mercredi 18 avril 2012

LocalGPO : Backup & installation automatisée de GPO locale, simple et efficace.

 wallpaper-72456

Pour l’un de mes clients, j’ai dû  automatiser la création d’un master Windows 7 avec MDT qui jusqu’alors était crée manuellement. Petit problème au cours de l’opération, les paramétrages de GPO du master original n’était pas documentés et il fallait évidement les intégrer à l’identique…

Pas de panique, il y’a une solution : LocalGPO de Microsoft.

Cette application qui est en fait un script est distribuée en complément du fameux SCM, Security Compliance Manager disponible ici.

SCM est une solution complète de gestion des stratégies de sécurité déployées sur les serveurs comme les Workstation. Cependant, SCM nécessite l’installation d’une base SQL Express, ce qui est bien au delà de nos modestes besoins. Nous allons donc depacker SCM pour en retirer uniquement LocalGPO.msi.

 

Extraction de LocalGPO.msi

A l’aide de Winrar, ouvrez l’exécutable de SCM et sortez en tout les fichiers.

puis ouvrez une invite de commande à l’endroit ou se trouve les fichiers extrait et tapez la commande suivante : Msiexec /a scmsetupx64.msi  (ou Msiexec /a scmsetupx86.msi en fonction de votre type de processeur).

scm

Deux répertoires nommés PFiles et Baselines seront alors crées à la racine de votre disque C ou D.

Vous pouvez alors récupérer LocalGPO.msi dans le sous répertoire ..\PFiles\Microsoft Security Compliance Manager\LGPO

 

Backup des GPO

sur une machine fraichement installée et dont les paramètres GPO Locaux ont étés configurés par vos soins, ou comme c’était mon cas ; sur une machine déjà configurée :

Installer LocalGPO.msi
Dans une invite de commande en mode admin tapez les commandes suivantes :

Cd "Program Files\LocalGPO"
Md C:\GPOBackups
Cscript LocalGPO.wsf /Path:"c:\GPOBackups" /Export /GPOPack:MyMachine-GPO

Les GPO sont maintenant sauvées dans C:\GPOBackups\MyMachine-GPO

Mettez en sureté le répertoire GPOBackups, il contient notre sauvegarde.

 

 

Restauration des GPO

Sur la machines qui doit recevoir les GPO, copiez le répertoire GPOBackups à la racine du C:\

Dans une invite de commande en mode admin tapez les commandes suivantes :

Cd C:\GPOBackups\MyDomainGPO
Cscript GPOPack.wsf /Path:C:\GPOBackups\MyMachine-GPO

Ou pour réaliser une installation silencieuse

Cscript GPOPack.wsf /Path:C:\GPOBackups\MyMachine-GPO /silent

C’est terminé, votre PC vient de récupérer les GPO à l’identique de la machine source. Vous pouvez lancer Gpedit.msc pour vous en convaincre. Genial non !!!

 

Intégration à MDT

Sur MDT 2010 :

Dans votre Task Sequence, placez vous dans la phase State Restore quelque part avant l’étape Prépare to capture,

puis cliquez sur Add > General > Run Command Line et ajoutez la commande suivante

Cscript.exe "%ResourceDrive%\Applications\GPOBackups\GPOPack.wsf" /Path:"%ResourceDrive%\Applications\GPOBackups\MyMachine-GPO" /Silent

MDT2010

Et enfin, copiez le dossier GPOBackups dans le répertoire Application de votre Deployment Share.

Sur MDT 2012 :

La nouvelle version d’MDT gère nativement les packages de GPO. Vous pouvez retrouver des informations très complètes sur le sujet dans ce billet de Ben Hunter et cet autre billet de Johan Arwidmark.

 

Best Practices

Evitez de modifier l’option ‘Renommer le compte administrateur’ dans vos GPO à capturer. Car une installations via le WAIK,MDT ou SCCM se base sur le compte administrateur défini dans le fichier unattend.xml.

Si vous appliquez un GPO-pack avec l’option ‘Renommer le compte administrateur’ durant votre déploiement, au prochain reboot de votre machine. Il ne sera pas possible d’ouvrir une session Windows… (Oops…)

beforeThisPolicy2

A savoir également : des GPO capturées sur un OS 32 Bits fonctionneront sur un OS 64 Bits et vice versa.

