Windows Server Installer Windows Server 2022 sur VMware Workstation Préparation de Windows Server 2019 avant l'installation de rôle(s) Changer le port RDP par défaut Installer un pilote Wifi sur Windows Server Installation du rôle Serveur de fichiers et mise en place d'un partage Active Directory Tout ce qui touche à Active Directory Installation du rôle AD DS (Contrôleur de domaine) et DNS Dans le gestionnaire de serveur, en haut à droite, on clique sur "Gérer" puis "Ajouter des rôles et des fonctionnalités". On choisit ensuite le rôle "Services AD DS". On clique ensuite sur "Suivant" pour toutes les autres étapes puis "Installer". Une fois installé, en haut à droite, on clique sur le panneau des notifications (un drapeau) puis "Promouvoir ce serveur en contrôleur de domaine". On ajoute une nouvelle forêt. Le domaine est « khroners.fr » (à remplacer par le votre, bien entendu). On définit le mot de passe de restauration des services d’annuaire. Il est important de le conserver. Suivant Suivant. On peut changer la destination de la BGG, sysvol et des logs. Les avertissements sont normaux. On installe. Le serveur redémarre. Le serveur est promu Contrôleur de Domaine. Les rôles ADDS & DNS sont installés. On clique sur "Outils" puis "Utilisateurs et ordinateurs Active Directory". Ici, OU = "Organizational Unit"ou en français "Unité d'Organisation". On ajoute l’OU Khroners, et dedans 3 OU : Groups, Users & Computers. On déplace les objets correspondants aux ordinateurs déjà existants dans le domaine dans Computers. Ajouter un contrôleur de domaine secondaire Ajouter un contrôleur de domaine secondaire permet d'avoir une réplication du contrôleur de domaine. Cela permet au deuxieme de prendre le relais en cas de panne. Sur un autre serveur Windows, ici SRV-DC02, on ajoute le rôle AD DS. On ajoute à un domaine existant et on rentre le domaine, puis "Modifier" en rentrant les logins du compte administrateur du domaine, ici KHRONERS\Administrateur. On rentre un mot de passe du mode de restauration des services d'annuaire, il est important de le garder. On réplique depuis SRV-DC01 (notre contrôleur de domaine principal). On spécifie l'emplacement des dossiers de BDD, fichiers journaux et SYSVOL. Une fois fait, on n'oublie pas de modifier les options du DHCP pour les DNS.Activer la corbeille Active Directory Dans le Centre d'Administration Active Directory, on clique droit sur notre domaine puis "Activer la corbeille". Monter un partage par GPO par OU On clique sur "Gestion des stratégies de groupe". On clique droit sur "Objets de stratégie de groupe" puis "Nouveau" On choisit un nom. On souhaite qu'il soit le plus clair possible. On le lie ensuite à une OU. Dans mon cas, je veux que le partage soit monté pour tous les utilisateurs du domaine. On choisit notre GPO. On clique droit sur la GPO puis "Modifier". On se rend dans "Configuration Utilisateur", "Préférences" puis "Mappage de lecteurs". On clique droit puis "Nouveau" > "Lecteur mappé". On choisit le chemin, la lettre et on coche "Reconnecter". Dans l'onglet "Commun", on coche "Ciblage au niveau de l'élément" et "Exécuter dans le contexte de sécurité de l'utilisateur connecté (option de stratégie utilisateur)". On clique sur "Ciblage..." puis "Nouveau" puis "Unité d'Organisation". En cliquant sur "...", on choisit notre OU. On clique sur "OK" puis "Appliquer". On redémarre ensuite un poste ou via l'invité de commandes, on rentre la commande "gpupdate /force". Créer des GPO pour Chrome On télécharge les GPO de Chrome : Télécharger le navigateur Chrome pour votre entreprise – Chrome Enterprise (chromeenterprise.google) On extrait, on déplace le dossier windows\admx\fr-FR dans le dossier PolicyDefinitions\fr-FR du sysvol, et les deux fichiers .admx dans windows\admx vers le dossier PolicyDefinitions du sysvol. Les GPO apparaissent. Déployer un .msi par GPO Création du partage pour le déploiement Si un partage n’a pas déjà été créé pour le déploiement, on le crée : Dans l’explorateur de fichiers, on crée un dossier « deploiement » sur le disque, dans mon cas à la racine du disque. On clique droit sur le