Windows 10 – Modèles de GPO ADMX

windows10-logo

Microsoft a publié les nouveaux modèles de GPO pour Windows 10 à l’adresse suivante : http://www.microsoft.com/en-us/download/details.aspx?id=48257

A noter que les modèles peuvent être installés sur une machine qui n’a pas Windows 10.

L’installeur est au format MSI et copie les modèles dans C:\Program Files (x86)\Microsoft Group Policy\Windows 10\PolicyDefinitions

Par défaut, le répertoire contient les fichiers ADMX et les sous dossiers de traduction linguistique avec les fichiers ADML.

Ce package intègre 10 fichiers supplémentaires par rapport à ceux présents nativement dans le système Windows 10 qu’on peut trouver dans le répertoire C:\Windows\PolicyDefinition

  • Fileserverssagent.admx
  • grouppolicypreferences.admx
  • gamedvr.admx
  • terminalserver-server.admx
  • userdatabackup.admx
  • deliveryoptimization.admx
  • grouppolicy-server.admx
  • mmcsnapins1.admx
  • textinput.admx
  • windowsserver.admx

Pour profiter de ces nouveaux réglages sur l’ensemble du parc, il faut les déployer dans le Sysvol (%systemroot%\sysvol\domain\policies\PolicyDefinitions) du Central Store d’un des controleurs de domaine : https://msdn.microsoft.com/en-us/library/bb530196.aspx

Après l’insertion des ADMX, il est possible de rencontrer un warning dans la console des stratégies de groupe gpmc.msc indiquant : Microsoft.Policies.Sensors.WindowsLocationProvider’ is already defined.

Ce problème est connu et documenté chez Microsoft à l’adresse suivante : https://support.microsoft.com/en-us/kb/3077013

Microsoft a également publié la liste des réglages disponibles à l’adresse suivante :

Group Policy Settings Reference for Windows and Windows Server

On y trouve notamment des réglages pour gérer le nouveau navigateur Microsoft Edge.

Nettoyer l’espace disque des mises à jour Windows

A l’occasion d’un projet de virtualisation de postes de travail, j’ai du créer un Master optimisé, notamment en terme d’espace disque.

Après la longue phase de mises à jour de Windows 7, mon image avait pris quelques gigas et c’est donc à cette occasion que je me suis intéressé au nettoyage des fichiers de désinstallation des mises à jour Windows intégrées à mon master.

L’utilitaire de Nettoyage de disque, CleanMgr, bien connu depuis longtemps, a recu une mise à jour de la part de Microsoft pour prendre en charge cette fonctionnalité.

Cette  mise à jour, disponible à partir de Windows 7 SP1, est disponible sous la forme d’un KB avec la référence KB2852386 accessible à l’adresse suivante : http://support.microsoft.com/kb/2852386

Une fois cette mise à jour installée, l’outil nettoyage est accessible à partir du menu démarrer dans tous les programmes, accessoires puis outils système.

On peut aussi lancer l’outil grâce à la commande cleanmgr.exe disponible dans le répertoire C:\Windows\System32.

CleanMgr, l'outil Microsoft de Nettoyage de disque

En cliquant sur « Nettoyer les fichiers système », l’outil se recharge et propose des options de nettoyage supplémentaires notamment les fichiers de mise à jour Windows obsolètes.

L'option de nettoyage des mises à jour obsolètes

Microsoft propose d’automatiser la configuration et le lancement de l’outil en ligne de commande avec cleanmgr.exe /sageset:n et cleanmgr.exe /sagerun:n où n peut être toute valeur comprise entre 0 et 65 535. La documentation est accessible ici : http://support.microsoft.com/kb/315246 

A la recherche d’une méthode pour automatiser ce nettoyage à la fin d’une sequence de tâche MDT ou SCCM, je suis tombé sur plusieurs scripts dont celui-ci, réalisé par Mikael Nystrom, qui a l’avantage de proposer un nettoyage complet et ce pour toutes les versions d’OS disponibles (Windows 7 SP1, Windows 8 et 8.1 ainsi que les versions serveurs 2008 R2, 2012, R2 etc.)

