Upload
christophe-mandin
View
4.403
Download
3
Embed Size (px)
Citation preview
LES FONDAMENTAUX DU DÉPLOIEMENT WINDOWS
Comment déployer efficacement Windows 7 et Office 2010 ?
Christophe MANDIN ©Consultant/ Formateur SystèmesE-mail : [email protected] : http://cnf1g.com
V 1.0
La difficulté principale de cette formation réside dans le fait d’assimiler rapidement les nombreux acronymes et comprendre la finalité des outils associés
1ère partie
Survol rapide des processus d'installation Windows (hier vs aujourd'hui)
Présentation d’une installation de Windows 7 (plus poussé que « Suivant », « Suivant » … )
Présentation de WinPE – WIM et Sysprep (des fondamentaux à retenir …)
WAIK : Le outils et les fichiers de réponse (on attache bien sa ceinture …)
MDT : Installation ordonnancée dit "LiteTouch" (préparation du décollage …)
2ème partie
WDS : découvrir son intérêt (mais aussi ses contraintes)
Création d'un poste de référence via MDT (on lâche les chevaux ! )
Gestion du cycle de vie avec WSUS, Active Directory et stratégies de groupe (vitesse de croisière …)
Aller plus loin avec WSUS (LUP) et MDT (DB)
Note : tous les outils mentionnés dans cette présentation sont inclus dans les produits Windows 7 Windows Server 2008R2 et/ou disponibles en téléchargement libre et gratuit
Notre "plan de vol" pour cette session
Comment déployer efficacement Windows 7 et Office 2010 ?
Introduction
En premier lieu, il convient de « poser le décor » et distinguer quelques grandes évolutions du principe d'installation de Windows NT
Windows 2000 Pro / Server NT 5.0.2195
Windows XP NT 5.1.2600
Windows Server 2003/R2 NT 5.2.3790
Installation NT 5 via "Winnt32" ou "sysprep"
Toute installation NT6 passe par "sysprep"
Vista / Windows Server 2008 NT 6.0.600x
Windows 7 / Windows Server 2008 R2 NT 6.1.760x
Windows 8.0 / Windows Server 2012 NT 6.2.920x
Windows 8.1 / Windows Server 2012 NT 6.3.960x
Rappels – On fait chauffer les moteurs ….
Dépendance matérielle forte
Rapidité + intégration des applications
Imposé pour l'installation d'un nouveau type de PC (processus long et limité au système seulement)
WinPE 1.x
WinPE 2.x
WinPE 3.x
WinPE 4.x
MsDos
WinPE est repositionné au cœur des processus d’installation et de
réparation et devient « Public »
Génération
NT5
Génération
NT6
Indépendance matérielle garantie !
Préparation possible des machines en environnement virtuel !
Réservé OEM et SA
x = ServicePack
WinPE 5.x
Tout d’abord, commençons par détailler un mécanisme d’installation de base
① L’ordinateur démarre sur un système de préparation
WinPE en l’occurrence
A partir d’un DVD, disque/clé USB ou PXE
② L’installation consiste à :
Préparer le support (Partitionnement / Formatage)
Extraire d’un fichier .WIM, l’image d’un système préparé (via Sysprep) vers le disque de destination
Générer les fichiers nécessaires à l’amorçage
③ Lors du 1er redémarrage, le processus de préparation prend le relais et procède à la configuration des pilotes selon le matériel détecté
④ Au 2ème redémarrage, le processus d’installation finalise la personnalisation d’utilisation (OOBE)
Le processus d’installation « classique » de Windows 7
La structure simplifiée d'un DVD original
Bootmgr
Boot
Setup.exe
Sources
BCD
Boot.wim
Install.wim
Setup.exe
Chargeur d'amorce
Configurateur d'amorçage(Directives)
Programme d'installation
~ NTLDR
~ BOOT.ini
~ Winnt32.exe
Noyau Windows PE
Distribution(s) Windows ~ \i386
Programme d'accueil Setup.exe
N/A
DVD NT 6
Mécanisme d'amorçage unifié quelque soit le média (HDD, CD, DVD,USB, PXE)
Avant d‘entrer dans le vif du déploiement, il est nécessaire de comprendre les mécanismes d'installation de base et présenter le contenu d'un DVD original
Outils
BCDEDIT.exeBCDBOOT.exeBOOT\BOOTSECT.exe
Comparaison approximativeavec la génération NT 5
CD NT 5
HDD NT 5
\Sources\Setup.exe
\Sources\Recovery\Recenv..exe (WinRE)
[Maj] + [F10]Accès direct à l'invite de commande WinPE
Premier contact avec WinPE !
