce : Vous pouvez ajouter des commentaires, ou inhiber une directive au sein des fichiers.ini, en préfixant la ligne par un point-virgule ";" 4. Configuration affinée du MDT (facultatif) Cette partie complémentaire est destinée à vous présenter quelques rouages avancés de l'atelier de déploiement MDT. En effet, jusqu à présent nous avons effleuré quelques possibilités de personnalisation, principalement axées autour du fichier de configuration global "CustomSettings.ini", et nous vous proposons d'explorer d'autres facettes spécifiques permettant d'exploiter pleinement le potentiel du MDT 4.1. Complémentarité WDS et MDT Pour cette opération, vous pouvez utiliser le disque virtuel créé précédemment et l'associer en tant que disque supplémentaire du serveur "WDS". Nous considérons donc que les 2 machines virtuelles "DCLabs" et "WDS-Labs" sont en cours d'exécution. Dans un premier temps, il est nécessaire de détacher le disque dur virtuel utilisé durant ce chapitre, de la plateforme physique en procédant comme suit. A partir du gestionnaire de disque (Diskmgmt.msc), repérez et sélectionnez le disque "MDT" auquel la lettre "M:" est théoriquement associée Utilisez le menu " Action Toutes le taches Détacher un disque dur virtuel " ou le menu contextuel. A l'occasion, copiez le chemin complet de ce fichier dans le presse papier, conservé l'option de suppression décochée, puis cliquez sur le bouton "OK" pour confirmer l'opération. Avant de poursuivre, nous considérons que les 2 machines virtuelles "DCLabs" et "WDS-Labs" sont en cours d'exécution. A partir de la console du "Gestionnaire Hyper-V" sélectionnez la machine virtuelle "WDS-Labs", et utilisez le menu "Action Paramètres " ou le menu contextuel. Dans la zone "Matériel" à gauche, sélectionnez l'option "Contrôleur SCSI", ainsi que la ligne "Disque dur" dans le cadre de droite puis cliquez sur le bouton "Ajouter". Collez le chemin complet du fichier dans le champ "Fichier de disque du virtuel (.vhd) :" ou cliquez sur le bouton "Parcourir" afin de le sélectionner, puis cliquez sur le bouton "Appliquer" puis sur le bouton "OK". Page 362 / 409

364 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Ouvrez la console de la machine virtuelle "WDS-Labs" et ouvrez une session avec un compte d'administrateur. Démarrez le gestionnaire de disque (Diskmgmt.msc), au sein duquel un nouveau disque dur "Disque 1" devrait apparaitre marqué "Hors connexion". Sélectionnez ce disque, puis utilisez le menu " Action Toutes le taches En ligne " ou le menu contextuel. Une lettre d'unité (eg "F:") lui est automatiquement associée. Afin d'exploiter le contenu de ce nouveau disque à partir du serveur, il est nécessaire d'installer la console MDT ainsi que le WAIK sur le serveur WDS dont nous ne détaillerons pas la procédure déjà traitée précédemment. Vous pouvez par exemple partager le dossier contenant vos téléchargements sur la plateforme physique, puis connecter cette ressource via un lecteur réseau de cette machine virtuelle. Une fois ces prérequis installés, exécutez la console "Deployment Workbench" présente dans le menu "Démarrer". Sélectionnez ensuite la rubrique "Deployment Shares" puis utilisez le menu "Action Open Deployment Share" ou le menu contextuel. Entrez le nom "F:\DeploymentShare" ou cliquez sur le bouton "Browse" pour sélectionner le dossier racine du partage de déploiement situé sur le lecteur "F:" dans notre exemple. Cliquez deux fois sur le bouton "Next" puis sur le bouton "Finish". Page 363 / 409

365 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Développez l'arborescence "MDT Deployment Share" afin de constater que les ressources précédemment installées sont bien disponibles. Le changement d'environnement du MDT au sein de cette maquette nécessite quelques aménagements de configuration. Sélectionnez la rubrique "MDT Deployment Share" afin d'utiliser le menu "Action Propriétés" ou le menu contextuel, puis sélectionnez l'onglet "Rules". Cliquez ensuite sur le bouton "Edit Bootstap.ini" et modifiez le fichier comme suit: [Settings] Priority=Default [Default] DeployRoot=\\WDS\DeploymentShare$ UserID=Install UserDomain=Labs UserPassword=Pa$$w0rd KeyboardlocalePE=040c: c Fermez le bloc-notes et enregistrez les modifications. Modifiez ensuite le contenu du fichier CustomSettings.ini directement dans cette fenêtre comme suit: [Default] OSInstall=Y SkipDomainMembership=NO JoinWorkgroup=WORKGROUP JoinDomain=LABS.LOCAL DomainAdmin=Install DomainAdminPassword=Pa$$w0rd DomainAdminDomain=LABS Validez ces modifications en cliquant sur bouton "Appliquer" puis fermez la fenêtre via le bouton "OK". A ce stade, le MDT est opérationnel sous réserve d'actualiser les clients LiteTouch et les mettre à disposition des postes concernés par un déploiement Intégration des clients LiteTouch dans WDS Comme nous l'avons vu précédemment, le processus de création des clients LiteTouch à partir de la console MDT, génère les fichiers.wim (et éventuellement.iso). Les fichiers.wim sont donc directement exploitables en tant qu'image de démarrage sur le serveur WDS. Au niveau de la console MDT, sélectionnez la rubrique "MDT Deployment Share" afin d'utiliser le menu "Action Update Deployment Share " ou le menu contextuel. Page 364 / 409

366 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Sélectionnez éventuellement l'option "Completely regenerate the boot images.", puis cliquez deux fois sur le bouton "Next". Après quelques minutes de patience, cliquez sur le bouton "Finish" pour fermer la fenêtre de résultats. Ouvrez le console du serveur WDS à partir du menu "Démarrer Outils d'administration Services de déploiement Windows" (ou "wdsmgmt.msc") Développez l'arborescence du serveur afin de sélectionner la rubrique "Images de démarrage" puis utilisez le menu "Action Ajouter une image de démarrage" ou le menu contextuel. Utilisez le bouton "Parcourir" afin de sélectionnez le fichier "F:\DeploymentShare\Boot\LiteTouchPE_x86.wim" puis cliquez sur le bouton "Suivant". Conservez ou modifier les noms proposés "Lite Touch Windows PE (x86)" puis cliquez deux fois sur le bouton "Suivant". Cliquez sur le bouton "Terminer" une fois le processus d'importation achevé. Réitérez éventuellement ces opérations pour l'image 64 bits "LiteTouchPE_x64.wim". Page 365 / 409