dossier, propriétés, onglet « Partage », « Partager » puis on ajoute « Ordinateurs du domaine ». On écrit « Ordinateurs du domaine » puis on clique sur « Vérifier les noms » à droite. On laisse les droits de lecture seulement (par défaut). REMARQUE : Si l’on souhaite l’installer sur un contrôleur de domaine, il faut ajouter « Contrôleurs de domaine ». On clique sur « Partager ». On déplace ensuite le setup dans ce dossier. Création de la GPO On se rend ensuite dans la Gestion de stratégie de groupe. On crée une GPO dans « Objets de stratégie de groupe ». On lui donne un nom. On double clique gauche sur la GPO puis dans « Filtrage de sécurité » on retire « Utilisateurs authentifiés » puis on ajoute « Ordinateurs du domaine ». REMARQUE : Si l’on souhaite l’installer sur un contrôleur de domaine, il faut ajouter « Contrôleurs de domaine ». Ensuite, on clique droit sur la GPO puis « Modifier ». Dans « Configuration ordinateur », « Stratégies », « Paramètres du logiciel » et « Installation logiciel », on créer un Package. On ajoute le .MSI depuis le partage et non le chemin physique. Dans la barre du haut, on rentre l’adresse IP ou le nom d’hôte avec le nom du partage. On choisit « Attribué » puis OK. Liaison de la GPO au domaine/OU On clique droit sur l’OU contenant le domaine ou directement à la racine du domaine comme ici, puis on clique sur « Lier un objet de stratégie de groupe existant… ». On choisit la GPO créée précédemment. Elle apparait ici. Il est important à savoir que l’installation se fera uniquement après un redémarrage des machines.Déployer un fond d'écran par GPO Nous allons voir comment déployer un fond d'écran par gpo sur les postes de notre AD. On crée et lie notre GPO à une OU Utilisateur. Dans le partage, on désactive l'héritage (on choisit convertir), on retire "Utilisateurs du domaine" et on rajoute "Ordinateurs du domaine" en lecture. Et concernant les autorisations du partage, on remplace "Tout le monde" par "Ordinateurs du domaine" en CT (On s'occupe des permissions via NTFS). On crée une deuxième GPO ordinateur : Sous "Fichiers" : Déployer des favoris Chrome via GPO Après avoir installé les ADMX dans le magasin central (PolicyDefinitions du Sysvol), on active la stratégie "Activer la barre des favoris" et "Favoris gérés". Les favoris utilisent le format .json, en voici un exemple. [ { "toplevel_name": "Favoris gérés" }, { "url": "https://www.google.fr", "name": "Google" }, { "url": "https://microsoft.com//", "name": "Microsoft" }, { "url": "https://portal.office365.com", "name": "Portail Office 365" } ] JSON Formatter & Validator (curiousconcept.com) On compacte le json. Dans "Favoris gérés", on colle le json compacté. Gérer Edge par GPO On doit télécharger et importer les ADMX/ADML de Edge dans le magasin central. On extrait l'archive et on place les fichiers dans le magasin central (fichiers .admx à la race, et on fusionne les deux dossiers fr-FR). Télécharger Microsoft Edge pour les entreprises - Microsoft (politique de Windows 64 bits)Déployer des favoris Edge par GPO La méthode de déploiement est quasiment identique qu'avec Chrome. Après avoir importé les ADMX, il faut créer une GPO ciblant les utilisateurs. Les deux paramètres à activer sont "Activer la barre des favoris" et "Configurer les favoris". "Configurer les favoris" est identique à "Favoris gérés" de Chrome.Gérer OneDrive par GPO Cette page est liée à Configurer OneDrive | Docs Khroners . Pour avoir ces GPO, il faut importer les fichiers .admx et .adml dans le magasin central du domaine, disponible sur un poste client dans %localappdata%\Microsoft\OneDrive\BuildNumber\adm\ (ou C:\Program Files (x86)\Microsoft OneDrive\BuildNumber\adm\ ou Program Files\Microsoft OneDrive\BuildNumber\adm\. OneDrive ne se connectera pas automatiquement si le PC n'est pas Azure AD registered ou Hybrid Joined. GPO Ordinateur : GPO Utilisateur : Voici ce que verra un utilisateur : Configuration de Windows Update par GPO Windows Update peut être géré par GPO. Les postes peuvent utiliser Windows Update "classique", Windows Update for Business (WUfB) ou WSUS. Dans mon cas, les mises à jour