BOOT / DVD : appel de l’invite de commande WinPE
VER | SET PROC (Connaître la version de WinPE)
Mountvol | Diskpart (Gestion des disques)
WMIC LOGICALDISK GET Name, Description (Enumérer les lecteurs)
WMIC BIOS GET VERSION (Collecter des infos sur le matériel)
WMIC CSPRODUCT GET UUID
Startnet | Drvload (Besoin réseau ? pani problème )
NET USE Z: \\MDT\Tools /USER:Demo Pa$$w0rd
Sources\Setup.exe (Maitrise du programme d’install.)
Stipuler / tester un fichier de réponse ponctuellement
Sources\Setup /unattend:z:\autounattend.xml
« Raccrocher » un serveur WDS en l’absence de boot PXE redémarrage
Sources\Setup /wds /wdsdiscover /wdsserver:WDS08R2.labs.local
WDSCapture.exe (Générer une image WIM)
Génère une image WIM locale, puis export éventuel vers un serveur WDS
Sources\Recovery\Recenv.exe (Besoin de réparer Windows)
DEMO_00 : Aperçu du potentiel de WinPE
ClientLiteTouch
Démo / Atelier
Possibilité de réaliser une installation « from scratch »
Maitrise du partionnement / formatage Diskpart
Extraction manuelle d’une image WIM (Apply) Outil
Gestion des fichiers d’amorçage Bcdboot
Importance des pilotes réseaux sous WinPE pour l’éventuelle disponibilité des sources et outils non présent sur le média
Utilité : Peuplement préalable d’un disque virtuel .VHD avant son rattachement à une machine virtuelle (ou physique*)
Note : W7/2008R2 et ultérieurs prennent en charge nativement la création et l’attachement des disques virtuels .VHD
Les fondamentaux du déploiementSysprep, images WIM et WinPE
Outil de « dépersonnalisation » d'un système Windows
Nettoie les traces d'utilisation
Régénère l'identifiant de sécurité local (SID) de l'ordinateur
Réactive un processus de « re-personnalisation » (OOBE)
Présent dans le système d'exploitation sous "\windows\system32\sysprep"
Anciennement situé dans le fichier "\Tools\Deploy.cab" du CD Source NT5
Fondamentaux : C'est quoi « sysprep » ?
Doit être réalisé sur tout ordinateur dit de "référence"
destiné à être dupliqué
Conseil : pour préparer un poste de référence, activez le compte Administrateur intégré (supprimer les autres comptes) sur un ordinateur non membre d'un domaine
! « Newsid » non supporté sur NT6
A cocher si duplication
Correspondance approximative avec sysprep 2.0 (NT5)
Mode OOBE ~ RecellerMode AUDIT ~ Config.
Usine
Les principaux effets de bord du nettoyage « sysprep » ( Directives à intégrer au fichier de réponse si besoin …)
Re-désactive le compte administrateur intégré
"cmd /c NET USER Administrator /Active:YES"
Purge les pilotes tiers
"PersistAllDeviceInstalls = True"
« Grille » la licence et une période de grâce
"SkipRearm = 1"
Réinitialise le profil utilisateur par défaut
"CopyProfile = True"
Sysprep (suite)
Un fichier .WIM est une « archive » (~.zip spécialisé) contenant une (ou plusieurs) image(s) d'une structure de dossier et de fichiers auxquels des métadonnées XML sont associées.
Parmi de nombreuses particularités, une image d’un fichier de fichier .WIM peut être « montée » pour une maintenance hors ligne (Injection de packages, de pilotes, …)
Les outils de gestion :
DISM (inclus dans W7/2008R2 et/ou WAIK)
IMAGEX (WAIK)
GIMAGEX
7-Zip
WDSCapture (inclus dans WinPE DVD)
\Sources\Setup.exe
Fondamentaux : Les fichiers WIM
Outil de maintenance!! pas de capture ni apply
!! Impose un « sysprep » préalable
Convivialité graphique Windows oblige
!! Image WIM = structure de dossier et non une structure de disque "Mono partition"
Pour visualiser le contenu d'un .WIM (évitez les modifications)
Fondamentaux : Les fichiers WIM
APPLY
Dossiers et fichiers (Base) ± Dossiers et fichiers
( ∆ 1 )
Image 2
± Dossiers et fichiers ( ∆ 2 )
CAPTURE
Entête du fichier WIM
DELETEDossiers et
fichiers
Image 1 (ex N°3)
MOUNT
Image 3Image 1
APPEND
UNMOUNT
Fichier .WIM Nouveau .WIM
INFO
EXPORT
Données XMLDonnées XML
Données XML
Structure d’un fichier .WIMimage 1
EntêteWIM
Ress
our
ce d
e f
ichi
ers
Mét
adonn
ées
des
ress
our
ces
Table
d'a
dre
sses
Donn
ées
XM
L
Table
d'in
tégri
té
blocs de données compressées (à plat)
image 2
Ress
our
ce d
e f
ichi
ers
Mét
adonn
ées
des
ress
our
ces
Table
d'a
dre
sses
Donn
ées
XM
L
Table
d'in
tégri
té
Caractéristiques et infos sur l’image
Descripteurs de structure des ressources (dossiers, sécurité, attributs, etc. )