367 Intégration des mages WDS dans MDT Chapitre 6 : MDT (Microsoft Deployment Toolkit) Le référencement des images d'installation d'un serveur WDS au sein du MDT engendre quelques contraintes: 1 - L'édition du fichier de réponse n'est pas supportée. (Pour rappel, WDS utilise des fichiers WIM et RWM, et l'éditeur requiert un fichier de catalogue.clg). Pour pallier cette contrainte, et éditer le fichier de réponse, vous pouvez provisoirement modifier la référence du fichier en pointant sur une distribution équivalente dans le MDT. 2 - Le programme d'installation n'est pas disponible dans les images d'installation d'un serveur WDS mais dans les images de démarrage. Il est donc nécessaire d'installer au moins une distribution complète dans la rubrique "Operating System" du MDT. 3 - L'importation vers le MDT s'effectue sur la totalité des images d'installation présentes sur le serveur WDS. Au besoin vous devrez supprimer les images superflues dans la console MDT. Pour rappel, il n'y a pas de lien ou synchronisation automatique entre les pilotes additionnels du MDT et ceux éventuellement déclarés sur le serveur WDS Pour importer les images d'installation présentes sur le serveur WDS vers le MDT, ouvrez la console MDT puis sélectionnez l'élément "Operating System" Vous pouvez éventuellement créer un nouveau dossier "Action New folder" afin de distinguer les images hébergées par le MDT de celles présentes sur le serveur WDS. Utilisez le menu "Action Import Operating System" ou le menu contextuel puis sélectionnez l'option "Windows Deployment Service". Cliquez sur le bouton "Next" puis entrez le nom du serveur "WDS" Page 366 / 409

368 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Cliquez deux fois sur le bouton "Next" puis sur le bouton "Finish" pour fermer la fenêtre de résultats. Le nom des images d'installation ainsi que leur groupe de stockage respectif sont explicitement mentionnés dans la console MDT. Eg : "Windows 7 in WDS group Windows 7 DVD ) Maintenant, vous pouvez déclarer de nouvelles séquences de taches destinées à distribuer ces images ou modifier des séquences existantes en procédant comme suit: Sélectionnez la séquence de tache désirée puis utilisez le menu "Action Propriétés" ou le menu contextuel puis sélectionnez l'onglet "Task sequence". Développez la structure des taches afin de sélectionner la tâche "Install Install Operating System". Cliquez ensuite sur le bouton "Browse" puis sélectionnez l'une des images d'installation importée du serveur WDS et validez via le bouton "OK". Cliquez enfin sur le bouton "OK" pour fermer la fenêtre de propriétés. Page 367 / 409

369 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Il peut être nécessaire de rappeler que c'est le processus "LiteTouch" du MDT qui pilote entièrement l'installation. Autrement dit, afin d'éviter toute confusion, n'affectez aucun fichier de réponse aux images hébergées sur le serveur WDS si celle-ci doivent être déployées par le MDT. De même l'éventuelle jonction au domaine est déterminée par la séquence de tâches et les options du serveur WDS sont ignorées dans ce cas Multidiffusion WDS Pour accélérer les déploiements de masse, le MDT est en mesure d'exploiter la fonctionnalité de diffusion générale (multicast) du serveur WDS. Cette option doit être activée dans l'onglet "General" des propriétés du partage de déploiement "MDT Deployment Share". Il n'est pas nécessaire de déclarer les flux qui seront initialisés par le mécanisme d'installation du MDT. En effet, l'activation cette option de multidiffusion au niveau de MDT engendre la création automatique d'un flux nommé "MDT Share DeploymentShare$" sur le serveur WDS. Cette entrée est créée durant la phase de mise à jour du "DeploymentShare" (Indication "=== Enabling Multicast ===" dans le résultat de l'assistant de mise à jour.) Page 368 / 409

370 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Attention, la multidiffusion est intimement liée à la configuration et aux capacités intrinsèques du commutateur réseau. Par exemple, si vous tentez d'activer ce type de transmission (multicast) sur des commutateurs virtuels affectés à des connexions internes ou privées, le processus MDT ignorera la multidiffusion et basculera de fait sur une transmission de l'image en monodiffusion (unicast). Vous pourrez également remarquer que la jauge de progression de la multidiffusion n'indique pas correctement l'état d'avancement. En revanche, vous pouvez suivre cette progression au sein de la console du serveur WDS. Page 369 / 409

371 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Pensez à mettre à jour le client LiteTouch suite à l'activation de l'option "Multicast" L'activité des flux de multidiffusion globale peut être plus finement surveillée via les compteurs de l'analyseur de performances (perfmon) en ajoutant les compteurs sur "Serveur de multidiffusion WDS" 4.2. Les rubriques de configuration avancées Pour votre gouverne, et étendre vos perspectives d'implémentation du MDT, nous vous proposons de revenir ou développer les éléments de configuration avancés Profils de sélection (Selection Profiles) Comme le nom l'indique, ces profils de sélection permettent de définir précisément le périmètre des éléments à prendre en compte lors des opérations de configuration du MDT. Nous avons déjà abordé ce sujet pour une intégration affinée des pilotes au sein des noyaux WinPE. Les profils de sélection sont également adaptés à une gestion optimisée des packages, des points de déploiement liés ainsi qu'à la génération de médias LiteTouch. Page 370 / 409

372 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Directement dépendant des structures de dossiers, un profil de sélection correspond simplement à un choix défini de certains dossiers. Les profils de sélection par défaut dans MDT 2012 sont : Everything : Intégralité du contenu à partir de la racine ("DS00X:\") All drivers : Tous les sous-dossiers situés sous "Out-of-Box Drivers" All drivers and packages : Tous les sous-dossiers situés sous "Out-of-Box Drivers" et sous "Packages" All packages : Tous les sous-dossiers situés sous "Packages" Nothing : N'intègre aucun dossier Sample : Pour l'exemple, intègre les sous-dossiers situés sous "Packages" et sous "Task sequences" Hormis le dernier, vous pourrez constater que les profils prédéfinis peuvent être consultés mais ne peuvent pas être modifiés, ni supprimés. Cette information est stipulée dans la colonne "Readonly" (lecture seule) Vous pouvez créer, modifier, ou consulter autant de profils que nécessaire via le menu "Propriétés" d'un profil. Page 371 / 409

373 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Utilisez simplement les cases à cocher pour inclure ou exclure des dossiers du profil sélectionné. Le nom et les commentaires sont également modifiables. Cliquez sur le bouton "Appliquer" et/ou le bouton "OK" pour enregistrer les modifications. En présentant les profils, vous comprendrez l'importance et l'intérêt des créer des sous-dossiers afin de faciliter la granularité des opérations Partages de déploiement liés (Linked Deployment Shares) Cette nouveauté de MDT 2010 permet de lier plusieurs points de déploiement afin d'implémenter un mécanisme de réplication et de synchronisation simplifiés. Plusieurs cas de figure peuvent être envisagés: Administration à distance : La console MDT est installée sur un poste alors que les ressources sont sur un serveur de fichier distant sur lequel la console ne peut être installée. Relation entre des environnements isolés de production et les réseaux de tests (eg: "\\MDT01\Prod" "\\MDT02\Labs" ) Gestion centralisée des points de succursales. déploiement hébergés dans des Pour créer un point de déploiement lié, sélectionnez la rubrique "Linked Deployment Shares" puis utilisez le menu "Action New Linked Deployment Share" ou le menu contextuel. Indiquez ensuite le chemin de partage dans le champ "Linked deployment share UNC path:" et entrez éventuellement un commentaire de description. Vous pouvez également choisir un profil de sélection existant afin de limiter la réplication aux éléments appropriés au site distant. Page 372 / 409