sont déployées par WSUS. Nous allons voir ici l'expérience utilisateur de ces mises à jour. Certaines GPO existent mais ne sont pas fonctionnels. De plus, plusieurs stratégies ne sont pas recommandées par Microsoft. Pour plus d'infos, voir Why you shouldn’t set these 25 Windows policies. La bonne pratique désormais est d'utiliser des dates d'échéances et des périodes de grâce. Pour plus d'infos, voir Manage how users experience updates, Windows quality update end user experience et Windows feature update end user experience. Exemple pour les mises à jour de fonctionnalités avec la GPO configurée ci-dessous : 1 - La mise à jour est approuvée le lundi. La personne aura 7 jours pour redémarrer son PC (des notifications apparaitront). Si le PC n'est pas redémarré, il redémarrera automatiquement même durant les heures d'activités après 7 jours. 2 - La mise à jour est approuvée le lundi. Le pc n'est démarré qu'une semaine plus tard ; on utilisera alors la période de grâce. Le pc aura 2 jours pour être redémarré (des notifications apparaitront) ou celui-ci s'effectuera automatiquement, même durant les heures d'activités. On se basant sur ces deux documentations de Microsoft, on obtient le résultat suivant (à modifier selon vos besoins) : Et en français : Dans notre cas, les ordinateurs ne redémarreront pas en dehors des heures d'activités si la date d'échéance (deadline) n'est pas dépassée. Ce paramètre est la case à cocher "Don't auto-restart until end of grace period". Pour plus d'infos sur le comportement de l'ordinateur avec la mise en place des dates d'échéances et de grâce, voir https://learn.microsoft.com/en-us/windows/deployment/update/waas-wufb-group-policy#i-want-to-keep-devices-secure-and-compliant-with-update-deadlines. Un exemple : DHCP Tout ce qui touche au DHCP (Dynamic Host Configuration Protocol). Installation du rôle DHCP Dans le gestionnaire de serveur, on ajoute un rôle. On choisit "Serveur DHCP". On clique sur "Suivant" pour toutes les autres étapes puis "Installer". Une fois installé, il faut le configurer. On clique sur « Terminer la configuration DHCP ». On va ensuite configurer les étendues. Dans le gestionnaire de serveur, on clique sur "Outils" en haut à droite puis "DHCP". On clique droit sur "IPv4" puis "Nouvelle étendue...". On y donne un nom. On définit la plage d’adresses IP pour cette étendue. Ici, on peut exclure des adresses IP. On définit ici la durée du bail. Une durée courte pour un accès public, ou plus longue pour des ordinateurs fixes. On rajoute la ou les passerelles par défaut. On rajoute les serveurs DNS pour les clients de l’étendue. On rajoute les serveurs WINS. On active l’étendue. Les adresses IP attribuées seront affichées ici. Fail-over DHCP Présentation La haute disponibilité est un élément très important à inclure dans une infrastructure. Un des éléments importants est le service DHCP. En effet, s'il n'est plus disponible, on se retrouve rapidement avec des pannes réseaux, avec l'obligation d'avoir une adresse IP Statique pour avoir une connectivité réseau. Mise en place Sur un autre Windows Server, on ajoute le rôle DHCP. On termine la configuration.On se rend sur le premier serveur où l'étendue est déjà créée, on clique droit puis "Configurer un basculement...". On clique sur "Suivant" puis on rentre l'adresse IP du second serveur DHCP. On définit un nom de relation. On active l'authentification du message pour éviter de partager en clair la configuration. On peut vérifier sur le second serveur : elle apparait. Si on coupe le premier serveur, on verra cette icône qui indique qu'il y a un problème avec l'autre serveur. Sous "Propriétés" puis "Basculement", dans "Etat du serveur", on pourra voir "Perte du contact". Conclusion La haute-disponibilité DHCP est donc mise en place. Couplé avec une redondance du contrôleur de domaine, on assure une haute disponibilité. PS : S'ils s'agit de deux serveurs virtualisés, il est préférable de les avoir sur un autre hôte ESXI/Hyper-V/Proxmox. WSUS Toutes les pages liées au WSUS Installation du rôle WSUS et synchronisation On fait comme pour les autres rôles, en