Déployer des applications avec une stratégie de groupe – Bien choisir son serveur d impression

Récemment, lorsqu'un client a demandé de l'aide pour réduire le temps passé par le personnel informatique à installer des systèmes et des applications, il n'a pas fallu déployer beaucoup d'efforts pour proposer une solution. Les services d'installation à distance (RIS) et la stratégie de groupe n'étaient que le ticket. Avec un peu d'effort au début, cette combinaison peut vous éviter beaucoup de travail administratif, sinon vous encourriez l'installation de Windows et des applications. Peut-être plus important encore, le déploiement automatisé de systèmes d'exploitation et d'applications peut vous aider à sortir du feu lorsque le disque dur du PDG tombe en panne.

Applications: une partie du puzzle
Le déploiement de nouveaux systèmes, que ce soit lorsqu'un nouvel employé arrive ou lorsque vous mettez à niveau des utilisateurs existants, peut prendre beaucoup de temps que vous pourriez autrement consacrer à des tâches plus cruciales. Tout ce que vous pouvez faire pour automatiser le processus vous facilitera grandement la vie.

La configuration d'un nouveau système nécessite généralement l'installation d'un système d'exploitation client, l'installation d'applications et la configuration d'éléments tels que des documents ou des modèles partagés. Quelques méthodes d'installation de système d'exploitation existent, y compris RIS, fourni avec Windows Server 2003 et Windows 2000 Server. Les services RIS sont relativement complexes lorsque vous prenez en compte les service packs, les installations en aval et la duplication d'images. Par conséquent, je ne vais pas aborder cette partie du puzzle ici. (Pour plus d'informations sur l'utilisation de RIS, voir «Déploiement à distance de Windows 2000», mai 2000, http://www.winnetmag.com, InstantDoc ID 8433.) À la place, je me concentre sur les deuxième et troisième phases de la configuration système: installation d'applications et la configuration des documents et de l'environnement de travail d'un utilisateur. Cependant, vous devez considérer les trois phases comme essentielles à une approche globale. Voici pourquoi.

Si vous utilisez une approche manuelle de la configuration du système, vous passerez probablement environ 2 heures par système à installer le système d'exploitation. L’incorporation d’une installation intégrée de tous les service packs et correctifs ou le démarrage avec un système d’exploitation installé par un fabricant OEM peut réduire ce temps de moitié. Si tous vos postes de travail disposent du même matériel, vous pouvez utiliser un logiciel de création d'image de disque pour installer le système d'exploitation. (Voir «Services de déploiement automatisés», page 43, pour plus d'informations sur la solution de création d'image sur disque de Microsoft.) Quelle que soit votre approche, vous devez au moins passer un peu de temps à préparer le système d'exploitation.

Lorsque le système d'exploitation est installé, l'étape suivante consiste à installer les applications dont vos utilisateurs auront besoin. Le temps que vous consacrez à cette tâche peut varier considérablement en fonction du nombre d'applications. Une fois les applications installées, vous pouvez les mettre à jour lorsque les éditeurs d’applications publient des corrections de bogues et des améliorations.

L'automatisation de l'ensemble de ce processus donne non seulement du temps à l'équipe informatique pour d'autres tâches, mais vous permet également de mieux contrôler les applications que recevra un utilisateur donné. La stratégie de groupe est la clé de la gestion automatique des applications. Elle vous donne deux façons de déployer des applications.

Publier ou assigner des applications
Grâce à la stratégie de groupe, vous pouvez soit publier ou attribuer applications. Lorsque vous publiez une application, celle-ci apparaît dans l'applet Ajout / Suppression de programmes du Panneau de configuration afin que les utilisateurs puissent choisir d'installer ou non l'application. Vous devez publier les applications que vous souhaitez mettre à la disposition des utilisateurs mais qui ne sont pas obligatoires.

Lorsque vous publiez une application, vous pouvez spécifier une catégorie pour celle-ci (j'explique comment configurer les catégories un peu plus tard). Toutes les catégories que vous spécifiez apparaissent également dans l'applet Ajout / Suppression de programmes, comme le montre la figure 1, et servent à organiser les applications en groupes logiques. Par exemple, vous pouvez placer Microsoft Office, Office Visio et d'autres applications liées à Office dans un groupe Office. Autodesk AutoCAD et d'autres applications graphiques dans un groupe CAO / Ingénierie / Graphismes; etc. La catégorisation des applications peut aider les utilisateurs à trouver les applications qu'ils souhaitent installer.

