Lorsque vous administrez un réseau Active Directory, la gestion des programmes installés et de leur versionning est un aspect important. Comment installer et mettre à jour des logiciels sur les PC de votre domaine par GPO de façon centralisée ?
Afin de vous faciliter la tâche, Windows propose au sein de ses stratégies de groupe (GPO) diverses fonctionnalités qui vous permettent d’installer des logiciels, les mettre à jour ou encore les désinstaller, et ce, de façon uniforme sur tous les postes d’un domaine. Si vous n’êtes pas à l’aise avec les GPO, ou gérez un petit réseau, il est possible d’installer plusieurs logiciels en une fois avec Ninite.
Installer un logiciel en GPO
Commencez par vous rendre dans la console de Gestion des stratégies de groupe. Rendez-vous dans le domaine concerné puis sous l’onglet Action, cliquez sur Créer un objet GPO dans ce domaine, et le lier ici…
Dans la fenêtre qui s’ouvre, donnez un nom à votre GPO puis validez avec OK.
Dans la liste des GPO, faîtes une clic-droit sur celle nouvellement créée puis sur Modifier…
Suivez l’arborescence suivante : Configuration ordinateur > Stratégies > Paramètres du logiciel > Installation de logiciel puis sous l’onglet Action cliquez sur Nouveau puis Package…
Dans la fenêtre d’ajout du nouveau package, commencez par sélectionner le package au format *.msi . Il est préférable d’ajouter un fichier de package disponible sur un emplacement réseau.
Ensuite, il convient de choisir le type de déploiement. Deux options s’offrent à vous : Attribué ou Avancé. L’option Attribué vous permet de déployer le logiciel directement tandis que l’option Avancé vous propose de régler certains paramètres.
Le package va alors s’importer. Attention, cette action peut être longue et donner l’impression que la fenêtre est figée.
Une fois l’importation terminée, le logiciel est dans la liste. Vous pouvez modifier les paramètres de déploiement en double-cliquant sur le nom du package.
Mettre à jour un logiciel en GPO
Depuis une GPO existante
Pour mettre à jour un logiciel depuis une GPO existante (comme dans l’exemple d’installation de logiciel), commencez par vous rendre dans la console d’édition des GPO.
Retrouvez la GPO contenant la version à mettre à jour et ouvrez-là. Sous Configuration ordinateur > Stratégies > Paramètres du logiciel > Installation de logiciel rendez-vous dans l’onglet Action cliquez sur Nouveau puis Package…
Ajoutez alors le package contenant la nouvelle version du logiciel.
Une fois l’ajout terminé, effectuez un clic-droit sur la dernière version et cliquez sur Propriétés.
Sous l’onglet Mises à niveau, vérifiez que le package qui doit être mis à jour est bien dans la liste. Sinon, utilisez le bouton Ajouter et laissez-vous guider pour sélectionner le package qui doit être mis à jour.
Avec des GPO séparées
Il est également possible de mettre à jour un logiciel en passant par la création d’une seconde GPO.
Pour cela, ouvrez la Console de gestion des stratégies de groupe puis créez une nouvelle GPO dans votre domaine.
Une fois cette dernière créée, rendez-vous dans son paramétrage par un clic-droit dessus suivi de Modifier.
Toujours en suivant cette arborescence : Configuration ordinateur > Stratégies > Paramètres du logiciel > Installation de logiciel ajoutez un nouveau package, celui contenant la nouvelle version.
Une fois ce dernier ajouté, faites un clic-droit dessus puis cliquez sur Propriétés.
Dans la fenêtre, choisissez l’onglet Mises à niveau puis cliquez sur Ajouter.
Commencez par sélectionner la case un objet de stratégie de groupe (GPO) spécifique puis avec le bouton Parcourir allez chercher la GPO qui contient le premier package que vous souhaitez mettre à jour.
Pour finir, sélectionnez si vous souhaitez désinstaller l’ancienne version ou juste installer la nouvelle au-dessus de celle déjà existante.
Quelle méthode choisir ?
Si les deux méthodes conduisent au même résultat, les deux présentent leur avantage.
Si vous souhaitez gérer le déploiement d’une application pour laquelle il est important de gérer le versioning (Java par exemple), utilisez une seule GPO. Vous pourrez ainsi visualiser en un seul endroit la totalité des packages depuis le premier jusqu’au dernier.
Cependant, si vous souhaitez tester la nouvelle version d’une application et ne la déployer que sur certains postes par exemple en appliquant un filtre WMI, il sera plus judicieux de créer une GPO à part, que vous pourrez supprimer à votre guise si le test n’est pas concluant et ainsi gérer facilement la désinstallation.
Erreurs fréquentes
Aucune installation n’est effectuée sur le poste client
Si vous avez créé votre GPO et aucun logiciel n’est installé sur le poste client, assurez-vous que la GPO est bien appliquée sur le poste cible :
- Forcez la mise à jour de la GPO manuellement : 3 méthodes pour forcer la mise à jour de GPO
- Vérifiez si la GPO est bien appliquée sur le poste : Comment voir quelles GPO sont appliquées à un ordinateur Windows ?
Après avoir effectué ces vérification, vous pouvez jeter un œil dans l’observateur des événements Windows du poste client. Des informations sur la nature de l’erreur devrait y figurer. Vous pouvez également appliquer les paramètres recommandés que trouverez plus bas dans cet article.
Erreur d’ajout de package MSI
Lors de l’ajout de votre MSI dans votre GPO, il peut arriver qu’un message de ce type s’affiche : « L’opération d’ajout a échoué. Impossible d’extraire les informations de déploiement à partir du package. Exécutez la validation du package pour vérifier s’il est correct ».
J’ai rencontré le cas à plusieurs reprises sans trop d’explications. Voici quelques pistes :
- Compatibilité 👉 Le package MSI est bien compatible pour installation par GPO ?
- Fichier intègre ? 👉 Vérifiez l’intégrité avec son hash MD5
- Les droits d’accès 👉 le serveur et le poste client a-t-il bien accès au MSI ? Faites-un teste d’installation depuis le client directement.
- Un redémarrage de l’Active Directory ou mise à jour Windows a déjà réglé le problème me concernant.
Paramètres recommandés pour l’installation de logiciels par GPO
Nous vous recommandons le paramètre suivant pour que la distribution des MSI par GPO s’effectue correctement :
- Configuration Ordinateur – Stratégies – Modèles d’administration – Système – Ouverture de session – Toujours attendre le réseau lors du démarrage de l’ordinateur et de l’ouverture de session => Activé
Éventuellement, selon les besoins et configurations :
- Configuration Ordinateur – Stratégies – Modèles d’administration – Composants Windows – Windows Installer => Activé.
- Configuration Ordinateur – Stratégies – Modèles d’administration – Système – Stratégie de groupe – Configurer le traitement de la stratégie d’installation de logiciel => Autoriser le traitement sur une connexion réseau lente
Désinstaller un logiciel par GPO
Nous venons de voir comment installer automatiquement un logiciel par GPO. Sachez qu’il est bien entendu possible de réaliser l’opération inverse, c’est-à-dire de désinstaller un logiciel par GPO.