choisissant Services WSUS (Windows Server Update Services) en laissant tout par défaut. Ensuite, depuis le menu Démarrer, on cherche "Windows Server Update Services" depuis "Outils d'administration Windows". On clique sur "Suivant >" puis on choisit le serveur en amont. On choisit "Synchroniser depuis Windows Update". On choisit ensuite le serveur Proxy s'il y en a un. On clique sur "Démarrer la connexion". Cela va récupérer les types de mises à jour disponibles, les produits pouvant être mis à jour et les langues disponibles. On clique ensuite sur "Suivant", on sélectionne uniquement la langue Française. Pour les produits, on choisit selon notre parc. Les produits qui doivent être mis à jour sont Windows Server 2019 et Windows 10 1903 and later (On coche aussi Windows 10 s’il y a des machines plus vieilles) et « Gestionnaire de serveur Windows – Programme d’installation dynamique de Windows Server Update Services », Developer Tools, Runtimes, and Redistributables (Visual C++ Runtime libraries, etc). On coche tout sauf Pilote (Driver) et jeux de pilotes puis on clique sur "Suivant". Pour la synchronisation, on choisit 4 fois par jour. Ensuite, la console se lance. On choisit le noeud SRV-WSUS01 (nom du serveur) puis le noeud "Synchronisations" puis on clique sur "Synchroniser maintenant". C'est une étape très longue. Avant d’approuver les mises à jour, les postes clients et les autres serveurs doivent être connectés aux serveurs WSUS.Optimisation de WSUS Tout d'abord, on va modifier les paramètres du pool d'application "WsusPool". On se rend dans le "Gestionnaire des services Internet (IIS)". Sous "Pools d'applications", on clique droit sur "WsusPool" puis "Paramètres avancés". On clique droit sur "WsusPool" puis "Arrêter". On attend quelques secondes puis on le redémarre.Ciblage des postes clients pour les mises à jour via le serveur WSUS On lance la console "Windows Server Update Services". On développe le nœud "Ordinateurs" et on clique droit sur "Tous les ordinateurs" puis on sélectionne "Ajouter un groupe d’ordinateurs". On va ensuite ajouter 4 groupes : "Servers", "Workstations", "Test – Servers", "Test – Workstations". On clique maintenant sur "Options" puis sur "Ordinateurs". On coche Utiliser les paramètres de stratégie de groupe ou de Registre sur les ordinateurs puis cliquez sur OK.Création de vues Dans la console de Services WSUS, on clique droit sur "Mises à jour". On clique sur "Nouvelle vue de mise à jour…". On coche la première option, on clique sur "Toutes les classifications" et on coche uniquement "Upgrade". On clique ensuite sur "OK". On ajoute ensuite 2 vues pour les mises à jour approuvées pour un groupe précis, ici Test Servers et Test - Workstations Test - Servers Test - Workstations On crée ensuite une vue pour toutes les mises à jour sauf les pilotes. Ensuite, on clique droit sur une colonne et on rajoute différents éléments : On modifie l'Approbation et l'Etat. On applique la même chose pour la vue "Test – Workstations". Pour "All Updates Except Drivers", idem mais "Non Approuvées" et "Echec ou Nécessaires". Pour "Upgrades", idem qu'avant sauf "Toutes les exceptions sauf celles refusées" et "Echec ou Nécessaire". Création des GPO pour le ciblage WSUS et des groupes de tests des mises à jour Présentation Il faut ensuite créer des GPO pour que les postes de travails et serveurs du domaine puissent se mettre à jour via le WSUS et non par les serveurs de Microsoft. Création des GPO WSUS - Location On se rend dans la console de Gestion de stratégie de groupe, on clique droit sur "Objets de stratégie de groupe" puis on crée une nouvelle GPO nommée "WSUS - Location". On clique droit sur la nouvelle GPO puis "Modifier". On se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows et Windows Update. "Spécifier l'emplacement intranet du serveur de mise à jour..." On active et on définit l'url. (L'entrée DNS pour le serveur WSUS doit être présente) WSUS - Workstations On crée ensuite une nouvelle GPO pour les postes de travail nommée "WSUS - Workstations". On la modifie et on se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Optimisation