mardi 30 août 2011

Unleash the Power of MDT 2010/2012 – Part 5 : Applications

shippingcontainer

Dans cette 5 eme partie, vous aller apprendre comment rendre l’installation de certaines applications obligatoire :

Effectivement, vous pouvez forcer une application à s’installer, il suffit pour cela d’jouter dans les Rules (Customsettings.ini) la commande suivante :

MendatoryApplications001=<GUID d’application>

Ou <GUID Application> est le code hexadécimal unique que vous pouvez retrouver pour chaque application en cliquant propriétés sur l’une d’elle puis General> Application GUID.

Mdt--appli2011-04-19-09h25_07_thumb3

L’application apparaitra déjà cochée dans le Wizard de MDT et s’installera obligatoirement !

Il est possible de détecter si une application est déjà installée, et le cas échéant de ne pas la réinstaller une deuxième fois en spécifiant dans les propriétés, onglet Détails de l’application le Uninstall Registry Key GUID.

Le GUID se récupère dans la base de registre à l’adresse :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall pour les applications 32 bits,

et HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall pour les application 64 bits.

Pour office 2010 le GUID est Office14ProPlus

Recommandation : Si une application doit rebooter pour s’installer correctement, il est important qu’elle ne le fasse pas elle-même, mais qu’elle laisse MDT maitriser le reboot. Pour cela, l’application doit être installée avec un switch /Norestart ou équivalent. L’ordre de reboot est transféré à MDT via le bouton à cocher : Reboot the computer after installing this application (onglet Détails).

Retrouvez-ci dessous l’ensemble des billets de la série “ Unleash the power of MDT2010/2012” :

Unleash the power of MDT 2010/2012 – Part 1 : Présentation
Unleash the power of MDT 2010/2012 – Part 2 : Tests & logs
Unleash the Power of MDT 2010/2012 – Part 3 : Securité
Unleash the Power of MDT 2010/2012 – Part 4 : CustomSettings.ini
Unleash the Power of MDT 2010/2012 – Part 5 : Applications
Unleash the Power of MDT 2010/2012 – Part 6 : SQL Database
Unleash the Power of MDT 2010/2012 – Part 7 : Web Services
Unleash the Power of MDT 2010/2012 – Part 8 : Scripts VBS
Unleash the Power of MDT 2010/2012 – Part 9 : UserExit Scripts
Unleash the Power of MDT 2010/2012 – Part 10 : WinPE

Unleash the Power of MDT 2010/2012 – Part 4 : CustomSettings.ini


14695844_14695844_xl

Cette partie est consacrée aux Rules de MDT. Comme le nombre d’option configurables doit dépasser la centaine, je ne reprendrais que ce qu’il y a dans la vidéo, Michael Niehaus ayant opté pour des commandes moins classique ou qui posent régulièrement des problèmes aux utilisateurs.

Les Rules sont accessibles en cliquant bouton droit sur : Deployement share>propriétés>Rules

Mdt-rulesPanel_thumb2

Les Rules définissent des propriétés qui seront partagés à tout les éléments de votre  Deployment Share, cela signifies que toutes vos Task Sequence utilisent les même Rules.

Les Rules sont stockées dans un fichier CustomSettings.ini stockée dans le répertoire ..DeplomentShare\Control

Vous pouvez ajoutez des commentaires avec le caractère “:”.

Les variables d’environnement de type %var% sont supportées.

L’ensemble des propriétés utilisables utilisables dans CustomSettings.ini sont décrites dans le fichier d’aide de MDT à la section : Microsoft deployment toolkit documentation libraire > Microsoft deployment toolkit Reference > Properties > Property Definition

De nouvelles propriétés, non incluses dans l’aide d’MDT sont également décrites ici. 

 

Voici maintenant quelques propriétés  utiles que vous pouvez y inclure.

Fichier de Logs

  • SLShare=\\mdt-server\logs : copie les logs du client dans le répertoire du serveur à la fin du déploiement.
  • SLShareDynamicLogging=\\mdt-server\log\dynamic\%ComputerName% Copie les logs en temps réel sur le serveur. (Le nom de répertoire dynamique est obligatoire pour que cela fonctionne).