Principe des commandes- Apply- Capture / Append- Mount / Unmount- Delete- Info- Export
Fichier WIM = IBS (Image Based System)
Remplace très avantageusement l’ancestral système DOS
Système d'exploitation autonome basé sur un noyau Windows minimaliste ( Invite de commande…)
Véritable pierre angulaire des solutions de déploiement, WinPE constitue un extraordinaire socle d'outils pour la maintenance et le déploiement Windows
Sur un DVD original, il démarre « SETUP » par défaut
Disponible en version allégée dans le WAIK, le WinPE d’un DVD est déjà enrichi des principales fonctionnalités
WinRE = WinPE avec outils de réparation
Outils déjà intégrés- Diskpart- BCDBoot- BCDEdit- Bootsect- Chkdsk- Drvload- WPEUtil- Startnet…
Fondamental et « incontournable WinPE »
Pilotes- Cartes réseau - Disques- Chipset
Fonctionnalités- Scripting- WMI - HTA- WDSCapture- SETUP- SRT (WinRE)
CD – DVD
ETFSBOOT.com
Média PE
BOOTMGR\BOOT\BCD
Noyau WinPE(\Sources\BOOT.wim)
Drivers(.INF)
Features(.CAB)
DISM "Mount"
DISM "Add-"
OSCDIMG ….ISO
BCDEDIT / BCDBOOT
DISM "Add-"
Processus d’initialisation WinPE
Installationmanuelle
Non
Oui
Réparer
Installer
Non
Oui
Non
Oui \Unattend.xml
\Sources\Recovery\Recenv.exe
X:\Windows\System32\winpeshl.ini
X:\Windows\System32\winpeshl.exe
wpeinit
Autounattend.xml
LaunchAppLaunchApps
\Setup.exe
\Sources\Setup.exe
Non
Choixmanuel
Existe?
X:\Windows\System32\startnet.cmd
Existe?
Existe?
Existe?
Installationautomatisée
Oui
Début
Invite de commande
Interprétation des
nd)
Interprétation des directives
(RunSynchronousCommand)
Initialisation des couches réseau
Exécution des programmes
Non
Existe?Oui
X:\Deploy\Scripts\LiteTouch.wsf
ie Client LiteTouch
Dans l'hypothèse d'utiliser Bitlocker, (et masquer les fichiers d’amorce dans l’explorateur), le processus d'installation de Windows 7 et Windows 2008R2 crée 2 partitions.
Pour palier cette particularité d'installation, le partitionnement doit être fait en amont ou modifié via un fichier de réponse.
Le compte local d’administrateur intégré est désactivé sur les postes de travail
Le contrôle de compte d’utilisateur restreint potentiellement les comptes administrateurs (cfRéactivation Admin. intégré)
Les pilotes OEM sont purgés par défaut lors de la préparation via sysprep
Précisions : Partitions, Pilotes ,UAC
Système Contient les fichiers d'amorçage
Active Secteur d'amorçage (MBR)
Démarrer Contient le système actuellement actif ie C:\Windows ….
Pas de lettre par défaut invisible dans l'explorateur
Présentation des outils relatifs au déploiement Windows
Les outils du déploiement en bref
Gestion des images WIM (hors ligne) Montage / Démontage , Injection de pilotes ,
Activation de fonctionnalités
Nettoyage et mise en condition de duplication d’un ordinateur de référence
Partition, formatage des disques, gestion de l’amorçage
Un incontournable ! (sur CD, USB, PXE… à toujours avoir sous la main )
DVD original, intègre Setup, WDSCapture,
Et bien plus encore…
Kit facultatif, à installer sur l’ordinateur du technicien de déploiement (et le MDT) ImageX (Capture, Extraction WIM)
WSIM (Editeur Fichier de réponse .XML)
Fonctionnalités / Packages WinPE
DISM L’outil de déploiement par excellence
Intégré dans Win7/2008R2, également fourni par WAIK
SYSPREP : L’outil de préparation
Intégré dans les systèmes depuis Vista
DISKPART / BCDEDIT / BCDBOOT
Intégré dans les systèmes Windows
WinPE : Système autonome de préparation et/ou de réparation
Intégré au DVD original, également fourni par WAIK
WAIK : Kit des outils de déploiement
ImageX (Capture, Extraction WIM)
WSIM (Editeur Fichier de réponse .XML)
Fonctionnalités / Packages WinPE
Les outils complémentaires
Peuplement du magasin des pilotes d’un système en ligne de commande (DISM également, mais plus orienté gestion des pilotes hors ligne (.WIM)
Informations, modification, activation locale des licences en ligne de commande
Volume Activation Management ToolSuivi des licences en volume
Microsoft Deployment ToolkitGestion des sources, systèmes d’exploitation, pilotes, applications, packages, séquences de tâches
(+ générateur WinPE/LiteTouch)
User State Migration ToolOutil en ligne de commande comparable à « migwiz », son pendant graphique (Inclus dans le MDT)