de la distribution. On active "Mode de téléchargement" sur "Réseau local". On se rend ensuite dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update EDIT : la GPO ci-dessous n'a pas le résultat escompté d'après Microsoft. (https://techcommunity.microsoft.com/t5/windows-it-pro-blog/why-you-shouldn-t-set-these-25-windows-policies/ba-p/3066178?WT.mc_id=AZ-MVP-5004580) Il faut la remplacer. Voir la page suivante disponible dans ce chapitre : On adapte ici les heures d'activités. WSUS - Servers On ne veut pas que les mises à jour s'installent automatiquement sur nos serveurs, sauf pour les mises à jour des définitions de l'antivirus. On va donc activer une option. Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update. Ensuite, pour les autres options : Si on a une farm de serveurs, il est préférable de créer plusieurs 'anneaux' de planifications et groupes, en choisissant l'option 4 : "Téléchargement automatique et planifier l'installation" et forcer le redémarrage lors de la maintenance des serveurs. Pour conclure, ici les mises à jour seront téléchargées automatiquement sur les serveurs, mais ne seront pas installées automatiquement, à l'exception de Windows Defender. WSUS - Workstations, Test - Workstations C'est une GPO pour le groupe de ciblage. Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update WSUS - Servers, Test - Servers C'est une GPO pour le groupe de ciblage. Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update Lier les GPO aux bonnes OU On applique la GPO de l'emplacement à toute l'OU. On applique pour les postes de travails la GPO correspondante. De même pour les serveurs. On n'oublie pas les contrôleurs de domaine. Création des groupes de tests On va créer 4 groupes dans l'OU "Security Groups". ACL_GPO.WSUS - Workstations & Test_Apply ACL_GPO.WSUS - Workstations & Test_Deny ACL_GPO.WSUS - Servers & Test_Apply ACL_GPO.WSUS - Servers & Test_Deny On fait la même chose pour les 3 autres groupes à créer. Dans la console de Gestion de stratégie de groupe, on clique sur la GPO "WSUS - Workstations, Test - Workstations", dans la partie "Filtrage de sécurité", on supprime "Utilisateurs authentifiés". On clique ensuite sur "Ajouter..." puis on ajoute le groupe "ACL_GPO.WSUS - Workstations & Test_Apply". Dans l’onglet Délégation, on ajoute « Utilisateurs authentifiés » en lecture. On clique sur Avancé et on ajoute ACL_GPO.WSUS – Workstations & Test_Deny avec les permissions refusées. On fait la même chose pour l’autre GPO pour les tests sur serveurs (WSUS - Servers, Test - Servers) avec les deux groupes ACL. Approbation des mises à jour Présentation Il est désormais nécessaire d'approuver les mises à jour manuellement. Il ne faut pas accepter toutes les mises à jour, automatiquement, sans se renseigner et les tester sur le parc informatique. Approbation Dans "All Updates Except Drivers", on choisit les mises à jour que l'on veut approuver puis on clique droit, et "Approuver". On sélectionne le groupe d'ordinateurs. Ici, serveurs. Les mises à jour que l'on souhaite approuver sont celles qui remplacent les anciennes, et celle qui n'ont pas été remplacées et qui n'en remplacent aucune (il n'y aura donc pas d'icône dans la colonne "Remplacement". Celles-ci par exemple : Il est préférable d'avoir un groupe de test pour les grosses mises à jour (2004, 20H2, 21H1 par exemple) pour voir leur comportement sur les postes du parc. Installation du runtime Microsoft Report Viewer Présentation Avant l'approbation d'une mise à jour, on peut voir quels ordinateurs ont besoin de cette mise à jour. Cependant, s'il ont clique, il est nécessaire d'avoir "Microsoft Report Viewer 2012 runtime". Installation Attention : avant l'installation, il faut fermer la console WSUS. Avant son installation, il faut installer "Microsoft System CLR Types for Microsoft SQL Server 2012". Sur cette page, dans la partie "Install Instructions", on choisit "Microsoft® System CLR Types for Microsoft® SQL Server® 2012" et on télécharge la version x64 puis on l'installe. On installe ensuite "Microsoft Report Viewer 2012 Runtime". Conclusion Désormais, en cliquant, la