Lorsque vous administrez un réseau Active Directory, la gestion des programmes installés et de leur versionning est un aspect important. Comment installer et mettre à jour des logiciels sur les PC de votre domaine par GPO de façon centralisée ?

Afin de vous faciliter la tâche, Windows propose au sein de ses stratégies de groupe (GPO) diverses fonctionnalités qui vous permettent d’installer des logiciels, les mettre à jour ou encore les désinstaller, et ce, de façon uniforme sur tous les postes d’un domaine. Si vous n’êtes pas à l’aise avec les GPO, ou gérez un petit réseau, il est possible d’installer plusieurs logiciels en une fois avec Ninite.

Installer un logiciel en GPO

Commencez par vous rendre dans la console de Gestion des stratégies de groupe. Rendez-vous dans le domaine concerné puis sous l’onglet Action, cliquez sur Créer un objet GPO dans ce domaine, et le lier ici… 

Dans la fenêtre qui s’ouvre, donnez un nom à votre GPO puis validez avec OK.

Dans la liste des GPO, faîtes une clic-droit sur celle nouvellement créée puis sur Modifier…

Suivez l’arborescence suivante : Configuration ordinateur > Stratégies > Paramètres du logiciel > Installation de logiciel puis sous l’onglet Action cliquez sur Nouveau puis Package…

Dans la fenêtre d’ajout du nouveau package, commencez par sélectionner le package au format *.msi . Il est préférable d’ajouter un fichier de package disponible sur un emplacement réseau.

Ensuite, il convient de choisir le type de déploiement. Deux options s’offrent à vous : Attribué ou Avancé. L’option Attribué vous permet de déployer le logiciel directement tandis que l’option Avancé vous propose de régler certains paramètres.

Le package va alors s’importer. Attention, cette action peut être longue et donner l’impression que la fenêtre est figée.

Une fois l’importation terminée, le logiciel est dans la liste. Vous pouvez modifier les paramètres de déploiement en double-cliquant sur le nom du package.

Mettre à jour un logiciel en GPO

Depuis une GPO existante

Pour mettre à jour un logiciel depuis une GPO existante (comme dans l’exemple d’installation de logiciel), commencez par vous rendre dans la console d’édition des GPO.

Retrouvez la GPO contenant la version à mettre à jour et ouvrez-là. Sous Configuration ordinateur > Stratégies > Paramètres du logiciel > Installation de logiciel rendez-vous dans l’onglet Action cliquez sur Nouveau puis Package…

Ajoutez alors le package contenant la nouvelle version du logiciel.

Une fois l’ajout terminé, effectuez un clic-droit sur la dernière version et cliquez sur Propriétés.

Sous l’onglet Mises à niveau, vérifiez que le package qui doit être mis à jour est bien dans la liste. Sinon, utilisez le bouton Ajouter et laissez-vous guider pour sélectionner le package qui doit être mis à jour.

Avec des GPO séparées

Il est également possible de mettre à jour un logiciel en passant par la création d’une seconde GPO.

Pour cela, ouvrez la Console de gestion des stratégies de groupe puis créez une nouvelle GPO dans votre domaine.

Une fois cette dernière créée, rendez-vous dans son paramétrage par un clic-droit dessus suivi de Modifier.

Toujours en suivant cette arborescence : Configuration ordinateur > Stratégies > Paramètres du logiciel > Installation de logiciel ajoutez un nouveau package, celui contenant la nouvelle version.

Une fois ce dernier ajouté, faites un clic-droit dessus puis cliquez sur Propriétés.

Dans la fenêtre, choisissez l’onglet Mises à niveau puis cliquez sur Ajouter.

Commencez par sélectionner la case un objet de stratégie de groupe (GPO) spécifique puis avec le bouton Parcourir allez chercher la GPO qui contient le premier package que vous souhaitez mettre à jour.

Pour finir, sélectionnez si vous souhaitez désinstaller l’ancienne version ou juste installer la nouvelle au-dessus de celle déjà existante.

Quelle méthode choisir ?

Si les deux méthodes conduisent au même résultat, les deux présentent leur avantage.

Si vous souhaitez gérer le déploiement d’une application pour laquelle il est important de gérer le versioning (Java par exemple), utilisez une seule GPO. Vous pourrez ainsi visualiser en un seul endroit la totalité des packages depuis le premier jusqu’au dernier.

Cependant, si vous souhaitez tester la nouvelle version d’une application et ne la déployer que sur certains postes par exemple en appliquant un filtre WMI, il sera plus judicieux de créer une GPO à part, que vous pourrez supprimer à votre guise si le test n’est pas concluant et ainsi gérer facilement la désinstallation.

Erreurs fréquentes

Aucune installation n’est effectuée sur le poste client

Si vous avez créé votre GPO et aucun logiciel n’est installé sur le poste client, assurez-vous que la GPO est bien appliquée sur le poste cible :

Après avoir effectué ces vérification, vous pouvez jeter un œil dans l’observateur des événements Windows du poste client. Des informations sur la nature de l’erreur devrait y figurer. Vous pouvez également appliquer les paramètres recommandés que trouverez plus bas dans cet article.

Erreur d’ajout de package MSI

Lors de l’ajout de votre MSI dans votre GPO, il peut arriver qu’un message de ce type s’affiche : « L’opération d’ajout a échoué. Impossible d’extraire les informations de déploiement à partir du package. Exécutez la validation du package pour vérifier s’il est correct ».

J’ai rencontré le cas à plusieurs reprises sans trop d’explications. Voici quelques pistes :

  • Compatibilité 👉 Le package MSI est bien compatible pour installation par GPO ?
  • Fichier intègre ? 👉 Vérifiez l’intégrité avec son hash MD5
  • Les droits d’accès 👉 le serveur et le poste client a-t-il bien accès au MSI ? Faites-un teste d’installation depuis le client directement.
  • Un redémarrage de l’Active Directory ou mise à jour Windows a déjà réglé le problème me concernant.

Paramètres recommandés pour l’installation de logiciels par GPO

Nous vous recommandons le paramètre suivant pour que la distribution des MSI par GPO s’effectue correctement :

  • Configuration Ordinateur – Stratégies – Modèles d’administration –  Système – Ouverture de session – Toujours attendre le réseau lors du démarrage de l’ordinateur et de l’ouverture de session => Activé

Éventuellement, selon les besoins et configurations :

  • Configuration Ordinateur – Stratégies – Modèles d’administration – Composants Windows – Windows Installer => Activé.
  • Configuration Ordinateur – Stratégies – Modèles d’administration –  Système – Stratégie de groupe – Configurer le traitement de la stratégie d’installation de logiciel => Autoriser le traitement sur une connexion réseau lente

Désinstaller un logiciel par GPO

Nous venons de voir comment installer automatiquement un logiciel par GPO. Sachez qu’il est bien entendu possible de réaliser l’opération inverse, c’est-à-dire de désinstaller un logiciel par GPO.

Partagez cet article

Avez-vous trouvé cet article utile ?
Article utile ?
Vous pouvez aussi nous soumettre une idée d’article si votre recherche est différente.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *