mercredi 18 avril 2012

LocalGPO : Backup & installation automatisée de GPO locale, simple et efficace.

 wallpaper-72456

Pour l’un de mes clients, j’ai dû  automatiser la création d’un master Windows 7 avec MDT qui jusqu’alors était crée manuellement. Petit problème au cours de l’opération, les paramétrages de GPO du master original n’était pas documentés et il fallait évidement les intégrer à l’identique…

Pas de panique, il y’a une solution : LocalGPO de Microsoft.

Cette application qui est en fait un script est distribuée en complément du fameux SCM, Security Compliance Manager disponible ici.

SCM est une solution complète de gestion des stratégies de sécurité déployées sur les serveurs comme les Workstation. Cependant, SCM nécessite l’installation d’une base SQL Express, ce qui est bien au delà de nos modestes besoins. Nous allons donc depacker SCM pour en retirer uniquement LocalGPO.msi.

 

Extraction de LocalGPO.msi

A l’aide de Winrar, ouvrez l’exécutable de SCM et sortez en tout les fichiers.

puis ouvrez une invite de commande à l’endroit ou se trouve les fichiers extrait et tapez la commande suivante : Msiexec /a scmsetupx64.msi  (ou Msiexec /a scmsetupx86.msi en fonction de votre type de processeur).

scm

Deux répertoires nommés PFiles et Baselines seront alors crées à la racine de votre disque C ou D.

Vous pouvez alors récupérer LocalGPO.msi dans le sous répertoire ..\PFiles\Microsoft Security Compliance Manager\LGPO

 

Backup des GPO

sur une machine fraichement installée et dont les paramètres GPO Locaux ont étés configurés par vos soins, ou comme c’était mon cas ; sur une machine déjà configurée :

Installer LocalGPO.msi
Dans une invite de commande en mode admin tapez les commandes suivantes :

Cd "Program Files\LocalGPO"
Md C:\GPOBackups
Cscript LocalGPO.wsf /Path:"c:\GPOBackups" /Export /GPOPack:MyMachine-GPO

Les GPO sont maintenant sauvées dans C:\GPOBackups\MyMachine-GPO

Mettez en sureté le répertoire GPOBackups, il contient notre sauvegarde.

 

 

Restauration des GPO

Sur la machines qui doit recevoir les GPO, copiez le répertoire GPOBackups à la racine du C:\

Dans une invite de commande en mode admin tapez les commandes suivantes :

Cd C:\GPOBackups\MyDomainGPO
Cscript GPOPack.wsf /Path:C:\GPOBackups\MyMachine-GPO

Ou pour réaliser une installation silencieuse

Cscript GPOPack.wsf /Path:C:\GPOBackups\MyMachine-GPO /silent

C’est terminé, votre PC vient de récupérer les GPO à l’identique de la machine source. Vous pouvez lancer Gpedit.msc pour vous en convaincre. Genial non !!!

 

Intégration à MDT

Sur MDT 2010 :

Dans votre Task Sequence, placez vous dans la phase State Restore quelque part avant l’étape Prépare to capture,

puis cliquez sur Add > General > Run Command Line et ajoutez la commande suivante

Cscript.exe "%ResourceDrive%\Applications\GPOBackups\GPOPack.wsf" /Path:"%ResourceDrive%\Applications\GPOBackups\MyMachine-GPO" /Silent

MDT2010

Et enfin, copiez le dossier GPOBackups dans le répertoire Application de votre Deployment Share.

Sur MDT 2012 :

La nouvelle version d’MDT gère nativement les packages de GPO. Vous pouvez retrouver des informations très complètes sur le sujet dans ce billet de Ben Hunter et cet autre billet de Johan Arwidmark.

 

Best Practices

Evitez de modifier l’option ‘Renommer le compte administrateur’ dans vos GPO à capturer. Car une installations via le WAIK,MDT ou SCCM se base sur le compte administrateur défini dans le fichier unattend.xml.

Si vous appliquez un GPO-pack avec l’option ‘Renommer le compte administrateur’ durant votre déploiement, au prochain reboot de votre machine. Il ne sera pas possible d’ouvrir une session Windows… (Oops…)

beforeThisPolicy2

A savoir également : des GPO capturées sur un OS 32 Bits fonctionneront sur un OS 64 Bits et vice versa.