Action – Cleanup Before Sysprep

http://deploymentbunny.com/2014/06/05/nice-to-know-get-rid-of-all-junk-before-sysprep-and-capture-when-creating-a-reference-image-in-mdt/

Déclaré comme une application dans MDT, je l’ai intégré dans les Custom Tasks de la phase State Restore.

Application MDT

MDT Custom task

Il y a également celui-ci, réalisé par Aaron Czechowski, mais qui ne différencie pas les versions d’OS dans son script.

CustomDiskCleanup

http://blogs.technet.com/b/aaronczechowski/archive/2012/01/04/disk-cleanup-in-a-mdt-task-sequence.aspx

 

10 raisons de privilégier MDT à SCCM pour créer des masters

Je vous recommande l’article de Yannick Plavonil (MVP Setup & Déployment) qui liste plusieurs raisons qui poussent à préférer MDT à SCCM pour la création des images de références.

J’utilise moi même cette technique et je crois que les meilleurs arguments sont la rapidité et la simplicité d’utilisaion au regard du même travail à réaliser avec SCCM.

L’article en détail est disponible en français à l’adresse suivante : http://www.deploiementwindows.com/10-raisons-dutiliser-mdt-pour-creer-les-images-de-references

Internet Explorer Administration Kit IEAK 11

Le Kit d’administration d’Internet Explorer a été publié pour permettre de personnaliser l’installation et le déploiement d’Internet Explorer 11 en entreprise.

Il est disponible sur la page IEAK d’Internet Explorer chez Microsoft à l’adresse suivante : http://technet.microsoft.com/en-us/ie/bb219517.aspx

Je vous conseille de lire également la page What IEAK can do for you qui détaille les possibilités du Kit (en anglais)
http://technet.microsoft.com/en-US/ie/bb219541.aspx

Le guide d’utilisation est disponible sur Technet (en anglais) :
http://technet.microsoft.com/en-us/library/dn454924.aspx

Internet Explorer 11 peut être téléchargé ici :
http://windows.microsoft.com/fr-fr/internet-explorer/download-ie

Il est supporté sur les systèmes suivants :

  • Windows 7 SP1 et 8.1
  • Windows 2008 R2 SP1 et 2012 R2

MDT 2013

Quelques jours après SCCM 2012 R2, Microsoft vient de publier la nouvelle version de Microsoft Deployment Toolkit (MDT) 2013.

Associée à la nouvelle version du kit de déploiement et d’évaluation Windows (ADK) pour Windows 8.1, cette nouvelle version 2013 de MDT permet :

  • de gérer et de déployer des postes sous Windows 8.1 et Windows 2012 R2;
  • de supporter System Center Configuration manager 2012 R2 (exclusivement);
  • d’améliorer le support des machines x86 basées sur des BIOS Unified Extensible Firmware Interface (UEFI).

A noter que cette version 2013 ne permet plus de déployer des postes sous Windows XP/2003, ou Windows Vista/2008.

Lien pour télécharger l’ADK 8.1 : http://www.microsoft.com/en-US/download/details.aspx?id=39982

Lien pour télécharger MDT 2013 : http://www.microsoft.com/en-us/download/details.aspx?id=40796

Pour plus de détails sur les changements apportés par cette nouvelle version, je vous invite à consulter le site de Michael Niehaus : http://blogs.technet.com/b/mniehaus/archive/2013/10/19/mdt-2013-what-s-changed.aspx

On y lit quelques nouveautés intéressantes comme :

  • l’abandon des GPO Packs;
  • l’abandon du paramétrage d’assistant du premier démarrage d’IE qui posait des problèmes avec IE10.

Ready for SCCM 2012 !!

Le grand jour approche ! Nous sommes enfin prêts pour installer Microsoft System Center Configuration Manager 2012 en production !