Application Compatibility ToolkitEnsemble d’outils d’évaluation de la compatibilité applicative (Base SQL / Correctifs:SHIM )
Microsoft Assessment and Planning ToolkitEvaluation du périmètre et des risques liés à la migration (matériels et logiciels)
PNPUTIL : Gestion des pilotes en ligne
SLMGR.vbs : Gestion locale des licences
VAMT : Gestion globale des licences
MDT : Séquenceur d’installation (…)
« L’usine à déployer efficacement »
(anciennement Business Desktop Deployment)
USMT : Migration de masse des données et fichiers des utilisateurs
ACT : Gestion de la compatibilité applicative
MAPT : Outil de recensement et d’inventaire de migration Windows
Windows Automated Installation Kit est un ensemble d’outils et de documentation dédiés aux déploiement Windows pour les plateformes x86, x64 et ia64. Ce kit gratuit est téléchargeable à l’adresse suivante : http://www.microsoft.com/downloads/fr-fr/details.aspx?familyid=696dd665-9f76-4177-a811-39c26d3b3b34
Il contient principalement :
Un noyau WinPE de base (fonctionnalités au choix)
ImageX – Gestion des images WIM (+ DISM si besoin)
WSIM (Editeur de fichiers de réponse XML)
Oscdimg (Générateur d’image ISO)
Des documentations
WAIK : C’est quoi exactement ?
Installation du kit – Présentation des principaux outils
ImageX
GImageX
COPYPE
DISM
OSCDIMG
DEMO_01a : Présentation WAIK
Windows NT 5 utilisait plusieurs types de fichier de réponse, selon la méthode d'installation retenue. (Unattend.txt, Winnt.sif, variante.udf, sysprep.inf, Riprep.sif …) - Ces fichiers pouvaient être générés par l'assistant "Setup Manager" puis complétés via le bloc-notes selon la documentation (cf . Ref.chm)
Dorénavant, NT6 n'utilise plus qu'un seul type de fichier de réponse "Unattend.xml"
Structuré autour des 7 "phases" d'action, la création initiale d'un tel fichier est très délicate. Pour vous aider à gérer efficacement cette structure XML, vous devrez recourir à l'éditeur WSIM (Windows System Image Manager) fourni avec le kit de déploiement
Le fichier peut être passé en paramètre de "sysprep.exe" et/ou de "setup.exe"(Automatiquement si "autounattend.xml" présent sur média amovible)
Note : le MDT contient déjà les fichiers de réponse pré-renseignés ("Unattend.xml" pour les distributions NT6, "Unattend.txt" et "Sysprep.inf" pour les distributions NT5)
Les fichiers de réponse
WSIM : L'éditeur de fichier de réponse XML
Les phases du fichier de réponse
windowsPE
Réglages propres à WinPE, telles que la résolution écran, la disposition du clavier, …
1 - windowsPE
Partitionnement et formatage des disques, Sélection d’images d'installation, clé produit
2 - offlineServicing
Ajout de composants, traitement des mises à jour, ajout de pilotes complémentaire, packs de langue…
3 - specialize
L'ordinateur passe en mode "réinstallation", personnalisations spécifiques à l'image
4 - generalize
Supprime les spécificités matérielles et informations liées à la machine et à l'utilisation (Purge le nom de l’ordinateur)
Régénère le SID
5 - auditSytem 6 - auditUser
Phases de configuration intermédiaire : passent l’ordinateur en configuration usine afin de modifier les réglages par défaut ( Idem distributions officielles DVD)
Une phase OOBE reste nécessaire.
7 - oobeSystem
Contrat de licence Contrat de licence (CLUF), Création de comptes locaux, réglages régionaux, préférences de mises à jour, …
Exemple de fichiers de réponse
Image WIM utilisée en référence ( cf fichier Catalogue)
Architecture processeurx86=32 bits | amd64= 64 bits
Directives issues des composants présents dans l’image WIM
Phase durant laquelle les instructions sont réalisées
WSIM – Riche mais complexe ….
Images WIM | Fichiers Catalogue .CLG
(Si régénération catalogue Préférez WAIK x86 car supporte toutes architectures x86-x64 et ia64)
Modification des réglages (Foundation Package)
Conseil : Configurez « normalement » vos réglages et composants préférentiels puis capturez une nouvelle image (régénération catalogue) – Utilisez les fichiers de réponse en dernier recours
Préférez MDT pour le partionnement des disques
Utilisez les fichiers de réponse pour modifier les valeurs par défaut
Pensez également à la maintenance hors ligne des images WIM via DISM (Clé de licence, état des composants, etc.)