374 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Notez que vous avez la possibilité d'opter pour une complémentarité ou un écrasement de la ressource distante en choisissant respectivement l''option Merge " ou "Replace " Cliquez deux fois sur le bouton "Next" puis sur le bouton "Finish" Pour déclencher le mécanisme de réplication, sélectionnez la référence de ce lien puis utilisez le menu "Action Replicate content" ou le menu contextuel. Attention, bien que le mécanisme de réplication MDT soit optimisé pour ne transférer que les fichiers modifiés, celui-ci n'est pas implicitement adapté aux liaisons lentes. Dans ce cas vous devrez recourir à des solutions plus adaptées à ces situations telles que le système de fichier distribué (DFS) ou l'outil "Robocopy" qui sont en mesure de synchroniser des contenus de fichiers par blocs différentiels. Notez que le processus de réplication met à jour et régénère les images des clients LTI (dossier "Boot") afin d'adapter les références, chemin UNC et nom du partage, à la structure distante. Cliquez sur le bouton "Finish" une fois la réplication achevée Média (Media) Page 373 / 409

375 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Cette option permet de générer un média autonome dans le cas où les réseaux ne seraient pas adaptés aux flux de déploiement. En fait, l'idée consiste à intégrer tout ou partie de la structure MDT (selon les profils de sélection choisis) sur un média amovible. Cette opération génère donc une image.iso intégrant une amorce WinPE (client LiteTouch). Bien qu'il soit possible de graver cette image sur un support DVD, l'utilisation d'un disque dur USB sera plus appropriée pour des raisons de capacité et simplicité de mise à jour La base de données (Database) L'association d'une base de données au MDT peut s'avérer très utile. Sachant qu'il est possible d'indiquer des déclinaisons d'installation par poste dans le fichier "CustomSettings.ini", et/ou définir des séquences de taches spécifiques, le recours à une base de données telle que la version gratuite de SQL Server, ouvre la voie d'un déploiement maitrisé à grande échelle. A titre d'exemple, nous vous proposons de réaliser l'implémentation de base de cette possibilité. En premier lieu, vous devez télécharger le produit "Microsoft SQL Server 2008 R2 Express avec les outils d'administration" à l'adresse suivante : 207B DF-EEB5F35A80EE Vous aurez le choix entre les versions 32 ou 64 bits : SQLEXPRWT_x64_FRA.exe : 279,5 Mo SQLEXPRWT_x86_FRA.exe : 264,3 Mo Dans notre exemple nous opterons pour la machine virtuelle WDS-Labs sur laquelle est installé le MDT. Pour des raisons de performances, nous avons alloué des ressources processeur et mémoire vive supplémentaires (2xCPU Mo). Avant de procéder à l'installation de SQL Server, assurez-vous que la fonctionnalité ".NET Framework 3.5.1" est bien activée. Vous pouvez réaliser cette opération via l'assistant d'ajout de fonctionnalités du gestionnaire de serveur. Installation et configuration de la base SQL Après avoir ouvert une session en tant qu'administrateur du domaine sur la machine virtuelle "WDS-Labs", exécutez le programme d'installation de SQL approprié (eg: SQLEXPRWT_x64_FRA.exe). Ce programme génère un dossier temporaire sur le disque disposant du plus grand espace libre disponible afin d'y 'extraire les fichiers puis ouvre l'assistant d'installation. Page 374 / 409

376 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Cliquez sur le lien "Nouvelle installation." Puis patientez durant le traitement des règles d'installation (évaluation des prérequis). Cochez la case "J'accepte les termes du contrat de licence.", puis cliquez sur le bouton "Suivant" et patientez encore quelques instants jusqu'à l'a apparition de l'écran de sélection des fonctionnalités. Page 375 / 409

377 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Décochez éventuellement les options "Réplication SQL Server" et "Kit de développement " puis cliquez sur le bouton "Suivant" Conservez le nom de l'instance nommée "SQLExpress" puis cliquez sur le bouton "Suivant" Page 376 / 409

378 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Modifiez le type de démarrage sur "Automatique" au niveau de la ligne "SQL Service Browser" puis cliquez sur le bouton "Suivant" Au niveau de l'écran de configuration du moteur de base de données, vous pouvez conserver les valeurs par défaut "Mode d'authentification Windows" mais il est conseillé de ne pas conserver un compte unique. (Compte d'installation par défaut). En l'absence d'un groupe spécialisé d'administration des serveurs SQL, vous pouvez utiliser le groupe d'administrateurs de domaine par exemple. Cliquez sur le bouton "Ajouter ", saisissez le nom "Admins du domaine" et cliquez sur le bouton "Vérifier les noms" puis sur le bouton "OK" pour valider. Page 377 / 409

379 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Cliquez deux fois sur le bouton "Suivant" afin que le processus d'installation SQL démarre. Cliquez sur le bouton "Fermer" une fois l'installation achevée puis fermez le centre d'administration SQL Server. Ouvrez l'outil "Gestionnaire de configuration SQL Server" à partir du menu "Démarrer Microsoft SQL Server 2008 R2 Outils de configuration" puis sélectionnez la rubrique "Protocole pour SQLExpress" sous "Configuration du réseau pour SQL Server" Sélectionnez le protocole "Canaux nommés" puis utilisez le menu "Action Activer" ou le menu contextuel. Fermez la fenêtre d'avertissement en cliquant sur le bouton "OK". Sélectionnez la rubrique "Services SQL Server", puis la ligne "SQL Server (SQLExpress)" et utilisez le menu "Action Redémarrer" ou le menu contextuel. Fermez la fenêtre du gestionnaire de configuration SQL Server. Les clients doivent pouvoir entrer en communication avec la base de données et il est donc nécessaire d'ajouter un règle de port entrant UDP 1434 ou autoriser la communication avec le service en procédant comme suit : A partir du panneau de configuration ou du champ "Recherche" du menu "Démarrer" ou ouvrez l'interface simplifiée de gestion du pare-feu "Autoriser un programme via le pare-feu Windows" puis cliquez sur le bouton "Autoriser un autre programme" Page 378 / 409

380 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Utilisez le bouton "Parcourir" afin de localiser le fichier "sqlbrowser.exe" situé dans le dossier "C:\Program Files (x86)\microsoft SQL Server\90\Shared" puis cliquez sur le bouton "Ouvrir" Vérifier que la règle s'applique bien aux profils concernés en cliquant sur le bouton "Types d'emplacements réseau " puis cliquez sur le bouton "OK". Cliquez de nouveau sur le bouton "OK" pour fermer la fenêtre des programmes autorisés. Démarrez la console MDT via le raccourci "Deployment Workbench" puis développez l'arborescence "Deployment Shares" afin de sélectionner la rubrique " Advanced configuration Database". Utilisez le menu "Action New database" ou le menu contextuel Page 379 / 409

381 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Entrez respectivement "WDS" puis "SQLExpress" dans les champs "SQL Server name" et "Instance". Laissez le champ "Port" vide et conservez "Named pipes" dans le champ "Network Library" puis cliquez sur le bouton "Next" Sélectionnez l'option "Create a new database" et entrez "MDT" dans le champ "Database" puis cliquez sur le bouton "Next" Entrez le nom "DeploymentShare$" dans le champ "SQL Share" puis cliquez deux fois sur le bouton "Next" et sur le bouton "Finish". + Configuration des permissions pour la base de données Dans cet exemple, nous allons arbitrairement octroyer des droits de lecture sur la base de données du MDT au groupe Techniciens Postes. Concrètement, ce privilège doit être affecté aux comptes utilisés durant les phases d'installation du MDT (Le compte "Labs\Install" dans notre exemple). Ouvrez l'outil "SQL Server Management Studio" à partir du menu "Démarrer Microsoft SQL Server 2008 R2" et entrez "WDS/SQLExpress" dans le champ "Nom du serveur" puis cliquez sur le bouton "Se conn." Page 380 / 409