Les applications attribuées fonctionnent différemment des applications publiées. Lorsque vous affectez une application, elle apparaît dans le menu Démarrer de l'utilisateur comme si elle était déjà installée. Ensuite, lorsque l'utilisateur lance l'application pour la première fois, le programme d'installation effectue une installation JIT (Just-In-Time) de l'application à partir du partage d'installation réseau, exactement comme lorsque vous installez une application localement et choisissez l'option Installer d'abord. Utilisez l'option. Windows 2003 ajoute la possibilité d'installer automatiquement les applications attribuées lorsque l'utilisateur ouvre une session pour la première fois, éliminant ainsi la nécessité d'une installation initiée par l'utilisateur. Vous devez assigner, plutôt que publier, les applications que les utilisateurs doivent avoir.

Lorsque vous déterminez les applications à publier et à attribuer à des groupes d'utilisateurs spécifiques, vous réaliserez peut-être que votre Active Directory (AD) doit être légèrement modifié pour prendre en charge le déploiement d'applications. Par exemple, si tous les utilisateurs d'un service ont généralement besoin des mêmes applications et que vos unités organisationnelles AD ne sont pas alignées sur les services, vous devrez peut-être créer des unités d'organisation et ajuster leur appartenance en conséquence. Cela vous permettra de créer des objets de stratégie de groupe (GPO) qui déploient des applications pour les utilisateurs en fonction des besoins. Vous pouvez utiliser des objets de stratégie de groupe au niveau du domaine pour déployer les applications dont tout le monde a besoin. Restructurer l'espace de noms AD n'est une bonne idée que pour les espaces de nom actuellement non structurés. Une meilleure approche pour les espaces de nom structurés consiste à utiliser le filtrage par groupe de sécurité des objets de stratégie de groupe pour contrôler le déploiement.

Une fois que vous avez décidé qui recevra quelles applications et comment, vous êtes prêt à configurer les serveurs et les partages pour rendre les packages d'applications disponibles. La stratégie de groupe utilise Windows Installer pour installer des applications. La première étape de la mise à disposition de l'application consiste donc à obtenir ou à créer le package du programme d'installation. Si l'application est livrée pré-emballée sous forme de fichier .msi et que votre déploiement ne nécessite aucune modification, telle que l'ajout de fichiers personnalisés ou la modification des options d'installation, vous pouvez généralement simplement copier les fichiers source du CD-ROM de l'application sur la cible. partager sur le serveur.

Cependant, dans de nombreux cas, vous devrez personnaliser ou créer le package d'installation. Une poignée d'applications tierces, notamment WinINSTALL de OnDemand Software, InstallShield Software d'InstallShield et Wise Solutions de Wise pour Windows Installer, vous permettent de créer de nouveaux packages Windows Installer ou de reconditionner ceux existants. Microsoft propose Visual Studio Installer en téléchargement gratuit, mais son exécution nécessite un produit Visual Studio (VS) existant. WinINSTALL LE 2003 de OnDemand Software est une option gratuite à fonctions limitées.

Les applications simples requièrent seulement que vous conditionniez leurs fichiers dans un fichier .msi. Pour les installations plus complexes, telles que Microsoft Office, vous pouvez créer un transformer fichier pour spécifier un ensemble d'exceptions aux valeurs par défaut du paquet. Par exemple, vous pouvez créer un fichier de transformation pour installer un sous-ensemble des applications Office, spécifier l'emplacement d'installation et définir d'autres options d'installation. Les fichiers de transformation sont particulièrement utiles pour cibler un ensemble de fichiers source d'application sur plusieurs groupes d'utilisateurs ayant besoin d'options d'installation différentes. Vous créez un fichier .msi pour desservir tous les utilisateurs, puis appliquez des transformations pour personnaliser l'installation pour des groupes individuels.

Chaque application d'emballage a ses forces et ses faiblesses. Si vous ne possédez pas déjà de programme d’emballage, prenez le temps de télécharger des copies d’évaluation et de les tester pour trouver celle qui répond le mieux à vos besoins. Lorsque vous êtes à l'aise avec le reconditionnement des applications et la création de transformations, vous êtes prêt à configurer les points de distribution de vos applications.