Pour cela, nous avons monté un serveur physique sous Windows 2008 R2 dédié à SCCM avec les spécifications suivantes :

Bi Processeur Xeon X5450 @ 3 GHz
16 Go de RAM
6 disques SAS 300 Go 10000 tpm en RAID
4 cartes réseau Giga (dont deux cartes dédiées au déploiement de Masters)

Bien sur, le serveur a été installé à la clé USB (3.0) grâce à MDT 2012 Update 1 et à notre point de déploiement lié dédié aux OS Serveurs 🙂

La base de données sera quand à elle hébergée sur un autre serveur SQL 2008 R2 mutualisé.

Microsoft Deployment Toolkit (MDT) 2012 Update 1

Microsoft a publié la nouvelle version de Microsoft Deployment Toolkit :

MDT 2012 Update 1

Elle apporte notamment :

  • la prise en charge complète de Windows 8 et Windows Server 2012
  • Support de SCCM 2012 SP1
  • La possibilité de créer des pages pour les interfaces UDI
  • Support de PowerShell 3.0
  • Amélioration des capacités de déploiement sur du VHD

Le lien : http://www.microsoft.com/en-us/download/details.aspx?id=25175

 

MDT 2012 Update 1 Beta 1

Ca y est ! En parallèle de l’annonce du service pack 1 de SCCM 2012, la beta 1 de MDT 2012 update 1 a été annoncée hier par Michael Nielhaus sur le blog de MDT

http://blogs.technet.com/b/msdeployment/archive/2012/07/06/microsoft-deployment-toolkit-2012-update-1-beta-1-now-available.aspx

Entre autres nouveautés, on notera la possibilité de générer des pages dans l’assistant de déploiement sans avoir à coder 🙂

La beta est disponible sur Connect et comme pour toute beta, n’oubliez pas de contribuer et de donner votre avis.

Le détail des nouveautés en anglais :

  • Support for using the DaRT 8 Beta with the Windows 8 Release Preview version of the Assessment and Deployment Kit (ADK).
  • New “Build Your Own Pages” support for User-Driven Installation (UDI), enabling IT pros to create new wizard panes using simple drag-and-drop operations – no coding required.
  • Integration with System Center Orchestrator, enabling task sequences to invoke Orchestrator runbooks at any point in the deployment process.
  • Completely reworked “Roles and Features” logic, supporting both installation and removal, as well as providing a new Lite Touch wizard pane for selecting roles and features to install at deploy time.
  • Support for PowerShell 3.0 to make it easier to run PowerShell scripts inside task sequences on Windows 8, Windows Server 2012, and Windows PE 4.0.
  • Simple monitoring functionality for Configuration Manager task sequences, leveraging the monitoring capabilities provided initially in MDT 2012 for Lite Touch deployments.
  • Improved “boot from VHD” deployment capabilities, supporting both bare metal and refresh deployments

MDT 2012 : Apply Local GPO Package

MDT 2012 a apporté son lot de nouveauté ! Le moins que l’on puisse dire, c’est qu’il y a des changements qui semblent transparents mais qui mériteraient d’être un peu mieux mentionnés.

Dans la TaskSequence « Standard Client Task Sequence » par défaut, il existe une nouvelle fonction appelée « Apply Local GPO Package »

Apply Local GPO Package dans la TaskSequence MDT 2012

Cette action vient en réalité appliquer une stratégie de sécurité locale par défaut au poste en cours de déploiement.

Les modèles de sécurité sont enregistrés dans le point de déploiement MDT dans le répertoire Templates\GPOPacks

Les modèles de sécurité appliqués par défaut par OS supporté

Rencontrant depuis la migration vers MDT2012 des difficultés d’accès à certaines machines non Windows sur le réseau, j’ai identifé que mon problème venait de cette stratégie.

Pour revenir à la stratégie par défaut sur les postes déjà déployés, j’ai utilisé cette commande en mode administrateur :
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
Après un redémarrage tout rentre dans l’ordre.

 En attendant, les stratégies proposées par défaut méritent d’être étudiées minutieusement avant de les appliquer.

Ci-joint, le fichier Excel des politiques par défaut.

MDTGPOPacks