382 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Développez l'arborescence afin de sélectionner la rubrique "Sécurité Connexion" puis utilisez le menu contextuel "Nouvelle connexion". Dans cette fenêtre "Nouvelle connexion". la sélection de page "Général" en haut à gauche est active par défaut, cliquez sur le "Rechercher" dans le cadre de droite. Dans la boite de dialogue "Sélectionnez un utilisateur ou un groupe", cliquez sur le bouton "Type d'objets " et cochez la case "des groupes" puis sur le bouton "OK". Cliquez sur le bouton "Emplacements " et sélectionnez "Tout l'annuaire labs.local" puis cliquez sur le bouton "OK". Entrez "Tech" dans le champ "nom d'objet" puis cliquez sur le bouton "Vérifier les noms" puis cliquez enfin sur le bouton "OK" pour fermer cette boite de dialogue. Dans cette même page, sélectionnez "MDT" dans la liste déroulante "Base de donnée par défaut" Au niveau du cadre "Sélectionner une page", cliquez sur "Mappage de l'utilisateur", puis cochez la case de la colonne "Mappage" correspondante à la base de données "MDT". Cochez ensuite la case "db_datareader" dans le cadre "Appartenance au rôle." puis cliquez sur le bouton "OK" Page 381 / 409

383 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Après avoir vérifié que la nouvelle entrée "LABS\Techniciens Postes" apparait bien sous l'aborescence "Sécurité Connexions", vous pouvez fermer la fenêtre de "SQL Server Management Studio" A ce stade, la phase de configuration de la base donnée est pratiquement achevée et il ne reste plus qu'à configurer les propriétés du point de déploiement. Cette phase particulièrement riche en options, consiste à définir les critères de sélection qui seront utilisés par les scénarios d'installation du MDT. Ces réglages s'intègrent dans le fichier de configuration global "CustomSettings.ini" que nous avons largement développé durant ce chapitre. A toutes fins utiles, vous pouvez sauvegarder ce fichier avant de procéder à la mise en œuvre des opérations suivantes. Démarrez la console MDT via le raccourci "Deployment Workbench" puis développez l'arborescence "Deployment Shares" afin de sélectionner la rubrique " Advanced configuration Database". Page 382 / 409

384 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Sous la rubrique "Database", vous pouvez d'ores et déjà constater la présence de 4 sous-ensembles : "Computers", "Roles", "Locations" et "Make and Model". Ces vues permettent d'accéder, en création, modification ou consultation aux différents éléments de la base de données. Durant sa phase d'initialisation, le client LiteTouch est en mesure d'interroger ces éléments qui peuvent définir automatiquement les paramètres des séquences de taches en fonction de l'identité détectée. Pour cela, il est nécessaire de configurer des règles définissant les types de requêtes souhaités Pour configurer ces règles de base de données, vous pouvez modifier le fichier de configuration global ou plus simplement solliciter l'assistant via le menu "Action Configure Database Rules" ou le menu contextuel. En raison du nombre important de critères, et afin de ne pas charger inutilement le fichier de configuration de cette démonstration, nous retiendrons uniquement quelques éléments. Pour information, nous indiquerons les mots clés correspondants aux options respectivement proposées pour chaque écran de sélection. L'assistant vous propose successivement 4 écrans de configuration : Options d'ordinateur : CSettings, CRoles, CApps, CPackages, CAdmins Page 383 / 409

385 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Pour information, l'identification d'ordinateur est réalisée sur l'une des valeurs suivantes : "Asset tag", "UUID", "SerialNumber", "MACAddress" Décochez les 3 dernières options puis cliquez sur le bouton "Next" Options d'emplacement : Location, LSettings, LRoles, LApps, LPackages, LAdmins Pour information, l'identification d'emplacement est basée sur la valeur de la passerelle par défaut du plan d'adressage TCP/IP au moment de l'installation. Cliquez sur le bouton "Deselect All" puis cliquez sur le bouton "Next" Options de marque et de modèle : MMSettings, MMRoles, MMApps, MMPackages, MMAdmins Page 384 / 409

386 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Pour information, l'identification de la marque et du modèle est réalisée via une requête WMI respectivement sur les propriétés "Vendor" et "Name" de la classe "Win32_ComputerSystem". Cliquez sur le bouton "Deselect All" puis cliquez sur le bouton "Next" Options de rôle : RSettings, RApps, RPackages, RAdmins Décochez toutes les options sauf la seconde puis cliquez deux fois sur le bouton "Next" Après vous êtes assurée du résultat, cliquez sur le bouton "Finish" Suite à ces modifications, le fichier de configuration "CustomSettings.ini", visible sous l'onglet "Rules" des propriétés du partage de déploiement, ressemble approximativement à ceci : [Settings] Priority=CSettings, CRoles, RApps, Default Properties=MyCustomProperty [Default] Page 385 / 409

387 Chapitre 6 : MDT (Microsoft Deployment Toolkit) OSInstall=Y [CSettings] SQLServer=WDS Instance=SQLExpress Database=MDT Netlib=DBNMPNTW SQLShare=DeploymentSahre$ Table=ComputerSettings Parameters=UUID, AssetTag, SerialNumber, MacAddress ParameterCondition=OR [CRoles] SQLServer=WDS Instance=SQLExpress Database=MDT Netlib=DBNMPNTW SQLShare=DeploymentSahre$ Table=ComputerRoles Parameters=UUID, AssetTag, SerialNumber, MacAddress ParameterCondition=OR [RApps] SQLServer=WDS Instance=SQLExpress Database=MDT Netlib=DBNMPNTW SQLShare=DeploymentSahre$ Table=RoleApplications Parameters=Role Order=Sequence A ce stade, la configuration est terminée, et l'étape suivante consiste à vérifier que tout ceci fonctionne en créant une entrée de test dans la base de données. Avant de procéder, vous devez disposer d'un ordinateur de test dont vous connaissez l'adresse physique de carte réseau. Dans le cadre de cette plateforme, cette information peut être obtenue au niveau des "Paramètres" de l'ordinateur virtuel en sélectionnant la carte réseau du cadre "Materiel" Sélectionnez la rubrique "Database Computer" puis utilisez le menu "Action... New" ou le menu contextuel. Sous l'onglet "Identity", entrez l'adresse physique relevée précédemment "00:15:5D:64:32:13" dans le champ "MAC Address" (Chaque octet étant Page 386 / 409