Configurer les partages de distribution
Avant de publier ou d'affecter une application dans la stratégie de groupe, vous devez placer le package d'application sur un serveur réseau sur lequel il sera disponible pour les utilisateurs lorsqu'ils devront l'installer. Aucun service spécifique n'est requis pour héberger un package d'application. Par conséquent, presque tous les serveurs de fichiers feront l'affaire. Cependant, vous devez prendre en compte le nombre d'utilisateurs qui vont installer des applications et d'autres facteurs tels que la bande passante disponible, le nombre d'applications qu'un serveur prendra en charge, les autres services hébergés par le serveur et les considérations de sécurité, et distribuer les applications sur les serveurs. en conséquence.

La disponibilité des serveurs est un autre facteur important à prendre en compte, notamment à mesure que le nombre d'utilisateurs qui s'appuient sur des applications déployées par la stratégie de groupe augmente. Vous pouvez utiliser DFS dans Windows 2003 et Win2K Server pour vous assurer que les partages d'installation d'applications sont disponibles même en cas de panne du serveur. Dfs vous permet de placer un dossier d'installation sur plusieurs serveurs et d'ajouter les dossiers en tant que réplicas à la racine Dfs. Si un serveur tombe en panne, les utilisateurs peuvent toujours installer l'application à partir de l'une des autres répliques de la racine. La redirection s'effectue automatiquement et est transparente pour vos utilisateurs et pour la stratégie de groupe, qui fait référence au chemin UNC (Replica Generic Universal Convention) générique du dossier dans l'espace de noms DFS, et non au chemin cible absolu.

Pour configurer un partage, créez un dossier sur un serveur qui agira en tant que racine de vos dossiers d'application, configurez les autorisations sur le dossier selon vos besoins, puis partagez le dossier. Créez des dossiers d'application individuels sous le partage, puis copiez les fichiers de package d'une application donnée dans son dossier. Vous pouvez utiliser la compression NTFS sur les dossiers de partage pour vous aider à gérer l'utilisation du disque.

Créer le GPO
Avec le package Windows Installer en place pour une application, vous êtes prêt à créer l'objet de stratégie de groupe qui déploiera l'application. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory MMC (Microsoft Management Console), cliquez avec le bouton droit de la souris sur le domaine ou l'unité d'organisation pour laquelle vous souhaitez appliquer la stratégie, puis cliquez sur Propriétés. Accédez à l'onglet Stratégie de groupe, puis créez un nouvel objet de stratégie de groupe ou sélectionnez-en un existant, puis cliquez sur Modifier.

La branche de stratégie Paramètres du logiciel Installation du logiciel, située sous les branches Configuration de l'ordinateur et Configuration de l'utilisateur, constitue le point de création des packages de déploiement d'applications. Utilisez la branche Configuration de l'ordinateur pour déployer sur des ordinateurs qui traitent l'objet de stratégie de groupe, et utilisez la branche Configuration de l'utilisateur pour déployer sur des comptes d'utilisateur qui traitent l'objet de stratégie de groupe. Toutefois, sachez que vous ne pouvez attribuer des applications que via la branche Configuration de l'ordinateur, pas les publier. Si vous devez publier une application, créez ou modifiez l'objet de stratégie de groupe dans la branche Configuration de l'utilisateur.

Avant de créer votre première stratégie de package, ajoutez les catégories d'applications sous lesquelles vous souhaitez publier des applications (il s'agit des catégories facultatives qui figureront dans l'applet Ajout / Suppression de programmes de l'utilisateur). Pour ce faire, cliquez avec le bouton droit de la souris sur Installation du logiciel sous Configuration de l'utilisateur et choisissez Propriétés. L'onglet Général permet de définir l'emplacement du package d'application par défaut, le type de déploiement par défaut (publier ou affecter) et les options de l'interface utilisateur. Je discuterai de ces paramètres plus en détail sous peu. Pour l'instant, allez dans l'onglet Catégories, cliquez sur Ajouter et ajoutez les catégories d'applications.