DEMO_01b : Présentation WAIK
La problématique de la « masterisation »
La réalisation d’un poste de référence engendre des choix drastiques et parfois contradictoires
Les réglages du système et de l’environnement Les besoins/contraintes évoluent
Optez pour les fichiers de réponse et la configuration via les stratégies de groupe dans le cadre d’un domaine Active Directory
Intégration des pilotes tiers Alourdit l’image
Optez pour une distribution centralisée des pilotes (via WDS et/ou MDT)
Intégration des applications Gain de temps mais pas d’évolution possible
Optez pour une installation « post-install » des applications (via MDT pour les socles communs et/ou via GPO pour les applications à la demande)
Intégration des mises à jour et Service Packs Evolutions permanentes
Optez pour une distribution dynamique des mises à jour, filtrées/ contrôlées via WSUS
Mettre à jour les master (Re-sysprep + capture) lorsque leur nombre est trop important
Gestion et activation des licences
Optez pour des licences en volume
Notez que les images WIM offrent de possibilités de maintenance hors ligne
Copie de fichiers, injection de pilotes, de packages (ie .MSU, .CAB) mais pas de MSI ou Setup
La problématique de la « masterisation »
Principe de création d'une image de référence
Apply
Capture
Sysprep
RéférenceHDDVHD
SourcesWIM
Médias:- CD/DVD- USB / HDD- NET / PXE- NET / Share
① Boot (WinPE)② Partition / Formatage③ Extraction WIM ( Apply)④ Install. / Config.
① Configuration② Préparation (Sysprep)③ Création WIM (Capture)④ Export vers média
Processus simplifié d'un clonage
Installation Configuration« Master »
Préparation / Nettoyage via
« SYSPREP »
Démarragesur WinPE
Conception.WIM
« Capture »
Exportde l'image WIM vers
un Media(DVD, WDS…)
Démarragesur WinPE
Extraction.WIM
« Apply »
Démarragesur le disque
local
InterprétationWINDEPLOY(SYSPREP)
Personnalisation et Finalisation
(OOBE)
DISKPART + IMAGEX /APPLY (+BCDBOOT)ou
SETUP (+autounattend.xml)
IMAGEX /CAPTUREou
WDSCAPTURE
1er Démarrage 2ème Démarrage
cible (Destination)
Ordinateur source dit « de référence » (Master)
Installation WIM
Génération WIM
Les fichiers de réponse sont limités à la configuration du système
L'installation d'application est réalisée manuellement afin d'être intégrée dans l'image du poste de référence
L'application propose une technique d'installation automatisée (type MSI) :
Installation en mode silencieux « MSIEXEC /i Application.MSI /qn »
Déploiement à la demande via GPO
Installation via l'autologon (post-install)
Réalisation/modification d'un package MSI via des outils spécialisés et/ou différentiation : (ORCA, Free AppDeploy Repackager, Wininstall LE, Wize Install Tailor)
Particularité de l'installation de la suite bureautique Microsoft Office :
≤ Office 2003 : Installation via des MSI + MST de personnalisation réalisable à partir du CIW (Custom Installation Wizard) de l'ORK (Office Ressouce Kit) complémentaire.
≥ Office 2007 : Installation via SETUP (/Admin = Office Customisation Tool)( L'installation via GPO doit être réalisée par script et non plus par l'affectation d'un package MSI/MST)
Configuration système et applications
SETUP /ADMIN
Enregistrez le fichier de personnalisation (.MSP) dans le dossier « Update » . Ce dossier permet de stocker les correctifs et mises à jour qui seront implicitement intégrés lors du processus d'installation
Pour une installation silencieuse, utiliser la commande « setup /config ProPlus.WW/config.xml » en ayant modifié le contenu comme suit : <Display Level="none" CompletionNotice="no" SuppressModal="yes" AcceptEula="yes"/> (cf http://technet.microsoft.com/fr-fr/library/cc179195.aspx )
Configuration automatisée de MsOffice
DEMO_02
MDT (Microsoft Deployment Toolkit)
Gratuit / Anglais uniquement
Prérequis et implémentation très souples :
Windows NT6.x 32/64 bits en workgroup ou ActiveDirectory (sur lequel sont installés Powershell et le WAIK)
Disque partagé en réseau sur le poste MDT ou un serveur SMB quelconque
La console MMC d'administration du « MDT » fédère graphiquement une structure de dossiers et de fichiers « Deployment Workbench ». (cette structure est facilement « transportable »)
MDT (Microsoft Deployment Toolkit)
Composants / Principes MDT
