Microsoft Deployment permet de créer des images d’installation des différents Windows tout en offrant une grande flexibilité de personnalisation des images, par exemple en installant des applications spécifiques à certains types de machines ou en utilisant des scripts personnalisés.
Il est également possible lors de l’installation d’une machine de la mettre à jour automatiquement en utilisant Microsoft Update ou, de manière plus souple et efficace, un serveur WSUS local.
Dans cet article nous allons voir comment paramétrer Microsoft Deployment pour qu’il utilise WSUS lors du déploiement d’une machine dans un domaine et comment ajouter la machine en cours de déploiement à une UO Active Directory autorisée à se connecter à WSUS et à recevoir des mises à jour.
La première chose à faire est de modifier le fichier CustomSettings.ini situé dans le répertoire Control de votre point de distribution (par exemple E:\Distribution\Control). Voici le contenu de mon fichier :
[Settings]
Properties=MyCustomProperty
Priority=ByDesktopType, ByLaptopType, Default
[ByDesktopType]
Subsection=Desktop-%IsDesktop%[ByLaptopType]
Subsection=Laptop-%IsLaptop%[Desktop-True]
MachineObjectOU= OU=Deploiement, OU=Paris, OU=France, OU=General, dc=corp, dc=local
ComputerName=D-#CleanMac(« %MacAddress% »)#
UserExit=UserExit.vbs[Laptop-True]
MachineObjectOU= OU=Deploiement, OU=Paris, OU=France, OU=General, dc=corp, dc=local
ComputerName=L-#CleanMac(« %MacAddress% »)#
UserExit=UserExit.vbsWSUSServer=http://WSUSSRV:8530
[Default]
OSInstall=YSkipBDDWelcome=YES
KeyboardLocale=fr-FR
TimeZone=105
SkipTimeZone=YES
UserDataLocation=NETWORK
SkipAppsOnUpgrade=NO
SkipCapture=NO
SkipAdminPassword=YES
SkipProductKey=YES
SkipUserData=YES
SkipSummary=YES
SkipComputerName=YES
_SMSTSOrgName=Entreprise – Déploiement de machines
Quelques commentaires sur mon fichier :
- Je nomme automatiquement les machines déployées avec un préfixe D- ou L- selon qu’il s’agit d’un PC fixe (Desktop) ou portable (Laptop) et en utilisant ensuite l’adresse MAC.
- La propriété MachineObjectOU indique dans quelle UO d’Active Directory la machine doit être placée lors du déploiement. Dans mon cas je place les machines dans une UO nommée Deploiement. Nous verrons plus loin comment associer cette UO à un groupe WSUS grâce à une police de groupe.
- La propriété WSUSServer indique l’URL du serveur WSUS ainsi que son port associé.
- La propriété _SMSTSOrgName remplace le texte IT Organization dans la fenêtre de déploiement par le nom de votre entreprise par exemple. Cosmétique mais ça ne coûte pas grand chose…
Il faut donc d’une part indiquer l’adresse de votre serveur WSUS et d’autre part choisir une UO de votre Active Directory réservée au déploiement si vous utilisez des groupes WSUS assignés par police de groupe.
Une fois ces modifications enregistrées il vous faudra aller dans Démarrer > Tous les programmes > Microsoft Deployment Toolkit > Deployment Workbench, puis dans Deploy > Deployment Points. Faites alors un clic droit sur votre point de déploiement et sélectionnez Update pour reconstruire votre image de démarrage.
Une fois cette reconstruction terminée, allez dans Task Sequences, faites un clic droit sur la séquence qui vous intéresse et cliquez sur Propriétés. Dans l’onglet Task Sequence, allez dans le dossier State Restore, cliquez sur Windows Update (Pre-Application Installation), allez dans l’onglet Options et décochez la case Disable this step. Faites de même pour Windows Update (Post-Application Installation).
Allez ensuite dans Démarrer > Outils d’administration > Services de déploiement Windows, puis dans Serveurs > Nom du serveur > Images de démarrage, faites un clic droit sur l’image de démarrage que vous utilisez pour déployer vos machines et sélectionnez Remplacer l’image. Indiquez le chemin de l’image que vous venez de créer, cliquez sur Suivant quatre fois (vous pouvez donner un nom plus clair à votre image en passant) puis sur Terminer.
Sur un contrôleur de domaine disposant de la Console de gestion des stratégies de groupe, cliquez sur > Outils d’administration > Group Policy Management, puis déployez l’arborescence jusqu’à Forest > Domain > NOM_DE_VOTRE_DOMAINE > Group Policy Objects, faites un clic droit puis cliquez sur New. Donnez le nom WSUS – Deployment à ce GPO, puis faites un clic droit dessus et cliquez sur Edit. Allez ensuite à la section permettant de gérer WSUS et qui se situe dans Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Update. Modifiez la propriété suivante :
- Autoriser le ciblage côté client : Activé
- Nom de groupe cible pour cet ordinateur : Deploiement
Dans la console de gestion des polices de groupe, faites un clic droit sur l’UO Deploiement et sélectionnez Link an existing GPO. Choisissez la GPO WSUS – Deploiement que vous venez de créer et cliquez sur OK.
Dans WSUS, faites un clic droit sur Ordinateurs > Tous les ordinateurs, cliquez sur Ajouter un groupe d’ordinateurs et créez le groupe Déploiement. Le nom du groupe doit être identique à celui que vous avez utilisé dans la police de groupe. Il ne vous reste plus qu’à autoriser l’ensemble des mises à jour que vous souhaitez utiliser pour ce groupe.
Pour résumer : lors d’un déploiement dans votre domaine, Microsoft Deployment créera un compte ordinateur dans Active Directory et le placera dans l’UO Deploiement. Au démarrage de l’ordinateur, la police de groupe associera l’ordinateur au groupe WSUS Déploiement et lors des phases d’installation pré et post-applications il se connectera à votre serveur WSUS local plutôt que de passer par Internet et Microsoft Update.