Rejoindre un domaine

  • Voici les commandes à ajouter pour que votre machine puisse rejoindre un domaine  automatiquement :

JoinDomain=MonDomain.com
DomainAdmin=administrateur
DomainAdminDomain=MonDomain.com
DomainAdminPassword=P@ssW0rd
SkipDomainMembership=YES
(évite d’afficher la fenêtre pendant le déploiement)
MachineObjectOU=OU=Workstation, DC=MonDomain, DC=Com

Attention ne pas spécifier de valeur CN, cela ne fonctionne pas ! Toujours spécifier une OU et pas un conteneur !

Recommandation : le mot de passe sera écrit en claire dans le fichier CustomSettings.ini, il faut donc :

Protéger l’accès du Deployment Share en autorisant que les comptes habilités à déployer.

N’utiliser que le compte utilisateur spécial qui a les droits de rejoindre le domaine , et ne jamais utiliser le compte d’administrateur de domaine.

Si la machines déclarée existe déjà dans l’OU spécifié, elle ne sera pas mise à jour. Le compte d’ordinateur restera dans son OU d’origine est sera mis à jour au niveau du mot de passe, mais ne bougera pas !

 

Reboot

  • Voici comment spécifier un reboot à la fin de l’installation

FinishAction = Logoff
ou Reboot
ou shutdown
ou restart

Variables

  • Si vous avez besoin d’ajouter vos propres variables pour y stocker des valeurs intermédiaires. Utilisez la propriété Properties afin de les créer :

Properties=MaVariable01,MaVariable02

Puis, lorsque vous en avez besoin :

MaVariable01=OSDComputerName

 

Customsettings.ini vs Boostrap.ini

Même si les deux fichiers peuvent contenir sensiblement les mêmes informations, ils ne s’utilisent pas dans les mêmes phases et son utilisés à des endroits différents.

Customsettigs.ini. est stocké sur le partage de déploiement. Il ne sera utilisé qu’une fois que WinPE aura démarré et se sera connecté au partage de déploiement.

Bootstrap.ini est copié dans l’image WinPE lorsque vous mettez à jour votre Deployment Share.

Il contient toutes les informations nécessaire à MDT pour établir une connexion avec le partage de déploiement :

  • Le chemin UNC du partage de déploiement.
  • Les login/password pour s’y connecter.
  • La langue clavier
  • Facultatif : le skip de la page d’accueil de MDT (SkipBDDwelcome = Yes)

Lorsque vous modifiez Bootstrap.ini il est impératif de mettre à jour le partage de déploiement (Update deployment share) afin que le fichier à jour soit intégré à la nouvelle images WinPE.

Retrouvez-ci dessous l’ensemble des billets de la série “ Unleash the power of MDT2010/2012” :

Unleash the power of MDT 2010/2012 – Part 1 : Présentation
Unleash the power of MDT 2010/2012 – Part 2 : Tests & logs
Unleash the Power of MDT 2010/2012 – Part 3 : Securité
Unleash the Power of MDT 2010/2012 – Part 4 : CustomSettings.ini
Unleash the Power of MDT 2010/2012 – Part 5 : Applications
Unleash the Power of MDT 2010/2012 – Part 6 : SQL Database
Unleash the Power of MDT 2010/2012 – Part 7 : Web Services
Unleash the Power of MDT 2010/2012 – Part 8 : Scripts VBS
Unleash the Power of MDT 2010/2012 – Part 9 : UserExit Scripts
Unleash the Power of MDT 2010/2012 – Part 10 : WinPE

samedi 27 août 2011

Unleash the Power of MDT 2010/2012 – Part 3 : Securité

j0442310

Dans cette troisième partie, je reviens sur la manière la plus simple de sécuriser MDT sans en restreindre les possibilités. En dehors de la sécurisation du Deployment Share avec NTFS (interdictions à tout le monde sauf aux utilisateurs authentifiés). Voici quelques considérations sur les comptes utilisateurs employés pour travailler avec MDT.

Sachez, qu’Il n’est nullement besoin de disposer d’un compte administrateur de domaine pour qu’ MDT puisse déployer des postes. Vous pouvez travailler avec 2 comptes aux droits restreint :

  • Un compte utilisateur standard du domaine : pour permettre aux scripts MDT s’exécutant sur les postes client de se connecter au partage de déploiement.
  • Un compte utilisateur capable uniquement d’autoriser les machine à rejoindre le domaine.

