Dernière mise à jour : mardi 07 juin 2012.

Active Directory et IntelliMirror

Plan d'action

  • IntelliMirror
  • WinInstalle
  • Stratégies de groupe, encore
  • Intégration IntelliMirror

Avant de commencer, faites un clones complet (et non par lien) de votre client windows 7 afin d'avoir un second client. Accepter l'offre de VBox de réinitialiser les cartes réseaux (VBox vous donnera de nouvelles adresses MAC). Ne démarrez surtout pas votre machine : Suivez les instructions plus bas pour les stratégies de groupe. En attendant la fin du processus de clonage, lisez la prochaine section.

IntelliMirror (La théorie)

IntelliMirror est une technologie qui permet beaucoup de chose mais ici, nous nous intéresserons à la capacité d'automatiser l'installation ou la publication d'applications sur tous les ordinateurs et pour tous les usagers d'un domaine ou d'une unité organisationnelle. Plus de détails par ici

IntelliMirror peut soit assigner une application ou la publier. Lorsqu'assignée à un ordinateur (ou un groupe d'ordinateur), une application s'installera à l'armoce (démarrage) du système client. C'est-à-dire que AD DS fournira toutes les informations et où trouver les paquets nécessaires pour que le client puisse installer l'application au démarrage.

Lorsqu'assigné à un usager (ou un groupe d'usagers), l'application s'installera automatiquement dès que l'usager tentera d'utiliser l'application ou qu'elle sera nécessaire pour ouvrir un fichier. Une application assignée peut-être mise-à-jour et désinstallée de force à travers les gpos. C'est le moyen idéal de contrôler un parc de client.

Lorsqu'une application est publiée, un usager connecté à un client peut installer au besoin l'application à partir des panneaux de configuration. Il faut sélectionner obtenir des applications dans les panneaux de configuration. Ici, c'est l'usagé qui décide quand il veut installer une application.

Pour assigner une application, il faut absolument que l'installateur pour celle-ci existe dans un format msi. Par exemple, tapez Chrome msi sur google et vous trouverez rapidement l'installateur pour chrome en format msi. Le format msi permet aussi de publier une application.

Lorsqu'une application n'a pas de version msi, il faut utiliser un fichier .zap Vous trouverez ici et ici des instructions pour créer un fichier .zap On ne peut assigner une application avec un fichier .zap on ne peut que la publier. De plus, elle ne peut plus être mise-à-jour ni désinstallée. C'est une procédure plus limité que les fichiers .msi.

L'installation est désormais toute simple. Dans une GPO, allez soit côté ordinateur soit côté usager et choisissez les stratégies puis les paramètres du logiciel puis installation de logiciel. Faites nouveau, choisissez votre fichier .msi ou .zap (attention au filtre de type de fichier au bas de la fenêtre de sélection). Pour cela votre paquet d'installation devra être accessible en partage par votre ordinateur et votre usager.

WinInstalle (vous en aurez besoin pour le labo)

Si vous n'avez pas de version .msi et que la solution .zap ne vous emballe pas, vous pouvez toujours utiliser un logiciel tel que WinInstalle qui vous permettra de créer un paquet .msi à partir d'un .exe standard. Le processus est simple. Vous exécutez WinInstalle avant l'installation d'une application ; ce qui générera un instantané de votre client windows7. Vous installez ensuite l'application, puis après vous exécutez à nouveau WinInstalle qui fera un nouvel instantané. C'est en comparant les deux instantanés que WinInstalle créera votre installateur .msi.

Ajoutez quelques usagers à votre seconde unité organisationnelle. Éteignez votre client windows 7 (l'original) s'il était ouvert et faite un instantané (snapshot) avec VBox. Procédure de snapshot

Redémarrez votre client windows 7 original et procédez à l’installation du logiciel WinInstalle disponible dans le répertoire Intellimirror sur titan. Ensuite, utilisez la démonstration suivante pour créer un « package MSI » par une installation du logiciel Winzip également disponible sur titan.