fenêtre de rapport s'ouvre. On trouve bien les ordinateurs ayant besoin de cette mise à jour. Approbation automatique des mises à jour de définition (Windows Defender) Présentation Il est important d'approuver automatiquement les mises à jour de définition de Windows Defender, dans le but d'avoir l'anti-virus à jour et donc protégé au mieux le parc. En soit, déployer via WSUS les mises à jour de Defender n'est pas primordial. A chaque mise à jour, WSUS retélécharge tout (60-70mo en moyenne pour le moment), alors que de passer d'une mise à jour à une autre prend environ 1mo, selon la mise à jour des définitions.Cela peut être utile en cas de déploiement massif d'appareils, pour éviter que tous les postes, lors du déploiement, téléchargent chacun les définitions. Approbation automatique Dans la console WSUS, on se rend dans Options, puis Approbations automatiques. On crée une nouvelle règle. On coche les deux premières cases, on choisit Microsoft Defender Antivirus, puis on donne un nom à la règle. Conclusion Ainsi, à chaque synchronisation et ajout d'une mise à jour de définition de Microsoft Defender Antivirus, elle sera automatiquement approuvée par le serveur WSUS. Mise en place du TLS/SSL pour WSUS Présentation Par défaut, WSUS ne chiffre pas les données. De nombreuses failles ont été découvertes, et pour les corriger, il faut activer le SSL. Pour cela, on aura besoin de modifier la GPO de l'emplacement du WSUS (remplacer http:// par https://) et d'ajouter un certificat.Un exemple de l'importance du SSL : Vidéo YouTube faite par 2 intervenants au Black Hat La mise en place du SSL demandera plus de performance sur le serveur, dû au chiffrement. Pour la suite, il est nécessaire d'avoir de nombreux modules, comme "Scripts et outils de gestion IIS", GroupPolicy. Activation du SSL sur WSUS Dans mon cas, j'ai récupéré le certificat et la clé privée depuis mon serveur web (fullchain.pem et privkey.pem). J'ai converti en .pfx. Une page est disponible pour cela. De plus j'ai défini un mot de passe. Import-Module ServerManager Add-WindowsFeature Web-Scripting-Tools Install-WindowsFeature GPMC Install-Module -Name PowerShellGet -Force Install-Module –Name IISAdministration Import-Module WebAdministration Import-Module IISAdministration Import-Module GroupPolicy $myFQDN=(Get-WmiObject win32_computersystem).DNSHostName+"."+(Get-WmiObject win32_computersystem).Domain ; Write-Host $myFQDN # 1. Create a self-signed certificate $SelfSignedHT = @{ DnsName = "$($env:COMPUTERNAME).$($env:USERDNSDOMAIN)".ToLower() CertStoreLocation = "Cert:\LocalMachine\My" } New-SelfSignedCertificate @SelfSignedHT $cert = Get-ChildItem -Path Cert:\LocalMachine\My -SSLServerAuthentication # 2. Export its public key Export-Certificate -Cert $cert -Type CERT -FilePath ~/documents/cert.cer # 3. Import the public key in the Trusted Root Certificate Authorities store Import-Certificate -FilePath ~/documents/cert.cer -CertStoreLocation Cert:\LocalMachine\Root # 4. Select this certificate in the SSL bindings $cert | New-Item IIS:\SslBindings\0.0.0.0!8531 # MANUALLY require SSL IIS - voir plus bas # 6. Switch WSUS to SSL & 'C:\Program Files\Update Services\Tools\WsusUtil.exe' configuressl $("$myFQDN".ToLower()) # 7. Change your GPO to point to the new URL $key = 'HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate' $uri = 'https://{0}:8531' -f $("$myFQDN".ToLower()) Get-GPO -All | Foreach-Object { if ($_ | Get-GPRegistryValue -Key $key -ValueName WUServer -EA 0) { $_ | Set-GPRegistryValue -Key $key -ValueName WUServer -Value $uri -Type String $_ | Set-GPRegistryValue -Key $key -ValueName WUStatusServer -Value $uri -Type String } } Sur IIS, pour chaque page, on change les paramètres SSL. On fait cela pour SimpleAuthWebService, DSSAuthWebService, ServerSyncWebService, APIRemoting30 et ClientWebService. Publication du certificat Dans la GPO "WSUS - Location", on importe le certificat. On importe ~/documents/cert.cer. Conclusion Dans la console WSUS, on est bien en SSL. On peut vérifier les logs de Windows Update d'un client via l'invité Powershell : Get-WindowsupdatelogRésoudre