Poste cible
« LiteTouch .wsf »(WinPE)
DeploymentShare$
Serveur WDS
Serveur de fichiers ou media Poste MDT
Boot
Operating system
Out of box drivers
Applications
Packages
Control
Images de démarrage
Images d'installation
Deployment Workbench(Console .msc)
WAIKPowerShell
Gestion
① Installation de l'outil MDT sur un poste "technique"
② On alimente facilement la structure via la console graphique
③ Mise à disposition d'un démarrage sur client LTI
④ Démarrage à partir du média WinPE LTI
⑤ Connexion⑥ Sélection et exécution des séquences de taches
WDS Facultatif : PXE Client Multicast
Le MDT prend en charge des scénarios complexes d'installation (dénommés « séquences de tâches ») :
Test des prérequis / Sysprep / Capture
Scénarios compatibles avec les versions antérieures de Windows (ie XP, 2003 …)
Sauvegarde/restauration des paramètres utilisateur (USMT)
L'installation du système d'exploitation, des mises à jour
L'installation des pilotes, des applications
Ces scénarios peuvent s’inscrire dans le cadre d’une mise à jour d’un même PC, d’un nouveau PC, d’un transfert vers un nouveau PC ou réaliser des taches complémentaires ou spécialisées
MDT – Les séquences de taches
USMT(scanstate)
Pré-Installation
InstallationOS
Post Installation
USMT(loadstate)
Capture
UNATTEND.XML SYSPREP.INF
UNATTEND.TXT
TS.XML
ValidationPré-requis
Premiers pas avec MDT
Ajout d'un système d'exploitation
Ajout d'application
Ajout de pilotes
Création d'une séquence de tâche « Install client »
Présentation du séquenceur - détail des tâches
L'onglet « OS » et fichier(s) de réponse
Configuration du « DeploymentShare » « Propriétés »
Configuration générale : Onglet « Rules » (CustomSettings.ini et bootstrap.ini)
Configuration des clients LiteTouch : Onglet « Windows PE » x86 | x64
Générer WIM (et ISO)
Choix des pilotes
Génération des images clients LiteTouch « Update DeploymentShare »
DEMO_03b : Débuter avec MDT
Maintenance et gestion du cycle de vie
Histoire de ne pas perdre le nord !...
SYSPREP(Generalize)
unattend.xml
DistributionINSTALL.WIM
Poste de référence
WinPEBOOT.WIM
Windows AIK
WSIM (fichiers .XML)
Personnalisations WinPE(IMAGEX, DISM, OSCDIMG…)
Poste cible
Poste du « technicien de déploiement »
WDSCAPTURE
IMAGEX /CAPTURE
SETUP
IMAGEX /APPLY
autounattend.xml
WDS (PXE)
USBCD/DVD
DISKPART
BCDBOOT
Médias
Problématique du « master » (synthèse)
Configuration
Applications
Pilotes
PréférencesPackages
Correctifs
Maintenance
DHCP
WSUS
ADDS - GPO
WDS
FileShare « Sources »
Applications
Pilotes tiers
KMS
DNS
Quelques exemples :- Vieillissement de images- Gestion des licences- Evolutions des versions d’applications- Temps d’intégration des mises à jour et correctifs - Nouveaux pilotes OEM- Evolutions des réglages, des choix de sécurité
Cycle de vie du poste de travail
DEMO_04a :
Soit, on utilise le MDT pour automatiser l'installation du système, des applications, en choisissant l'option « Capture » dans un scénario d'installation standard, puis on laisse MDT faire le travail tout seul !...
Soit on configure « normalement » le poste de référence puis on sollicite une séquence de tache spéciale « sysprep et capture »
Technique plus simple (+ Faire Snapshot avant si machine virtuelle)
Appel du séquenceur \\MDT\DeploymentShare$\Scripts\LiteTouch.vbs
Le fichier de configuration global « customsettings.ini » sous l'onglet « Rules » a été modifié afin de « reconnaître » (via l'adresse MAC) et nommer automatiquement ce poste de référence et présélectionner les applications.
DEMO_04b :
L'image .WIM obtenue dans \DeploymentShare\Captures est ensuite réinjectée en tant que nouveau système d'exploitation …
DEMO_04 : Créer un poste de référence avec MDT
MDT : Personnalisation CustomSettings.ini
Modification du fichier de configuration « CustomSettings.ini »
Contrôle / masquage des écrans d’installation
Attention aux pièges (ie : !! si JoinDomain valorisé -> pas de capture !...)
Inhibez / commentez les lignes en ajoutant un point-virgule au début
Ajout d’une section « spéciale poste de référence (adresse MAC) »
Pour éviter que une maintenance délicate de ce fichier et une gestion facilitée, il est souhaitable de recourir à l'association d'une base de données SQL Express.