How to download MMS 2012 technical sessions

mms2012

If you don't know it yet, Microsoft is currently holding one of his biggest event this year: the MMS. Hundreds of technical conferences about Windows 8, version  2012 of Sccm, Scvmm, Scom, Scsm and so on delivered by cutting hedge engineers in the land of Las Vegas.

Best of all: all this science can be watched online freely at this page.

If like me, you travel every days, you'll surely love to back up some of this content for an offline viewing, Don’t you???!!...

Here is how to do it:

  • First, download GetAsfStream from here.
  • You will also need Google Chrome at some point. I'm sure you can achieve the same result with another browser, but if you want to get the job done fast, give Chrome a try it's really an amazing tool.

Install Chrome and GetAsfStream. Launch both and go to the MMS session page with the browser (you need to login).

Choose a session to watch, when the video start, go to the chrome menu (the screw key), select tools and then tool for developer.

A window at the bottom of Chrome will popup. Click on Resources and in the tree-view expand Frame > (Server.nxp) > ShowFloorFrame > (Server.nxp) > Other

The video file is just here with that WMV extension.

image

To catch it, right click to open it in a new tab, copy the URL from the address bar then GetAsfStream should fire asking if you want to download the file :

image

Before processing, remove the “S” from the “HTTPS” word in the URL

image

Click Add, then click the red button

The download start… enjoy life, enjoy MMS, you’re done!!!

image

jeudi 5 avril 2012

Quelque outils en ligne de commande pour Windows PE X64

417606_1330072329_large

Windows PE 64 bits dispose d’une singularité qu’il est bon de connaitre si vous voulez faire du Script/Batch : il ne dispose pas du mode WoW (Windows on Windows) !

Qu’est-ce que cela veut dire : tout simplement qu’un PE X64 est incapable de faire tourner une application 32 bits  comme un Seven X64 sait naturellement le faire.

Il est donc indispensable que toute application que vous souhaiteriez inclure dans votre PE existe en version 64 bits…

Evidemment, c’est plus facile à dire qu’a trouver, surtout pour certaines commandes que nous avons tous l’habitude d’utiliser dans nos batches et qui n’existent toujours pas au formats 64 bits…petit florilège :

Vidchang.exe : qui permet de changer la résolution de l’écran en ligne de commande, sera avantageusement remplacée par Nircmd (avec le switch setdisplay) dans vos PE X64 ;

CMDOW.exe/MinWin.exe : qui permettent de cacher la fenêtre DOS lors du lancement d’un Batch n’a aucun équivalent direct en 64 bits. J’ai malgré tout réussi à trouver une commande qui permet de lancer un batch de façon cachée, il s’agit de Hstart (avec le switch /noconsole). Payant depuis la version 4, j’ai retrouvé une version 3.2 libre de droits sur Wayback Machine.

Hidden Start v3.2

Sleep.exe : pour faire des pauses, à un équivalent X64 que vous pouvez télécharger sur MSFN après avoir crée un compte.

Il y en a surement d’autres, n’hésitez pas à m’en faire part dans vos commentaires.

Windows 8 : Installation silencieuse et automatique (Unattended) –Part 3–Composants Microsoft

Gasper__s_Last_Wish_by_KhaoticStorM

Dans le précèdent billet, nous avons vu comment automatiser l’installation de Windows 8 sur votre PC, je vais vous expliquer dans ce billet comment y ajouter les principaux composants Windows.

Ajout du .Net Framework 3.5

Vous l’avez probablement constaté si vous avez installé Windows 8, l’exécution de  nombreuses applications avorte lamentablement par absence de Framework installé. Le plus drôle, c’est que les sources de ce Framework sont inclut dans iso de Windows 8, mais ne sont pas installées par défaut (Vous les trouverez dans ..\sources\sxs).

Nous allons automatiser l’installation de ce Framework en ajoutant une commande d’installation au fichier Autounatended.xml. 

Lancez WSIM (Windows Système image manager) et ouvrez avec, le fichier AutoUnatended.xmd. Ajoutez la section suivante :

Phase Specialize

Microsoft-Windows-Deployment_neutral > RunSynchronous > RunSynchronousCommand

Description =Install MS Composant Description
Order = 1 Ordre d’exécution des commandes
Path = cmd /c %systemdrive%\hotfix.cmd chemin de la commande
WillReboot = Never Force le reboot en fin d’exécution

Enregistrez ces modifications, et rendez vous dans le répertoire Sources de votre clé USB.