388 Chapitre 6 : MDT (Microsoft Deployment Toolkit) séparé par ":"). Bien que facultative, entrez également une description tel que "DB Test 001" afin de faciliter le repérage des entrées. Sélectionnez l'onglet "Details" puis entrez un nom tel que "Test001" dans le champ "OSDComputerName" de la table. Ce nom d'ordinateur sera automatiquement attribué à la machine auquel l'adresse de carte de réseau correspond. Cliquez sur le bouton "OK" pour valider cette entrée. Afin de poursuivre cette démonstration, nous allons ajouter une application en fonction d'un rôle (Un rôle correspond typiquement à un profil d'utilisation défini pour un ordinateur donné tel que "Standard", "Comptable", "Bureautique", etc.). Pour cela, sélectionnez la rubrique "Database Role" puis utilisez le menu "Action New" ou le menu contextuel. Sous l'onglet "Identity", entrez "Standard" dans le champ "Role name :" puis sélectionnez l'onglet "Applications". Cliquez sur le bouton "Add Lite Touch Application" afin de sélectionner une application qui vous souhaitez affecter à ce rôle, puis cliquez sur le bouton "OK". Vous devez réitérer cette action pour chaque application. Cliquez sur le bouton "OK" Une fois le rôle défini, vous pouvez l'affecter à l'ordinateur précédemment créé en sélectionnant l'entrée correspondante au niveau de la rubrique "Database Computer" sur lequel vous utiliserez le menu "Action... Propriétés" ou le menu contextuel. Page 387 / 409

389 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Dans la fenêtre de propriétés de cet ordinateur, sélectionnez l'onglet "Roles" puis cliquez sur le bouton "Add Standard". Cliquez sur le bouton "OK" pour valider la modification. Effectuez un test en démarrant la machine virtuelle définie précédemment à partir du client LiteTouch. Durant les phases d'initialisation préliminaires, vous devriez voir apparaitre l'écran de traitement des paramètres personnalisés "Processing Custom Setting" En poursuivant la procédure, sous réserve que vous n'ayez pas masqué les affichages concernés, vous pourrez constater que le nom d'ordinateur est automatiquement renseigné par "Test001" et que les applications du rôle affecté à cet ordinateur sont également préalablement cochées Gérer la base de données MDT via Powershell (Optionnel) En fonction de vos outils d'inventaire logiciels et matériel tel que SCCM, MAPT ou ACT, ou d'outils tiers tels que GLPI, OCS Inventory ou encore des tableaux Excel, le peuplement de la base de données du MDT peut s'avérer rapidement délicate ou fastidieuse. Page 388 / 409

390 Chapitre 6 : MDT (Microsoft Deployment Toolkit) En alliant les capacités intrinsèques de Powershell à une extension spécifique (appelée module) vous pouvez bénéficier d'un véritable arsenal de gestion de cette base de donnée, et envisager rapidement des opérations d'extraction, de modification ou d'import en masse au travers de vos propres scripts. Afin d'évaluer ce potentiel, nous vous proposons de réaliser une démonstration sur la machine virtuelle "WDS-Labs". En premier lieu, vous devez télécharger le module spécifique à l'adresse suivante : key/communityserver-componentspostattachments/ /mdtdb.zip Une fois téléchargée, décompressez l'archive vers le dossier "%windir%\system32\windowspowershell\v1.0\modules\mdtdb". Ces fichiers provenant d'un téléchargement Internet, vous vérifier les propriétés de ceux-ci via l'explorateur Windows, puis cliquer sur le bouton "Débloquer" le cas échéant. Ouvrez une console Powershell, en tant qu'administrateur. Avant de poursuivre, vous devez modifier la stratégie d'exécution ("restricted") par défaut, qui interdit l'exécution des scripts qui ne sont pas signés numériquement. Entrez la commande suivante pour autoriser l'exécution locale du module non signé. PS C:\> Set-ExecutionPolicy RemoteSigned Entrez la commande suivante afin d'obtenir le liste des modules disponibles. PS C:\> Get-Module -ListAvailable Le module "MDTDB" devrait apparaitre dans la liste. Cependant, Entrez la commande suivante afin de charger les fonctions dans la session courante. PS C:\> Import-Module MDTDB Pour afficher la liste des fonctions apportées par ce module, tapez la commande suivante. PS C:\> Get-Command -Module MDTDB Vous pouvez constater que la liste est longue (72 commandes) et nous ne porterons notre attention que sur quelques fonctions : La première action primordiale, consiste à établir une connexion avec la base de données du serveur MDT en procédant comme suit: PS C:\> Connect-MDTDatabase sqlserver WDS instance SQLEXPRESS ` database MDT Si la base contient déjà des ordinateurs référencés, vous pouvez en obtenir la liste via la fonction suivante : PS C:\> Get-MDTComputer Comme vous l'avez constaté préalablement, un ordinateur MDT est référencé au sein de la base de données par un ou plusieurs identificateurs distinctifs. La commande précédente permet d'affiner la recherche en stipulant des paramètres suivants : Page 389 / 409

391 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Paramètre -id -assettag -macaddress - serialnumber -uuid Description Identifiant unique de l'ordinateur dans la base de donnée Numéro de modèle généralement lié à un fabriquant Adresse physique de la carte réseau Numéro de série de l'ordinateur Identifiant unique de la carte mère de l'ordinateur Comme vous pouvez le constater, chaque enregistrement possède un nombre considérable de variables (~225) retournées sous forme de liste, et de fait difficilement exploitable à l'affichage. Pour obtenir un tableau simplifié des ordinateurs référencés dans la base de données, utilisez la commande suivante : PS C:\> Get-MDTComputer Format-Table Id, AssetTag, MacAddress, SerialNumber, UUID, OSDComputerName -Autosize Pour supprimer une entrée dans la base de données, vous devez connaitre son identifiant et utilisez la commande suivante : PS C:\> Remove-MDTComputer -id n L'opération de création ou de modification d'une entrée est sensiblement plus délicate. En effet, ces paramètres et leurs valeurs respectives doivent être renseignées au sein d'une table associative (hashtable) symbolisée par { param1 = valeur1 ; param2 = valeur2 } ". Par exemple, pour créer un nouvel enregistrement, tapez la commande suivante : PS C:\> New-MDTComputer -macaddress '00:00:00:11:22:33' OSInstall='YES' ; OSDComputerName='Test002' } Pour Modifier un enregistrement existant, tapez la commande suivante : PS C:\> Set-MDTComputer -id n OSDComputerName = 'Test003' } Avant de manipuler efficacement cette base de données, vous devez donc identifier le nom des variables que vous souhaitez exploiter. Vous pouvez obtenir une liste exhaustive des noms de ces variables (ou propriétés) en interrogeant les propriétés d'une entrée existante (n), comme suit : PS C:\> Get-MDTComputer -id n Get-Member -MemberType Property Select-Object Name Un des nombreux atouts de PowerShell est sa capacité à convertir facilement des résultats vers des formats CSV, HTML, ou XML. Pour générer un fichier directement exploitable par votre tableur favori, il suffit de taper la commande suivante: Page 390 / 409