Je ne reviens pas sur la création d’un compte standard, par contre voici les options à spécifier pour créer un compte standard capable de rejoindre un domaine :

Votre organisation dispose probablement dans Active Directory d’une OU dans laquelle sont placés toutes les machines du domaine. Nous allons travailler sur cette OU. Si vous êtes en environnement de test , créez une OU que vous pourrez nommer par exemple Workstations.

  • Créez un compte utilisateur standard, J’ai crée pour cet exemple un compte nommé MDT-Join.
  • Dans la console Active Directory cliquez sur le Menu Affichage>Fonctionnalités avancés
  • Sur votre OU, en cliquant bouton droit, sélectionnez Propriétés puis l’onglet Sécurité. Cliquez ensuite sur le bouton Avancé
  • Dans la fenêtre qui vend de s’ouvrir, cliquez sur Ajouter, et choisirez votre compte MDT-Join

cap1_thumb5

  • Dans la fenêtre Autorisation pour Workstations, faites défiler la liste pratiquement jusqu'à la fin, et cochez les autorisations de création et de suppression d’objets ordinateur. Puis validez par le bouton OK.

cap2_thumb2

  • Sur la Fenêtre Paramètres de sécurité avancés pour Workstations, cliquez à nouveau sur Ajouter en choisissant toujours le compte MDT-Join.
  • Dans la fenêtre Autorisation pour Workstations, changer le champ Appliquer à par Objets Ordinateur descendants, puis autorisez les options suivantes :
    • Lire toutes les propriétés
    • Ecrire toutes les propriétés
    • Autorisations de lecture
    • Modifier les autorisations
    • Ecriture validée vers le nom d’hôte DNS
    • Ecriture validée vers le nom principal
    • Modifier le mot de passe
    • Réinitialiser le mot de passecap3_thumb2

cap4_thumb3

  • Validez par OK toutes les fenêtres ouvertes, le compte MDT-Join est Opérationnel !

Retrouvez-ci dessous l’ensemble des billets de la série “ Unleash the power of MDT2010/2012” :

Unleash the power of MDT 2010/2012 – Part 1 : Présentation
Unleash the power of MDT 2010/2012 – Part 2 : Tests & logs
Unleash the Power of MDT 2010/2012 – Part 3 : Securité
Unleash the Power of MDT 2010/2012 – Part 4 : CustomSettings.ini
Unleash the Power of MDT 2010/2012 – Part 5 : Applications
Unleash the Power of MDT 2010/2012 – Part 6 : SQL Database
Unleash the Power of MDT 2010/2012 – Part 7 : Web Services
Unleash the Power of MDT 2010/2012 – Part 8 : Scripts VBS
Unleash the Power of MDT 2010/2012 – Part 9 : UserExit Scripts
Unleash the Power of MDT 2010/2012 – Part 10 : WinPE

Unleash the power of MDT 2010/2012 – Part 2 : Tests & logs

 bildschirmgeraete-gross

Dans ce billets vous apprendrez comment tester Task Sequences et Applications ainsi que l’emplacement des logs qui vous permettrons de troubleshooter.

Tester sans déployer !

-Vous souhaitez tester une partie de votre séquence de déploiement sans avoir à ‘jouer’ toute l’installation ?

- Vous souhaiter vérifier qu’une application ou qu'un groupe d’applications s’installent correctement ? 

Voici comment tester uniquement les partie de votre choix.

Ouvrez MDT, puis, avec le bouton droits sur Task Sequence : Créer une nouvelle “Task Sequence”.

Choisissez le template “Custom task sequence” (Pas besoin de mettre à jour le deployment share)

Vous constatez que la séquence de déploiement ne contient qu’une étape. Cette étape une fois exécutée affichera le panel de sélection des applications. Vous n’aurez plus qu’a sélectionner celles dont vous voulez vérifier le bon fonctionnement. 

Pensez à mettre l’option  SkipApplications=YES à NO si vous l’avez spécifié dans vos Rules. Sinon le Panel de sélection d’Application restera invisible.

Customsequence

Cependant, rien ne vous empêche d’ ajouter à cette séquence toutes étapes dont vous souhaiteriez vérifier le bon  fonctionnement.