Créez alors un répertoire $OEM$ et un sous répertoire $1. Dans ce sous répertoire créez alors un fichier hotfix.cmd, et copiez y le contenu si dessous :

REM .Net Framework 3.5.1
@ECHO OFF
FOR %%M IN (D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%M:\Autounattend.xml SET M=%%M
SET SRC=%M%:
Dism.exe /online /enable-feature /featurename:NetFX3 /Source:%SRC%\sources\sxs /LimitAccess

Voila, le problème du Framework est réglé, ajoutons maintenant à notre image des KB Microsoft

Patch/RSAT/Langage Pack Microsoft

Il est en effet possible d’intégrer au sein de votre image d’installation différents KB de sécurité ou langage Packs. Bien sûr, à l’heure ou j’écris ces lignes il n’y à pas encore de patches de sécurités disponibles pour Windows 8 Consumer Preview. Cependant, nous allons installer le package contenant les outils d’administration à distance (RSAT) qui s’intègre strictement de la même manière qu’une mise à jour de sécurité.

Vous pouvez télécharger selon vos besoins un ou plusieurs des packages suivants :

- Le RSAT
- Une langue additionnelle (je vous explique comment les télécharger plus bas..)
- Silverlight 5
- VC++ 2005/2008/2010 MFC & ALT Redistribuable Packages
- Media player pour Chrome & Firefox
- Nettoyage\vérification de virus

Pour réaliser ces opérations nous allons travailler en mode “Offline”, c’est à dire que nous allons modifier l’image d’installation (Install.WIM) avant de la déployer.

Pour ce faire, créez un répertoire sur votre disque dure, en vérifiant qu'il vous reste au moins 8 Go d’espace libre. Ce répertoire va nous permettre de copier l’ensemble des fichier contenus au sein d’Install.WIM.

Pour les exemples, j’utiliserai un répertoire nommé D:\[Mount]\Win8 et un lecteur O:\ qui représentera ma clé USB.

Ouvrez une invite de commande en mode administrateur et tapez la commande suivante :

Dism /Mount-Wim /WimFile:O:\sources\install.wim /index:1 /MountDir:D:\[Mount]\Win8

Après quelques minutes d’exécution, la commande s’achève, L’ensemble des fichiers d’installation est maintenant “mounté” et accessible via le répertoire D:\[Mount]\Win8

 

Intégration de Packages/Hotfix

Une fois l’image “mounté”, l’intégrations du RSAT se fait de façon très simple en exécutant la commande suivante :

Dism /Image:"D:\[Mount]\Win8" /Add-Package /PackagePath:"D:\Tempo\Windows6.2-KB958830-x64-RSAT.msu"

Cependant, même si nous avons intégré les outils d’administration à distance, ceci ne seront pas visibles dans le panneau de configuration sans quelques paramétrages supplémentaires. que nous allons intégrer à notre fichier Hotfix.cmd.

Ajoutez les commandes suivantes afin que les principales console de prise en main à distance (AD,Hyper-V,Gpmc, etc…) se retrouvent bien dans votre panneau de configuration:

Dism /Online /Enable-Feature /featurename:RemoteServerAdministrationTools /featurename:RemoteServerAdministrationTools-Roles /featurename:RemoteServerAdministrationTools-Roles-AD /featurename:RemoteServerAdministrationTools-Roles-AD-DS /featurename:RemoteServerAdministrationTools-Roles-AD-DS-SnapIns /featurename:RemoteServerAdministrationTools-Roles-AD-DS-AdministrativeCenter /featurename:RemoteServerAdministrationTools-Roles-AD-Powershell /featurename:RemoteServerAdministrationTools-Features /featurename:RemoteServerAdministrationTools-Features-GP

Intégration de language Pack

L’intégration d’un language pack est un petit peu plus ardu, car Microsoft ne propose pas encore de téléchargement officiel. Cependant une petite astuce va nous permettre de les récupérer quand même :

Sur un Windows 8 déjà installé, Rendez-vous dans le panneau de configuration sélectionnez Langue dans le menu Horloge, langue et région

image

Ajoutez une langue qui à l’option “Disponible en téléchargement”

image

Puis cliquez dessus pour la télécharger. Lors de l’affichage du téléchargement, notez le numéro du KB.