Copiez le résultat dans un répertoire partagé nommé Installateurs sur votre contrôleur de domaine. Assurez-vous que les ordinateurs du domaine ainsi que les usagers du domaines aient accès à ce point de partage. Annulez les changements faits sur le client comme le démontre cette image (Retournez en arrière grâce à votre instantané VBox). Réinitialisation après un snapshot

Vous pouvez trouver le manuel de VBox pour les instantanés ici et ici en français si vous souhaitez plus d'information.

Stratégies de groupe, encore... (Le laboratoire)

Vous allez ajouter votre clone windows 7 à votre domaine. Cette machine n'étant pas toute neuve, il faudra réinitialiser quelques réglages avant de la joindre au réseau. Suivez ces étapes :

  1. Changez le mode des cartes réseaux des modes NAT et Host-Only à internal. Notez-bien qu'elle carte doit être sur le réseau interne. Changez les adresses MACs pendant que vous y êtes.
  2. Redémarrez le clone. Il ne pourra plus voir votre machine 2008.
  3. Connectez-vous à votre clone, détachez-le du domaine puis changez son nom : Ma machine originale s'appelait simon-win7 et le clone s'appelle simon-win72. Attention, tous les caractères ne sont pas permis. Quelques redémarrages seront nécessaires. Assurez-vous que vos réglages aient été acceptés.
  4. Allez dans votre machine 2008 et ajoutez à votre seconde unité organisationnelle un ordinateur et écrivez le nom de votre clone (dans mon cas simon-win72).
  5. Éteignez votre clone, reconfigurez les carte réseau en mode nat et Host only et redémarrez. Normalement, le clone ne fait plus partie du domaine. Vérifiez une dernière fois le nom de votre clone et s'il est correct, joignez le à votre domaine.
  6. Testez que vous pouvez accéder à votre machine avec tous les utilisateurs du domaine, incluant les usagers hors de l'unité organisationnelle 2.
  7. Créez un groupe qui ne contient que les usagers de votre seconde unité organisationelle.
  8. Créez une gpo pour l'unité organisationelle 2 (donnez-lui un nom sensé comme accès aux ordis de l'UO) et permettez l'accès à votre ordinateur qu'aux membres du groupe Administrateur et au groupe que vous avez créé qui ne contient que les membres de l'unité. N'oubliez pas de mettre à jour à l'aide de gpupdate /force et testez que tous les autres utilisateurs ont perdu l'accès à l'ordinateur. Normalement, vos scripts devraient fonctionner immédiatement avec le nouveau client. Restriction d'accès
  9. Démarrez la machine Windows 7 originale et tentez faire des pings entre vos deux machines windows 7 et 2008. Que constatez-vous ? Corriger les défauts de votre réseau.

Intégration IntelliMirror (Encore le laboratoire)

Voici le moment de configurer l'installation d'application par GPOs. N'oubliez pas, vos fichier .msi, (.exe et .zap) doivent résider sur un partage accessible aux ordinateurs du domaine et aux usagers du domaines (vous pouvez restreindre ceci à l'aide des acls) pour que la procédure fonctionne. Donc il vous faut créer un partage Installateurs si ce n'est déjà fait et y mettre tous vos installateurs. Voici la liste des installations à configurer.
  1. Installez pour tous les ordinateurs du domaine en mode assigné : Google Chrome. Allez chercher la dernière version sur internet.
  2. Installez en mode assigné par ordinateur au niveau de votre seconde unité organisationelle Putty et/ou FireFox. Trouvez les dernières versions sur internet. Plus de détails ici.
  3. Installez en mode publié par utilisateur au niveau des unités organisationnelles : Microsoft Calc plus,WinRar et UltraVNCViewer, trouvez les sur internet en msi). Pour ceux qui s'ennuient faites vous un package Winzip à l'aide de WinInstall. (Ne créez pas plusieurs GPO, une par unité. Créez une gpo que vous lierez à toutes vos unité organisationnelle)
  4. Installez en mode publié par utiliateurs le logiciel Notepad++ à l'aide d'un fichier .zap. Trouvez la dernière version sur internet. Un exemple de fichier .zap Que se passe-t-il avec vos logiciels installé par publication ? Si vous avez des problèmes avec Calc plus, essayé cette solution
  5. Les plus avancés peuvent ajouter une stratégie d'adminitration pour google chrome à leur domaine en utilisant les instructions ici.