Si ces étapes s’appuient sur des informations que vous avez définies dans vos Rules ou alors sur des Proprietes d’MDT (isDesktop, isVM etc..) ; Ajoutez l’étape Gather avant vos étapes de test.

Custom TS

Enfin, le lancement de cette Task Sequence ne s’effectue pas par un démarrage de WinPE, mais bien sur un ordinateur déjà allumé de la manière suivante :

Sur le poste client de test,

Se connecter au Deployment Share en mappant un drive (Z dans cet exemple), puis dans le sous répertoire Scripts, lancer litetouche.vbs. Voici l’ensemble des commandes à saisir pour realiser cette tache :

Net Use Z: \\mdt-server\deploymenshare$ /user:MyDomain\admindc P@ssW0rd
Z :
Cd scripts
Cscript Litetouch.vbs

Si vous avez plusieurs Depolyment Share, et que les bonnes Task Sequences ne s’affichent pas lorsque vous lancez le script, c’est que vous devez effacer ou renommer (rmdir) le répertoire local C:\MININT sur le poste client

La séquence se lance et fait toutes les opérations contenu dans la Task Saquence sans déployer d’OS ! Simple et pratique !… 

 

Logs Divers

Comme nous venons de le voir, LiteTouch.vbs est le script qui permet de lancer MDT. Ce script va logger l’ensemble du déploiement, lancer le wizard en fonction des paramètres définis dans les Rules (CustomSettings.ini). Mais également mettre en places les variables définies dans les Rules ou la Database.

Vous pouvez avoir un aperçu détaillé de ces variables en allant voir à tout moment le fichier de log de MDT. Le fichier de Log permet également de savoir quels informations WMI ont étés remontés du poste client. Ces Logs sont dans :

C:\MININT\SMSOSD\OSDLOGS  au cours du déploiement

C:\Windows\Temp\DeploymentLogs si le déploiement est fini !

X:\MININT\SMSOSD\OSDLOGS si vous êtes sous WinPE est que le disque local n’as pas encore été formaté

Si vous ne souhaitez pas parcourir tout les logs et connaitre directement les variables d’environnement que litetouch.vbs à généré, vous pouvez aller les lire dans le fichier xml : C:\MININT\SMSOSD\VARIABLE.DAT (changez le .DAT en .XML pour qu’il s’ouvre dans IE)

Vous y trouverez notamment le model et la marque de PC que le script à détecté, le type de machine (isDesktop/isLaptop/isVM) etc etc…

L’ensemble de ces variables pourront êtres utilisées dans vos scripts, vos Task Sequences et vos Rules tout au long du déploiement.

 

Les Logs sont accessibles à tout moment du déploiement, cependant vous aurez peu être besoin d’ouvrir une invite de commande pour aller les lires :

Appuyez sur F8 lorsque vous êtes sous WinPE pour ouvrir une invite de commande.

Appuyez sur SHIFT+F10 durant toutes les autres Phases du déploiement.

Enfin,  Pour rendre la lecture des logs moins aride, utilisez Trace32 ou Trace64 pour en avoir une vision claire :Trace32

Retrouvez-ci dessous l’ensemble des billets de la série “ Unleash the power of MDT2010/2012” :

Unleash the power of MDT 2010/2012 – Part 1 : Présentation
Unleash the power of MDT 2010/2012 – Part 2 : Tests & logs
Unleash the Power of MDT 2010/2012 – Part 3 : Securité
Unleash the Power of MDT 2010/2012 – Part 4 : CustomSettings.ini
Unleash the Power of MDT 2010/2012 – Part 5 : Applications
Unleash the Power of MDT 2010/2012 – Part 6 : SQL Database
Unleash the Power of MDT 2010/2012 – Part 7 : Web Services
Unleash the Power of MDT 2010/2012 – Part 8 : Scripts VBS
Unleash the Power of MDT 2010/2012 – Part 9 : UserExit Scripts
Unleash the Power of MDT 2010/2012 – Part 10 : WinPE

Unleash the power of MDT 2010/2012 – Part 1 : Présentation

image403_thumb3

Bonjour à tous,

"libérez le pouvoir d' MDT 2010" est une traduction libre inspirée d’une conférence portant le même nom qui fut présentée lors des TechEd 2010.

