mercredi 18 avril 2012

LocalGPO : Backup & installation automatisée de GPO locale, simple et efficace.

 wallpaper-72456

Pour l’un de mes clients, j’ai dû  automatiser la création d’un master Windows 7 avec MDT qui jusqu’alors était crée manuellement. Petit problème au cours de l’opération, les paramétrages de GPO du master original n’était pas documentés et il fallait évidement les intégrer à l’identique…

Pas de panique, il y’a une solution : LocalGPO de Microsoft.

Cette application qui est en fait un script est distribuée en complément du fameux SCM, Security Compliance Manager disponible ici.

SCM est une solution complète de gestion des stratégies de sécurité déployées sur les serveurs comme les Workstation. Cependant, SCM nécessite l’installation d’une base SQL Express, ce qui est bien au delà de nos modestes besoins. Nous allons donc depacker SCM pour en retirer uniquement LocalGPO.msi.

 

Extraction de LocalGPO.msi

A l’aide de Winrar, ouvrez l’exécutable de SCM et sortez en tout les fichiers.

puis ouvrez une invite de commande à l’endroit ou se trouve les fichiers extrait et tapez la commande suivante : Msiexec /a scmsetupx64.msi  (ou Msiexec /a scmsetupx86.msi en fonction de votre type de processeur).

scm

Deux répertoires nommés PFiles et Baselines seront alors crées à la racine de votre disque C ou D.

Vous pouvez alors récupérer LocalGPO.msi dans le sous répertoire ..\PFiles\Microsoft Security Compliance Manager\LGPO

 

Backup des GPO

sur une machine fraichement installée et dont les paramètres GPO Locaux ont étés configurés par vos soins, ou comme c’était mon cas ; sur une machine déjà configurée :

Installer LocalGPO.msi
Dans une invite de commande en mode admin tapez les commandes suivantes :

Cd "Program Files\LocalGPO"
Md C:\GPOBackups
Cscript LocalGPO.wsf /Path:"c:\GPOBackups" /Export /GPOPack:MyMachine-GPO

Les GPO sont maintenant sauvées dans C:\GPOBackups\MyMachine-GPO

Mettez en sureté le répertoire GPOBackups, il contient notre sauvegarde.

 

 

Restauration des GPO

Sur la machines qui doit recevoir les GPO, copiez le répertoire GPOBackups à la racine du C:\

Dans une invite de commande en mode admin tapez les commandes suivantes :

Cd C:\GPOBackups\MyDomainGPO
Cscript GPOPack.wsf /Path:C:\GPOBackups\MyMachine-GPO

Ou pour réaliser une installation silencieuse

Cscript GPOPack.wsf /Path:C:\GPOBackups\MyMachine-GPO /silent

C’est terminé, votre PC vient de récupérer les GPO à l’identique de la machine source. Vous pouvez lancer Gpedit.msc pour vous en convaincre. Genial non !!!

 

Intégration à MDT

Sur MDT 2010 :

Dans votre Task Sequence, placez vous dans la phase State Restore quelque part avant l’étape Prépare to capture,

puis cliquez sur Add > General > Run Command Line et ajoutez la commande suivante

Cscript.exe "%ResourceDrive%\Applications\GPOBackups\GPOPack.wsf" /Path:"%ResourceDrive%\Applications\GPOBackups\MyMachine-GPO" /Silent

MDT2010

Et enfin, copiez le dossier GPOBackups dans le répertoire Application de votre Deployment Share.

Sur MDT 2012 :

La nouvelle version d’MDT gère nativement les packages de GPO. Vous pouvez retrouver des informations très complètes sur le sujet dans ce billet de Ben Hunter et cet autre billet de Johan Arwidmark.

 

Best Practices

Evitez de modifier l’option ‘Renommer le compte administrateur’ dans vos GPO à capturer. Car une installations via le WAIK,MDT ou SCCM se base sur le compte administrateur défini dans le fichier unattend.xml.

Si vous appliquez un GPO-pack avec l’option ‘Renommer le compte administrateur’ durant votre déploiement, au prochain reboot de votre machine. Il ne sera pas possible d’ouvrir une session Windows… (Oops…)

beforeThisPolicy2

A savoir également : des GPO capturées sur un OS 32 Bits fonctionneront sur un OS 64 Bits et vice versa.

3 commentaires:

  1. si vous l'avez remarquer je crois a cause de cette GPO local automatisée a la fin de déploiement Windows 7 avec mdt sur le réseau je ne peut pas configurer le client sur certain paramètre comme impossibilité de jointure au groupe résidentiel puisqu'il ne détecte aucun sur le réseau et aussi impossible de changer les paramètre de Windows update ca demande de contacter l'administrateur système
    et c'est ca le problème
    moi je l'ai désactiver de la séquence de taches mais rien ne change toujours le même problèmes alors est ce qu'il ya une solution ?
    merci de m'aider

    RépondreSupprimer
  2. j'ai oublier de dire que j'ai comparer deux VM une avec une installation classique et une avec une installation MDT
    le classique détecte immédiatement mon groupe résidentiel et l'autre ne détecte jamais
    j'espère que je vous ai aider a mieux comprendre le blême

    RépondreSupprimer
  3. Bonjour, ce qui est sur c'est que ce n'est pas un problème de GPO local puisqu'en les désactivant dans MDT vous avez le même problème ! Pour le reste votre description est trop flou pour vous donner une réponse précise. Dans un premier temps, je souhaiterai savoir si le problème est "la fenêtre des groupes résidentiels ne s'affiche pas" où si c'est plutôt "la fonction groupe résidentiels ne marche" ? Décrivez-moi plus précisément ce qu'il y'a dans votre task-sequence, ajoutez vous des customisation en clef de registre ? , votre machine est t'elle en domaine ? Configurez vous des settings pour votre parfeux ?

    RépondreSupprimer