kb

Une fois le téléchargement terminé, recherchez ce même KB dans le répertoire C:\Windows\SoftwareDistribution\Download

kb2

Ce fichier CAB est intégrable à l’image WIM de la même manière que le RSAT via la commande suivante :

Dism /Image:"D:\[Mount]\Win8" /Add-Package /PackagePath:"D:\Tempo\Windows8ConsumerPreview-KB2607607-x64-CHS.cab"

Afin de finaliser l’intégration des divers packages Microsoft nous allons fermer l’image WIM via la commande suivante :

Dism /Unmount-Wim /Mountdir:D:\[Mount]\Win8 /Commit

L’enregistrement des modifications peut prendre un temps certain. Cela est normal.

image

Une fois l’opération terminée, nous allons spécifier dans notre fichier de réponse quels nouveaux features ou langage nous souhaitons installer. 

 

Activations de Fonctionnalités(Features)

Ouvrez WSIM, et rechargez votre fichier AutoUnatended.XML. Vous devriez en toute logique être prompté pour mettre à jour le catalogue de votre image WIM fraichement modifié. cliquez sur Oui !

image

 

 

Installation de plusieurs interfaces en langues différentes

Dans la mesure ou nous avons intégré nos packs de langue dans l’image d’installation, ces langue font désormais partie de l’OS à déployer. vous pouvez le constater avec WSIM en déroulant le menu Packages > LanguagePack 

image

Pour ajouter les langues de votre choix à votre installation de Windows 8, cliquez Bouton droit sur les languages Pack choisis, puis sélectionnez Ajouter au fichier de réponses, afin que les packages soient inclus lors de l’installation.

lgpack

 

 

Activation d’ Hyper-V

L’une des fonctionnalité qui m’a séduite dans Windows 8, c’est l’intégration du rôle Hyper-V en remplacement de Virtual-PC. Je mets donc un point d’honneur à activer ce rôle dés l’installation de l’OS.

Si votre microprocesseur ne supporte pas la virtualisation, vous pouvez passer directement à l’étape suivante et faire une croix sur Hyper-V, pour les autres voici comment l’activer :

Dans WSIM vous allez sélectionner votre option non pas parmi les Components, mais parmi les Packages dans :

Packages > Foundation > Microsoft-Windows-Foundation-Package et cliquez Bouton droit > Ajouter au fichier de réponses

image

Puis dans la fenêtre de droite, ajoutez les composants Hyper-V comme indiqué sur cette image.

image

 

Ajout de Composant Microsoft

Dernier point : comment intégrer des composants tels que Silverlight ou les VC++ redistribuables packages dans votre image ?

Comme ces package ne s’intègrent directement au sein de l’image WIM, nous allons les installer tel des applications supplémentaire.

Première étape, nous allons ajouter à notre architecture de répertoire $OEM$ un sous répertoire HOTFIX dans lequel nous placeront les différents exécutables de Silverlight, VC++ 2005/2008/2010 etc…

Pour automatiser leur installation nous n’avons plus qu'à modifier notre fichier Hotfix.cmd en y ajoutant les commandes suivantes (à modifier selon ce que vous avez décidé d’intégrer !) :

SET DSK=%~d0e
cd\

Rem VC++
start /wait %DSK%\Hotfix\vcredist2005-SP1-ALT_x64.exe /q
start /wait %DSK%\Hotfix\vcredist2008-SP1-ALT_x64.exe /q
start /wait %DSK%\Hotfix\vcredist2005-SP1_x64.exe /q
start /wait %DSK%\Hotfix\vcredist2008-SP1-MFC_x64.exe /q
start /wait %DSK%\Hotfix\vcredist2008-SP1-ALT_x64.exe /q
start /wait %DSK%\Hotfix\vcredist2010-SP1_x64.exe /q

Rem Virus-cleaner
start /wait %DSK%\Hotfix\windows-kb890830-x64-v4.3.exe /q

Rem Silverlight 5
start /wait %DSK%\Hotfix\Silverlight5.0.61118.0-x64.exe /q

Rem Media Player plugin for Firefox/Chrome
Msiexec /I %DSK%\Hotfix\ffplugin.msi /qb

Nous en avons terminé avec les composants Microsoft, Dans le prochain billet sur Windows 8 je vous expliquerez comment intégrer vos drivers. D’ici là, je vous laisse vous amusez et prendre le contrôle petit à petit de votre installation de Windows 8.