Le but de cette traduction est de vous présenter les fonctionnalités les plus avancées du logiciel afin de donner plus de puissance à vos déploiement/migrations vers Windows 7!

Les principales informations que je vous présenterai sont issues notamment des présentations de Michael Niehaus et de Tim Mintner qui participent tout deux au développement du logiciel. Des informations issues d’une session de Johan Arwidmark sont également présentes.

Lorsque j’ai commencé ce billet, MDT en été à la version 2010, depuis une version 2012 est sortie en Beta. Sachez que toutes les informations donnée ici restent valables pour la version 2012.

Avant de commencer, certain parmi vous ne connaissent peut être pas MDT.Voici donc en billet introduction ; une présentation succincte du produit ainsi qu’une série de liens utiles pour vous y mettre en toute quiétude !

MDT 2010/2012 c'est quoi donc ?

MDT est la solution de déploiement gratuite de Microsoft. Elle permet de personnaliser et de déployer tout OS entre Windows XP et Windows Server 2008 R2 sur tout type de format (CD/USB/LAN) et quelques soit le nombre de machines à installer.

C'est une solution puissante et dynamique. Elle facilite l'intégration des drivers, des patches de sécurité, des services pack, mais aussi des applications tiers.

Elle permet d'unifier sous une seul interface graphique : le WAIK, WinPE, ImageX et DISM en s'affranchissant définitivement des lignes de commandes qui permettent d’exploiter ces outils..

Bref c'est la Rolls du déploiement automatisé et à dire vraie, c'et encore mieux que ça !…

Comment s'y mettre ?

Sur le net, vous trouverez de très bonne mise en jambe en français sur le site de Yannick Plavonil ou sur TuxWin Mag. Si vous lisez l’Anglais je vous recommande également de lire l’excellente série en 29 épisodes de Mitch Tulloch.  Mais si vous souhaitez apprendre pas à pas avec des base solide, je ne saurais trop vous recommander la lecture (en Anglais) du livre de Mike Nystrom & Johan Arwidmark : Deployment Fundamentals -vol 1.


Le livre est d'une rare beauté... Pour avoir déjà lu quelque bouquins technique, jamais se ne fut aussi agréable. Un style simple et claire. une mise en page aérée, et surtout du contenu utile. Même si votre Anglais est moyen vous n'aurez pas de difficulté à le lire.

Par contre si vous ne parlez pas cette langue, vous aurez du mal à trouver aussi bien en français. Il y' a bien ces livres, mais les partie consacrée à MDT sont trop succinctes pour en justifier l'achat.

Voila donc de quoi vous faire tranquillement la main, la traduction de la vidéo commencera concrètement dans mon prochain billet sur MDT.

Sachez malgré tout que je ne reviendrai pas sur sur tout ce qui concerne la mise en place d’une infrastructure MDT, ni sur les étapes de base du déploiement d’OS (Le présent billet et là pour vous permettre d’acquérir ces basses). La session vidéo est d’un niveau 400, c’est à dire qu’il ne s’agit pas d’une session d’initiation, mais plutôt d’un session pour utilisateurs avancés.

Je vous souhaite donc de bien vous amuser en mettant la main sur ce produit génial qu'est MDT et vous donne rendez-vous très bientôt pour le prochaine épisode.

Retrouvez-ci dessous l’ensemble des billets de la série “ Unleash the power of MDT2010/2012” :

Unleash the power of MDT 2010/2012 – Part 1 : Présentation
Unleash the power of MDT 2010/2012 – Part 2 : Tests & logs
Unleash the Power of MDT 2010/2012 – Part 3 : Securité
Unleash the Power of MDT 2010/2012 – Part 4 : CustomSettings.ini
Unleash the Power of MDT 2010/2012 – Part 5 : Applications
Unleash the Power of MDT 2010/2012 – Part 6 : SQL Database
Unleash the Power of MDT 2010/2012 – Part 7 : Web Services
Unleash the Power of MDT 2010/2012 – Part 8 : Scripts VBS
Unleash the Power of MDT 2010/2012 – Part 9 : UserExit Scripts
Unleash the Power of MDT 2010/2012 – Part 10 : WinPE