Pour créer une politique de package, cliquez avec le bouton droit de la souris sur la branche Installation de logiciel sous Configuration ordinateur ou Configuration utilisateur, puis choisissez Nouveau, Package. Dans la boîte de dialogue Ouvrir, spécifiez le chemin d'accès au fichier de package. Dans presque tous les cas, vous devez utiliser un chemin UNC pour vous assurer que les utilisateurs pourront accéder au partage. Utilisez un chemin absolu uniquement si le mappage de lecteur local des utilisateurs sur le partage sera toujours identique à la lettre de lecteur local du serveur.

Une fois que vous avez spécifié le chemin du fichier de package, l'éditeur de stratégie de groupe (GPE) affiche trois options: Publié, Assigné et Avancé publié ou Assigné. Choisissez l'une des deux premières si vous n'avez pas besoin d'ajouter de transformation, de configurer des packages de mise à niveau ou de définir d'autres options avancées lors de la création de la stratégie. Choisissez Advanced Published ou Assigned si vous devez définir des options avancées. Vous pourrez modifier la plupart des options ultérieurement, que vous choisissiez l'une des options de base ou l'option Avancé ici. Pour ce faire, il vous suffit de double-cliquer sur le package dans l'objet de stratégie de groupe pour afficher sa feuille de propriétés, identique à celle affichée par GPE lorsque vous choisissez l'option Avancé. Toutefois, si le package nécessite une ou plusieurs transformations, choisissez l'option Avancé et ajoutez-les lorsque vous créez la stratégie de package. Vous ne pouvez pas ajouter de transformation après avoir déployé un package.

L'onglet Général affiche maintenant des informations générales sur l'application et l'éditeur. Une fois le package créé, la seule propriété que vous pouvez modifier ici est le nom du package tel qu'il apparaîtra dans GPE. Passez à l'onglet Deployment, illustré dans la figure 2, pour spécifier le type de déploiement et d'autres options de déploiement. Si vous souhaitez que l'application soit installée automatiquement lorsque l'utilisateur tente d'ouvrir un type de document la nécessitant, sélectionnez Installer automatiquement cette application par activation de l'extension de fichier. Si vous souhaitez supprimer l'application du système de l'utilisateur lorsque l'objet de stratégie de groupe ne s'applique plus à l'utilisateur, par exemple lorsque l'utilisateur passe à un autre service (et relève donc de la portée d'un autre objet de stratégie de groupe), sélectionnez Désinstallez cette application lorsqu'elle sort du cadre de la gestion. Si vous souhaitez empêcher l'application de figurer dans la liste Ajouter ou supprimer des programmes, sélectionnez N'affichez pas ce package dans le panneau de configuration Ajout / Suppression de programmes. Pour afficher uniquement les informations d'installation de base lors de l'installation de l'application, sélectionnez Basique; pour afficher toutes les informations de configuration, sélectionnez Maximum. Cliquez sur Avancé pour configurer l'application afin qu'elle ignore la langue lors du déploiement ou pour supprimer une version antérieure de l'application non installée par la stratégie de groupe.

Utilisez l'onglet Mises à niveau pour spécifier les packages dans l'objet de stratégie de groupe actuel ou dans un autre objet de stratégie de groupe mis à niveau par ce package. Vous pouvez rendre la mise à niveau facultative ou obligatoire et indiquer si l'application doit d'abord supprimer la version existante ou s'installer par-dessus la version existante.

Si vous avez ajouté des catégories d'applications précédemment, vous pouvez utiliser l'onglet Catégories pour spécifier les catégories dans lesquelles l'application sera répertoriée dans l'applet Ajout / Suppression de programmes des utilisateurs. Choisissez une catégorie existante et cliquez sur Sélectionner pour l'ajouter à la liste Catégories sélectionnées de l'application. Vous pouvez ajouter plusieurs catégories pour une application.

Si vous créez plutôt que de modifier le package, vous pouvez utiliser l'onglet Modifications pour ajouter des fichiers de transformation au package. Vous pouvez spécifier plusieurs transformations et contrôler l'ordre dans lequel les transformations sont appliquées. Enfin, utilisez l'onglet Sécurité pour configurer les autorisations pour la stratégie de package. Par exemple, vous pourriez avoir un sous-ensemble d’utilisateurs relevant de l’objet de stratégie de groupe, mais pour lesquels vous ne souhaitez pas rendre l’application disponible. Supprimez simplement l'autorisation de lecture pour ces utilisateurs afin d'empêcher l'application de la stratégie.