392 Chapitre 6 : MDT (Microsoft Deployment Toolkit) PS C:\> Get-MDTComputer Export-Csv -Path C:\Temp\MyMDT.csv ` -Delimiter ';' Réciproquement, si vous souhaitez importer un tableau CSV dans cette base de données, vous devez utiliser la commande "Import-CSV". Pour décomposer la procédure, tapez les commandes suivantes : PS C:\> $Machines = Import-CSV -Path C:\Temp\MyMDT.csv ` -Delimiter ';' A ce stade la variable "$Machines" contient l'intégralité du fichier CSV et vous pouvez afficher le nombre d'enregistrements comme suit PS C:\> $Machines.count Chaque ligne de ce tableau correspond à un élément où chaque champ est une propriété de celui-ci. Autrement dit, en indiquant le numéro d'index (de 0 à "count-1") d'un élément suivi du nom de la propriété vous en obtenez la valeur, comme par exemple: PS C:\> $Machines[0].id $Machines[0].OSDComputerName A présent, vous pouvez envisager de réaliser une importation de masse. Pour des raisons de simplicité, nous utiliserons le fichier CSV suivant réduit à quelques propriétés: Fichier d'exemple "MDTImport.CSV" Name;Mac;OU;Role Ordi-001;00:15:5D:64:33:01;Fixes;Standard Ordi-002;00:15:5D:64:33:02;Fixes; Standard Ordi-003;00:15:5D:64:33:03;Fixes;Standard Ordi-004;00:15:5D:64:33:04;Portables;Standard Ordi-005;00:15:5D:64:33:05;Portables;Standard Ordi-006;00:15:5D:64:33:06;Fixes; Ordi-007;00:15:5D:64:33:07;Fixes; Ordi-006;00:15:5D:64:33:08;Fixes; Standard Ordi-006;00:15:5D:64:33:09;Fixes; Ordi-006;00:15:5D:64:33:0A;Fixes; Exemple de script "ImportDB.ps1" # Import du module spécialisé MDTDB Import-Module MDTDB # Connexion à l'instance de la base de données MDT Connect-MDTDatabase -sqlserver WDS -instance SQLEXPRESS -database MDT # Chargement du fichier CSV $machines = Import-Csv C:\Temp\MDTImport.CSV -delimiter ';' #Boucle de traitement des lignes du fichier CSV For ($i=1; $i -le $machines.count; $i++) { # Création d'une nouvelle entrée dans la base New-MDTComputer -macaddress $machines[$i-1].mac ` -description "$($machines[$i-1].name) Import DB" ` OSInstall='YES'; ` OSDComputerName=$machines[$i-1].name; ` ComputerName=$machines[$i-1].name; ` MachineObjectOU="ou=$($machines[$i- 1].OU),ou=Postes,dc=labs,dc=local";` Page 391 / 409

393 Chapitre 6 : MDT (Microsoft Deployment Toolkit) } # Récupération de la clé "Id" de la nouvelle entrée $Current = get-mdtcomputer -macaddress $machines[$i-1].mac write-host "Création de $($machines[$i-1].name) avec Id: $($Current.id)" } # Ajout du role (applications) s'il existe If ($machines[$i-1].role -ne "") { Set-MDTComputerRole $Current.id $machines[$i-1].role } Dans cet exemple, nous avons opté pour l'affectation d'un rôle simple afin d'éviter le référencement complexe des "GUID" d'application sur les objets ordinateur. Autrement dit, en l'absence de rôles définis, vous auriez pu affecter des applications à un ordinateur via ce genre de commande : PS C:\> Get-MDTComputer -macaddress '00:15:5D:64:33:0A' Set- MDTComputerApplication bb3c}','{9038dff5-4e7e fb-4b94e0ad1cc2}') 4.3. Surveillance (Monitoring) Cette fonctionnalité apparue avant le MDT2012 beta 2 permet de contrôler l'état d'avancement d'un client directement dans la console MDT. Pour activer cette fonctionnalité, il suffit de vous rendre dans les propriétés du partage de déploiement puis de sélectionner l'onglet "Monitoring" Cochez simplement la case "Enable monitoring for this deployment share" et conservez les autres valeurs par défaut puis cliquez sur le bouton "OK" pour valider. Vous pourrez remarquer que qu'une ligne supplémentaire "EventService= est automatiquement insérée dans le fichier de configuration "customsettings.ini". De même, une règle entrante "MDT Monitor" est automatiquement crée dans le pare-feu Windows. Page 392 / 409

394 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Vous devez fermer puis rouvrir la console MDT. Les installations en cours apparaîtront ensuite dans sous cette rubrique "Monitoring" Si vous ouvrez les propriétés de l'entrée du poste en cours d'installation (ou double-clic), une fenêtre de détail est alors affichée. Page 393 / 409

395 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Le bouton "Remote Desktop" permet d'ouvrir un bureau à distance à condition que le système d'exploitation est installé et autorise cette possibilité. Un bouton supplémentaire "VM Remote Control" peut apparaitre si la cible est une machine virtuelle exécutée sur Hyper-V et que les composants d intégration sont détectés. Les détenteurs d'abonnement Microsoft de type TechNet, MSDN ou ayant souscrit à l option MDOP (Microsoft Desktop Optimisation Pack) version 2011 R2, peuvent intégrer l'outil de diagnostic DaRT (Diagnosis and Recovery Toolset) à cette interface. Dans ce cas, il sera possible de contrôler l'ordinateur à distance, y compris durant les phases exécutées sous WinPE. Page 394 / 409

396 Chapitre 6 : MDT (Microsoft Deployment Toolkit) 4.4. Les stratégies de groupe locales (LGPO) REDACTION EN COURS Avant de conclure ce chapitre, nous attirons votre attention sur une nouveauté étonante du MDT2012 : "Les GPO Locales" Plus d'informations sur : new-features-gpo-packs.aspx Cette fonctionnalité permet d'appliquer des stratégies de groupes sur des postes qui ne joindraient pas implicitement un domaine. Page 395 / 409

397 4.5. Dépannage et diagnostics MDT Chapitre 6 : MDT (Microsoft Deployment Toolkit) En cas de problème ou tout simplement à des fins de vérification, Prendre le contrôle : En premier lieu, sachez que durant l'exécution d'une séquence de taches sur un client LiteTouch, vous avez la possibilité d'ouvrir une invite de commande en appuyant sur la touche [F8] (Equivalent à la combinaison [maj]+[f10] avec WinPE) Les fichiers journaux: De plus les scripts du MDT alimentent des fichiers journaux (.log) tout au long de leur exécution. Ces fichiers sont principalement concentrés dans le dossier "%systemdrive%\minint\smsosd\osdlogs". Note : A des fins de diagnostics, ces fichiers journaux peuvent être conservés sur un dossier partagé stipulé par la directive "SLShare=\\WDS\Log$" du fichier de configuration "CustomSettings.ini" Le fichier journal "BDD.log" recense les informations globales et constitue le principal élément d'investigation en fournissant une vue d'ensemble des processus. Chaque script dispose de son propre fichier journal portant le même nom avec l'extension.log. Par exemple, le script d'analyse d'environnement "ZTIGather.wsf" génère un fichier journal nommé "ZTIGather.log". Ces fichiers spécialisés requièrent toutefois une certaine expérience pour être analysés Le fichier journal "SMSTS.log" consigne l'état d'avancement d'une séquence de tache dont il permet d'identifier toutes les étapes. Son emplacement est différent selon le type ou l'état d'avancement des séquences, mais est généralement situé dans un dossier temporaire tel "%systemdrive%\_smstasksequence" ou "%temp%" Palliatif des dossiers résiduels : En cas d'échec durant une phase précédente d'installation LiteTouch, les dossiers résiduels "MININT" et "_SMSTaskSequence" peuvent être présents sur le disque système et empêcher l'initialisation du client. Le MDT 2012 intègre dorénavant la détection des déploiements interrompus et propose automatiquement le choix d'annuler ou de démarrer une nouvelle séquence. Page 396 / 409