MDT : Réalisation d’une image « gold »
(MDT) Création d’une séquence de « sysprep et capture »
Cette séquence doit être appelée manuellement à partir du poste opérationnel via le script « litetouch.vbs »
Note : Les séquences d’installation standard proposent de réaliser une capture à l’issue d’une installation automatisée
(POSTE) Installation (manuelle ou auto) d’une machine virtuelle de référence
Réactivation du compte d’administrateur intégré
Configuration manuelle des composants/fonctionnalités
Ajout / configuration des applications intégrées dans l’image
Personnalisation du profil d’utilisateur par défaut (pensez à fermer puis rouvrir la session)
Installer les éventuels correctifs et mises à jour via Windows Update
Réaliser un cliché instantané de la machine virtuelle
(MDT) Configuration de la séquence de capture
Ajout de la directive « copyprofile = true » dans le fichier « unattend.xml »
(POSTE) Exécutez la tache de capture via l’exécution de la commande : \\MDT\DeploymentShare$\Scripts\LiteTouch.vbs
La console de gestion WDS
Contrôle du service et des propriétés du serveur
Images WIM de distribution OS ( ~INSTALL.wim de DVD et/ou personnalisés)
Images de démarrage WinPE ( ~BOOT.wim de DVD et/ou WinPE personnalisés)
Clients PXE en attente de confirmation d'un démarrage (cfpropriétés du serveur)
Déclaration et gestion des flux d'images d'installation disponibles en multidiffusion
Gestion des pilotes (mise à dispo durant l'installation et/ou injection dans les images de démarrage WinPE)
2008Windows Server
2008
Nouveauté
R2
Nouveauté
Windows Server 2008 R2
Nouveauté
R2
Nouveauté
Windows Server 2008 R2
Nouveauté
R2
Nouveauté
Windows Server 2008 R2
Nouveautés
R2
Nouveautés
Windows Server 2008 R2
Nouveautés
R2
Nouveautés
Windows Server 2008 R2
≥ Windows 2003 sp1*
Complémentarité WDS et MDT
Idéalement, utilisez le MDT pour le pilotage des installations (fabrication, déploiement dynamique) et WDS pour le stockage des images (déploiement de masse, images plus "statiques")
Ne requiert pas de domaine
Au besoin, MDT prend en charge de l'adhésion aux domaines
Peut référencer des images WDS et peut exploiter le mode Multicast
MDT gère ses propres packages de pilotes (vs intégration WDS2008R2)
Utilisez la "database" et les "rôles" pour des distributions mieux maitrisées
Windows Server + Active Directory, DNS et DHCP.
Prise en charge native des images WIM Démarrage (WinPE) et Installation (Distributions)
2008 support du mode Multicast
2008R2 support des packages de pilotes (intégration simplifiée aux images WinPE et mise à disposition des clients durant les phases d'installation)
Peut être utilisé pour publier les clients LiteTouch via PXE
L'association des fichiers de réponse reste à votre charge
WDS
MDT
« Dématérialisation » du DVD orignal
Images de démarrage
Images setup (par défaut)
Déclinaison en image de capture
Ajout du WinRE
Images d'installation
Groupes d'images
Propriétés du serveur
Démonstration avec un client PXE
Options DHCP 060 versus 066, 067
DEMO_05 : Débuter avec WDS
WSUS, GPO Configuration « aval »
Les apports de l’Active Directory et des stratégies de groupe (GPO)
Gérer la sécurité des postes via les stratégies de groupe « classiques »
Groupes locaux restreints
Comportement du contrôle de compte d’utilisateur (UAC)
Gérer la configuration des postes via les « préférences » de stratégies de groupe
Gestion graphique des conditions équivalente à des scripts WMI complexes
Ne passez pas à coté …
Rétroactif sur Windows XP sp2 (cf KB943729)
N’implique aucun mode fonctionnel de domaine particulier
Outils des gestion GMPC.msc +Editeur (GPEdit.msc ) ≥ Windows Server 2008
Conseil : téléchargez et installez RSAT (KB958830) sur un poste Windows 7 pour créer et/ou gérer les stratégies de groupe qui seront déposées dans l’Active Directory
Gestion des stratégies de groupe avec une « visibilité » locale d’un poste de travail et non d’un serveur ou contrôleur de domaine
Gestion des préférences
Les stratégies de groupe
Gestion centralisée des réglages Office via les stratégies de groupe
Télécharger les modèles d'administration ADM / ADMX pour la version Office puis les importer dans un objet de stratégie de groupe : à copier selon dans :
ADMX « C:\Windows\PolicyDefinitions » (NT6)
ADM « C:\Windows\inf » + Ajout/Suppression de modèle (NT5)
Modèle d'administration Ms-Office (GPO)
Demo sur les GPO préférences
Impact sur les environnements d’utilisation
Puissance/ Intéret du ciblage par paramètre
Demo sur les GPO Classiques
Gestion de la sécurité (Comportement UAC, groupes restreints, pare-feu …)
Coté client : "GPRESULT /H Rapport.htm"
DEMO_06 : Active Directory et GPO
Ne nécessitant pas d'élévation de privilèges
Installation d'application (MSI) via GPO