Rediriger les dossiers d'utilisateurs
Bien que la redirection de dossiers ne soit pas une étape nécessaire, je la considère comme un complément important à l’installation automatisée du système d’exploitation et au déploiement d’applications basé sur la stratégie de groupe afin de garantir un schéma complet de récupération après sinistre. Par exemple, si vous utilisez RIS pour déployer les systèmes d'exploitation des utilisateurs, ceux-ci peuvent obtenir un ordinateur qui fonctionne simplement en connectant un nouveau système au réseau, en l'amorçant et en suivant quelques instructions. Lorsque les utilisateurs se connectent après l'installation du système d'exploitation, leurs applications sont installées automatiquement (si elles sont attribuées) ou mises à disposition via l'applet Ajout / Suppression de programmes (si elles sont publiées). Mais qu'en est-il des documents des utilisateurs?

Si les utilisateurs stockent des documents localement et que l'ordinateur d'un utilisateur meurt, l'utilisateur doit restaurer ses documents à partir d'une sauvegarde locale, le cas échéant. Si des documents utilisateur sont stockés sur le réseau, vous pouvez les restaurer à partir d'une sauvegarde réseau ou à l'aide du service VSS (Volume Shadow Copy Service) de Windows 2003. Dans tous ces cas, la restauration des fichiers prendra du temps et des efforts, car l'utilisateur ou l'administrateur doit rechercher les versions précédentes. Toutefois, si vous avez redirigé les dossiers des utilisateurs vers leur dossier de départ sur un partage réseau, ni vous ni votre utilisateur ne devez rien faire pour récupérer les documents perdus sur le système local car ceux-ci sont toujours intacts sur le serveur. L'utilisateur peut simplement se connecter à partir de son nouveau système, ouvrir Mes documents et trouver les documents là où ils devraient être. Si cette fonctionnalité vous intéresse et que vous décidez de la configurer, ouvrez la branche Configuration utilisateur Paramètres Windows Redirection de dossiers dans l'objet de stratégie de groupe. Cliquez avec le bouton droit de la souris sur le dossier Mes documents sous la branche, sélectionnez Propriétés, puis spécifiez les paramètres de redirection pour le dossier dans la boîte de dialogue illustrée à la figure 3.

Notez que le schéma de récupération que j'ai suggéré ne traite pas de la restauration des paramètres de l'application personnalisée des utilisateurs. Vous pouvez utiliser des profils itinérants ou des méthodes et outils centrés sur les applications, tels que le Kit de ressources Microsoft OfficeCliquez sur Assistant Enregistrer mes paramètres pour terminer le schéma de récupération et vous assurer que les applications personnalisées des utilisateurs sont intactes après une récupération.

Coûts et Limites
La plupart des outils et technologies dont vous avez besoin pour déployer des applications avec la stratégie de groupe sont intégrés à Windows 2003 et Win2K Server. Comme le déploiement repose sur la stratégie de groupe, toutefois, seuls les clients Win2K ou ultérieurs peuvent tirer parti du déploiement automatisé. Le seul investissement en capital réel – en supposant que vous n’ayez pas besoin d’ajouter des serveurs pour gérer les partages de distribution – est destiné à une bonne application de packaging, qui ne vous ruinera pas. Si vous intégrez également RIS dans l'image, vous devrez probablement au moins dépenser de l'argent en adaptateurs compatibles PXE (Preboot Execution Environment) pour les systèmes existants et peut-être pour le matériel du serveur.

Le montant que vous dépensez pour ces éléments sera probablement minime si vous comparez les économies de temps d’administration qui auraient autrement été consacrées à la configuration des systèmes et à la gestion de la récupération après sinistre pour vos utilisateurs. La quantité de travail requise au départ pour déployer des applications basées sur des règles est relativement petite, et je vous garantis que vous gagnerez la majeure partie de votre temps et de votre argent la première fois que vous devrez déployer un nouveau système ou restaurer l'ordinateur du PDG après une crash.

Déployer des applications avec une stratégie de groupe – Bien choisir son serveur d impression
4.9 (98%) 32 votes