398 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Conclusion Bien que n'aillant pas décrit la totalité des réglages disponibles dans le MDT, cette présentation vous aura démontré la richesse de cet outil. Vous pouvez trouver un document de Microsoft très complet en anglais (430 pages) sur l'utilisation et la configuration du MDT N'étant à ce jour indisponible sur les sites officiels, nous avons ajouté ce guide UsingtheMicrosoftDeploymentToolkit.docx aux fichiers complémentaires de cet ouvrage. Autre documentation (en anglais) : Deploying Windows 7 with MDT 2010 Basic scenarios (90 pages) sequence&source=web&cd=3&ved=0cdoqfjac&url=http%3a%2f%2fdownl oad.microsoft.com%2fdocuments%2ffrance%2ftechnet%2f2009%2fwin 7%2FMDT_2010.pdf&ei=qEAAT_fXM5Sm8gPfwpXeCA&usg=AFQjCNFvvpJh VbLAnuk0tN2KofsosC3EGw Page 397 / 409

399 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Annexes 1. Téléchargements Version d'évaluation de Windows Server 2008R2 avec SP1 : Cliquez sur le bouton "Commencez maintenant" à gauche afin de télécharger l'édition 64 bits. Sur la page "Technet", entrez votre identifiant "Windows Live ID" et votre mot de passe, ou utilisez le bouton "Inscription" pour accéder au formulaire de création d'un compte. Choisissez ensuite la langue du produit à télécharger puis cliquez sur le bouton "Continuer" Lors du premier téléchargement, vous devez accepter l'installation du contrôle ActiveX ou applet Java "Download Manager" dans votre navigateur web. Ensuite, le téléchargement pourra être enregistré sur le support de votre choix. Page 398 / 409

400 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Versions d'évaluation de Windows 7 Entreprise X86 : X64 : Utilitaire de transfert ISO vers USB Kit d installation automatisée Windows (WAIK) pour Windows 7 / 2008R2 Outils gratuits pour les tests de compatibilité processeur avec l'assistance matérielle à la virtualisation. Générique : Spécial Intel : &lang=eng&iid=dc_rss Spécial AMD : V_Hyper-V_Compatibility_Check_Utility_V2.zip Le complément RSAT pour Windows 7 peut être téléchargé gratuitement à partir de l'adresse suivante : Page 399 / 409

401 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Pack de langues pour Windows7/2008R2 sp1 (64 bits): 61bd-4a59-aa9d-7a91448f82a8 Outil gratuit de lecture de fichier.iso et.img: Virtual CloneDrive : Solutions de virtualisation gratuites DISK2VHD : Outil de conversion de disque physique en disque virtuel. VirtualBox Win.exe VMWare Player : (Enregistrement requis) Outils gratuits pour la gestion "graphique" des fichiers "WIM" : 7-Zip (32 bits) : 7-Zip (64 bits) : GimageX (32 et 64 bits): Outils gratuits autonomes "graphiques" utilisables sous WinPE : Explorer++ (32 bits) : Explorer++ (64 bits) : PENetwork (32 bits) : Partition Wizard Home Edition 5.0 Outils divers : Keyfinder : Affichage des clés de licence ntpwed03 : Réinitialisation des mots de passe et activation des comptes locaux Process Explorer : Analyse détaillée des processus sous Windows Autoruns : Analyse détaillée des "lanceurs" sous Windows Gestion des pilotes Page 400 / 409

402 Chapitre 6 : MDT (Microsoft Deployment Toolkit) DriverBackup : Extraction des pilotes au format.inf 1/DrvBK_21_Rev5.rar/download Pilote AMD PCNet x86 Outil de reconfiguration des sources de distribution Windows 7 Rt7lite : Version 32 bits : stable/rt_7_lite_win7_vista_x86_sp1.exe Version 64 bits : stable/rt_7_lite_win7_vista_x64_sp1.exe 2. Mieux maitriser votre plateforme de test Hyper-V 2.1. Associer dynamiquement un disque USB dans une machine virtuelle Lorsque vous insérez un disque amovible de type USB sur une machine Windows, celui-ci est automatiquement "monté" et une lettre de lecteur lui est affectée. Si vous souhaitez que ce disque amovible soit disponible dans une machine virtuelle pour pouvez utiliser l'attachement direct de disque (Passthrough) en procédant comme suit : - En premier lieu, vous devez libérer amovible via la console du gestionnaire de disques. Pour cela, sélectionnez le disque puis utilisez le menu "Action Toutes les tâches Hors connexion" ou le menu contextuel. L'icône du disque devrait alors afficher un flèche rouge et mentionner l'état "Hors conn " Pour affecter dynamiquement un disque à une machine virtuelle déjà en cours d'exécution, utilisez le menu "Paramètres" disponible dans la menu "Fichier" de la console de la machine virtuelle, ou en sélectionnant cette même machine dans le gestionnaire Hyper-V. Sélectionnez la ligne "Contrôleur SCSI" dans la zone "Matériel", puis la ligne "Disque dur" dans le cadre de détail. Page 401 / 409

403 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Après avoir cliqué sur le bouton "Ajouter", cochez l'option "Disque dur physique". Vous devriez voir apparaitre le disque amovible dans la liste déroulante située en dessous. Si plusieurs disques sont disponibles, sélectionnez "Disque N Capacité" dans la liste puis cliquez sur le bouton "Appliquer" puis le bouton "OK" Assurez-vous que le disque est bien disponible au sein de la machine virtuelle en ouvra le gestionnaire de disques au sein de cette dernière. Vue de la machine virtuelle, et selon le système d'exploitation de l'invité, ce disque de technologie SCSI peut être indisponible. Par exemple, avec les systèmes Windows Server, une simple reconnexion, ou affectation d'unité suffit alors que Windows XP ne dispose d'aucun pilote compatible. Pour libérer correctement ce disque amovible, ouvrez de nouveau la fenêtre "Paramètre de la machine virtuelle concernée puis utilisez le bouton "Retirer" après avoir sélectionné le disque approprié associé au contrôleur SCSI. Cette procédure peut être également adaptée à un disque fixe interne mais ne peut pas s'appliquer à une clé USB. Page 402 / 409

404 Chapitre 6 : MDT (Microsoft Deployment Toolkit) 3. Le contrôle de compte d'utilisateur (UAC) 3.1. Compléments du chapitre 3 Apparu avec Vista, ce mécanisme du moindre privilège et les contraintes qu'il engendre peut être mal vécu par un technicien ou un administrateur et il est fondamental d'en comprendre la finalité. Sans vouloir dicter des choix trop tranchés, il est probablement dommage de l'évincer sans étudier son mécanisme afin d'effectuer les réglages appropriés. Bien que les réglages du contrôle de compte d'utilisateur puissent être contrôlés via les stratégies de groupe, il est important d'en saisir l'incidence : - Destiné aux administrateurs occasionnels - Optez pour la réactivation éventuelle de l'administrateur intégré - Désactivation du filtrage de jeton administrateur - Modification du comportement par défaut via les stratégies de groupe, Apparu avec Vista, l'uac a un but philanthropique pour les administrateurs occasionnels et la compatibilité des applications. Principe du moindre privilège de session (Le jeton d accès est «réduit» à celui d un utilisateur standard sauf lors d une «élévation» ) Contrôle d intégrité de niveau Processus Windows 7 propose un comportement de l UAC plus souple et plus discret que sous Vista (+ réglages simplifiés via la configuration des comptes utilisateurs) réactivation et utilisation du compte administrateur intégré. Dans ces 2 cas, vous devrez "assumer" les risques potentiels d'attaques malveillantes, à minima via un anti-virus et/ou l'exécution "restreintes" (en tant qu'utilisateur standard) des applications particulièrement exposées (Navigateur Web, messagerie ) Pour comprendre le fonctionnement de l'uac, vous devez distinguer 2 sortes d'administrateurs: Les administrateurs "intégrés" : Il n'en existe qu'un seul par machine et un seul par domaine. Par défaut, ces comptes sont en dehors du périmètre de l'uac. Autrement dit, ils utilisent toujours l'intégralité des privilèges de leur jeton et sont donc particulièrement exposés aux attaques potentielles. Les administrateurs équivalents : Tous les autres comptes appartenant directement, ou indirectement via un groupe global, au groupe local "Administrateurs" d'une machine est un administrateur potentiel. Par défaut, ces comptes utilisent un jeton restreint de niveau utilisateur standard. L'élévation de privilèges d'administrateur s'effectue à la demande. Pour les "binaires non Windows" Les boutons et liens nécessitant un niveau administrateur sont repérés par le symbole du bouclier Windows Page 403 / 409