Installation d'un périphérique dont le pilote est présent dans le magasin de confiance « driverstore » (WindowsUpdate | local filerepository | DevicePath)
Installation d'une mise à jour via le service Windows Update
Postes ≥ Vista Service d'installation des compléments ActiveX pour le compte des utilisateurs standards
Le service « AxInstSV : programme d'installation ActiveX » doit être démarré
Réglages via GPO : Sites approuvés / Mode d'installation
Pilotes d'impression L'installation du pilote (fourni par le serveur) peut engendrer une invite de confirmation. Cf. GPO … Ordinateur … Modèles d'administration … Imprimantes … Restrictions Pointer et imprimer
Rappels - Précisions sur les privilèges d'installation
Allez plus loin avec WSUS « Local Update Publisher » (ou LUP ) est un projet open source basé sur l’API Microsoft
qui vous permet de publier vos propres mises à jour à travers Windows Server Update Services. LUP peut distribuer des packages MSI, MSP ou EXE ainsi que toutes les mises à jour de programmes tels qu’Adobe Acrobat Reader, Flash, Firefox ou encore Java. http://localupdatepubl.sourceforge.net/fr/index.html
Allez plus loin avec MDT CustomSettings.ini
Database
Powershell + Module MDTDB http://blogs.technet.com/b/mniehaus/archive/2009/05/15/manipulating-the-microsoft-
deployment-toolkit-database-using-powershell.aspx
http://blogs.technet.com/cfs-file.ashx/__key/communityserver-components-postattachments/00-03-24-15-04/MDTDB.zip
+ plein d'explications et astuces relatives au déploiement Windows sur le site de Yannick Plavonil (MVP) http://www.revuedugeek.com/
Allez plus loin …
A propos de licences …
Selon la distribution, plusieurs types de licence sont possibles :Type Utilisation / Cible Editions
Vente au détail(Retail)
Licence unitaire indépendante pouvant être installée sur le matériel compatible de votre choix.Activation en ligne ou par téléphone(définitive sauf changement de matériel ou réinstallation Réactivation )
FamilialeIntégrale (Ultimate)Professionnelle
OEM (Original Equipment Manufacturer)
Licence unitaire liée au matériel avec lequel elle est « offerte » (ou liée)Pré activée par le fabriquant(définitive sauf changement de matériel ou réinstallation Pas de Réactivation ) Dans un cadre d'un accord contractuel, le fabriquant peut fournir une clé générique valide sur ses matériels uniquement
FamilialeStarterProfessionnelle
MAK(Multiple Activation Key)
Licence en volume permettant l’activation d’un nombre limitée de machines.(définitive sauf changement de matériel ou réinstallation Réactivation )Activation en ligne ou par téléphone
ProfessionnelleEntreprise
KMS (Volume License Key 2.0)
Licence en volume (numéro unique) permettant l’activation simplifiée des machines via un collecteur KMS (Poste ou serveur ayant une clé KMS activée et un accès à Internet) - ≥ 25 postes, ≥ 5 Serveurs )Par opposition à VLK 1.0, l’activation n’est pas définitive et doit être renouvelée dans un délai maximum de 6 mois.
EntrepriseProfessionnelle
Pour rappel, dans le cadre d’un déploiement de masse, les versions OEM ne peuvent pas être utilisées en tant que poste de référence (master) – Par définition, cette licence est liée au matériel sur lequel elle est installée. Pour les mêmes raisons, l’utilisation dans un environnement virtuel est proscrite.
Pour gérer localement vos licences, (état d’activation,numéro, expiration, etc …) un outil « SLMGR.vbs ».
Quelques exemples :
A propos de licences …
Commande Objectif
SLMGR –XPR Permet d’afficher la date d’expiration de la licence
SLMGR –IPK N°Licence Permet d’affecter un nouveau numéro de licence
SLMGR –DLV Permet d’afficher les informations détaillées de licence
SLMGR –SKMS AdresseIP* Permet de demander l’activation auprès du serveur KMS dont l’adresse IP ou le nom est stipulé.
SLMGR –ATO Déclenche le processus d’activation
SLMGR –CPKY Efface la clé produit du registre (évite sa divulgation en cas d’attaque)
SLMGR –REARM Relance la période de grâce d’activation (3 fois maximum)
Par défaut, les versions Enterprise essaient de localiser le serveur KMS via une requête DNS basée sur les enregistrements _SRV.Consultez le site de Microsoft pour connaître l’implémentation d’une infrastructure KMS. http://technet.microsoft.com/fr-fr/library/bb490214.aspx
Pour gérer et suivre globalement l’activation des licences, vous pouvez utiliser l’outil gratuit de Microsoft :Volume Activation Management Tool (VAMT)
A propos de licences …
Les outils VAMT, ainsi que le service d’activation KMS, peuvent être téléchargés via le Microsoft DeploymentToolkit ou WAIK 2.0
Nous espérons que vous avez effectué un vol agréable sur notre compagnie et espérons vous retrouver bientôt sur nos lignes ….
Fin de la session
Questions