405 Identifier les comptes d'administrateurs Chapitre 6 : MDT (Microsoft Deployment Toolkit) Ouvrer une session avec votre compte local d'administrateur équivalent puis démarrez une invite de commande ("Ouvrir") 1 / Examiner la liste des membres du groupe administrateur NET LOCALGROUP ADMINISTRATEURS 2 / Afficher l'identifiant des comptes d'utilisateur WMIC USERACCOUNT GET NAME,SID Exemple de résultat : Administrateur S Christophe S Guest S Le compte administrateur intégré (built-in) est celui qui porte l identifiant 500 Tout identifiant de sécurité se terminant par une valeur inférieure à 1000 est un compte système. 3 / Afficher l'identité et les groupes d'appartenance du compte actuel WHOAMI WHOAMI /GROUPS Remarquez la fin de cette liste, le " Étiquette obligatoire\niveau obligatoire" indique "Moyen". Cela signifie que ce processus CMD.exe s'exécute avec un niveau de privilège d'utilisateur standard Démarrez une nouvelle invite de commande en tant qu'administrateur et acceptez l'élévation de privilège 4 / Afficher l'identité et les groupes d'appartenance du compte actuel WHOAMI /GROUPS Remarquez la fin de cette liste, le " Étiquette obligatoire\niveau obligatoire" indique "Elevé". Cela signifie que ce processus CMD.exe s'exécute avec un niveau de privilège d'administrateur 5 / Activer éventuellement le compte administrateur intégré NET USER ADMINISTRATEUR /ACTIVE:YES Si vous ouvrez une nouvelle session avec ce compte Administrateur intégré vous pourrez constater qu'aucune invite d élévation n est demandée pour les opérations d administration Les effets du "virtualstore" Principes du "virtualstore" Page 404 / 409

406 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Par défaut, lorsqu'une application s'exécute avec les privilèges d'un utilisateur standard, et tente d'écrire dans les zones protégées du système, le contrôle de compte d'utilisateur (UAC) redirige l'écriture effective vers un "virtualstore". Ce leurre permet de lever l'erreur en évitant que l'application échoue mais l'élément original demeure inchangé. Les zones protégées du système correspondant aux dossiers Windows, ProgramFiles et à la ruche du registre machine (HKLM). En cas d'échec d'écriture, un "virtualstore" sera respectivement créé aux emplacements suivants : Pour les dossiers système "%LocalAppData%\VirtualStore" Pour la ruche du registre machine (Profil de l utilisateur courant) "HKCU\Software\Classes\VirtualStore" (Ruche de l utilisateur courant) Identifier les processus soumis au contrôle UAC Pour identifier les processus (ou les applications) potentiellement concernées par l'uac, ouvrez le "Gestionnaire de taches" (Ctrl + Maj + Echap). Sélectionnez l'onglet "Processus" puis le menu "Affichage Sélectionner des colonnes" et cochez la case "Virtualisation du contrôle de compte d'utilisateur" puis cliquez sur le bouton "OK" - Cliquez éventuellement sur le bouton "Afficher les processus de de tous les utilisateurs". Dans la colonne "Virtualisation du contrôle de compte d'utilisateur", les processus sont marqués ainsi : "Activé" = redirige les échecs d'écriture vers le VirtualStore "Désactivé" = interdiction d'écriture (processus "compatible UAC", conscient de la contrainte) "Non autorisé" = processus en mode administrateur (= hors périmètre UAC) Page 405 / 409

407 Chapitre 6 : MDT (Microsoft Deployment Toolkit) Pour démontrer ce comportement (parfois inattendu, voire indésirable) nous allons réaliser une petite manipulation. Ouvrez une session avec votre compte local d'administrateur équivalent puis démarrez une invite de commande en tant qu'administrateur puis tapez la commande suivante ECHO LOREM IPSUM > %WINDIR%\DemoUAC.txt Cette commande crée un fichier "DemoUAC.txt" contenant le texte "LOREM IPSUM" dans le répertoire "Windows" Ouvrez une nouvelle invite de commande normalement (ouvrir) puis tapez la commande suivante TYPE %WINDIR%\DemoUAC.txt Le contenu s'affiche normalement. Tapez la commande suivante ECHO Modif >> %WINDIR%\DemoUAC.txt Cette commande renvoie une erreur "Accès refusé". Ouvrez le gestionnaire des taches puis repérer le processus "CMD.exe" dont la colonne "Virtualisation du contrôle de compte d'utilisateur" affiche "Désactivé". Utilisez le menu contextuel "Virtualisation du contrôle de compte d'utilisateur" et acceptez la modification. La ligne de ce processus doit dorénavant afficher "Activé" Relancez la commande précédente ECHO Modif >> %WINDIR%\DemoUAC.txt Cette fois ci aucune erreur n'est renvoyée et le fichier semble avoir été modifié TYPE %WINDIR%\DemoUAC.txt Toutefois, si vous vérifiez le contenu via l'invite de commande exécutée en tant qu'administrateur, vous constaterez que le fichier est inchangé. Il s'agit donc d'un leurre, car la version modifiée du fichier est en fait stockée dans l'emplacement suivant TYPE %LOCALAPPDATA%\virtualstore\windows\DemoUAC.txt En tant qu'administrateur, il suffit d'octroyer les droits d'écriture sur les dossiers, fichiers ou clés de registre concernés pour éviter cette dérive et le cas échéant supprimer les entrées correspondantes du "virtualstore". Page 406 / 409

408 Chapitre 6 : MDT (Microsoft Deployment Toolkit) 3.3. Modifier le comportement du contrôle UAC Réglages simplifiés Depuis Windows 7, le contrôle de compte d'utilisateur ne demande plus de confirmation d'élévation pour les taches d'administration. Dans les autres cas, cette demande d'élévation assombri le bureau et impose d'acquitter la boite de dialogue. Il est possible de modifier rapidement ce comportement via le panneau de configuration ou plus directement, en cliquant sur l'image située en haut à droite du menu "Démarrer". Cliquez ensuite sur le lien "Modifier les paramètres de contrôle de compte d'utilisateur" Page 407 / 409