l'apparition de duplicatas de WSUS dans la console Présentation Après la mise en place du SSL, j'ai des duplicatas dans la console WSUS. Résolution On se rend dans %appdata%\Microsoft\MMC\ et on supprime tous les fichiers de ce dossier. On redémarre ensuite le serveur WSUS. Il faudra sûrement recréer les vues précédemment créées. Conclusion On a désormais qu'un seul serveur dans la console. Installation automatique des définitions de Microsoft Defender Présentation Par défaut, les définitions de Microsoft Defender sont mises à jour toutes les 24 heures, ou via Windows Update selon la fréquence de recherche de mises à jour. Cependant, selon les GPO mises en place précédemment, elles ne s'installent pas automatiquement (sauf à l'heure planifiée pour les Workstations). En soit, déployer les mises à jour de Defender n'est pas primordial. A chaque mise à jour, WSUS retélécharge tout (60-70mo en moyenne pour le moment), alors que de passer d'une mise à jour à une autre prend environ 1mo, selon la mise à jour des définitions.Cela peut être utile en cas de déploiement massif d'appareils, pour éviter que tous les postes, lors du déploiement, téléchargent chacun les définitions. Installation automatique des définitions Pour résoudre ce problème, on va utiliser une GPO. Dans WSUS - Servers et WSUS - Workstations, on se rend ici, et on définit la fréquence pour une heure. Pourquoi une heure ? Dans le but d'avoir des définitions toujours à jour. Conclusion Ainsi, les définitions seront mises à jour automatiquement. Si le serveur WSUS n'a pas la mise à jour des définitions la plus récente, elle sera téléchargée depuis Microsoft. Il est donc nécessaire d'augmenter la fréquence de synchronisation du serveur WSUS Il est possible que sur les serveurs, on retrouve tout de même la demande d'installation en manuel. La mise à jour est pourtant déjà installée.Windows Server 2022 et WSUS Pour avoir les mises à jour de Windows Server 2022 dans WSUS, il faut ajouter un produit nommé "Microsoft Server operating system-21H2". En effet, Windows Server est basé sur Windows 10 21H2.MDT / WDS - Déploiement de Windows WDS Installation du rôle WDS On commence par ajouter le rôle WDS. Configuration du rôle WDS On ouvre la console "Services de déploiement Windows". On clique droit sur le nom du serveur et sélectionne Configurer le serveur. On clique sur Suivant. On sélectionne le mode Intégré à Active Directory. On choisit un répertoire sur une autre partition. On autorise tous les ordinateurs. La meilleure pratique serait d'accepter les ordinateurs connus uniquement (les ordinateurs auront été ajoutés au préalable dans l'Active Directory, via un CSV contenant les informations des ordinateurs/adresses MAC). On récupère ensuite le fichier boot.wim dans le dossier "sources" d'une image Windows. On l'ajoute dans "Images de démarrage". On laisse tout par défaut. Si on démarrage un ordinateur sur le réseau : Aucune image n'est disponible. Déploiement simple d'une image On clique droit sur "Images d'installation" puis "Ajouter un groupe d'images". On le nomme "Windows 10". On ajoute une image. Si le fichier install.wim n'est pas présent mais install.wsd l'est, on peut extraire le fichier wim spécifique à la version que l'on souhaite installer. Voir Convertir un fichier ESD en WIM Dans mon cas, le temps est long pour télécharger l'image de boot. Il faut changer l'interface réseau pour vmxnet 3. Cependant, cela engendre l'impossibilité d'obtenir une adresse IP via DHCP. On va donc ajouter le pilote pour la nouvelle carte réseau. Ajout d'un pilote pour le déploiement On ajoute un filtre. Ici, le fabricant est VMware (machine virtuelle VMware). On peut ensuite ajouter un filtre selon l'image. Ensuite : On clique droit sur "Pilotes" et on ajoute un package de pilotes. Au préalable, j'ai extrait les pilotes de VMware. Voir : https://docs.khroners.fr/books/windows-server-2019/page/extraire-les-pilotes-de-vmware-tools On choisit le chemin suivant dans mon cas : C:\VMwareDrivers\VMware\VMware Tools\VMware\Drivers\vmxnet3\Win8\vmxnet3.inf On l'ajoute au groupe de pilotes précédemment créé. Dans notre cas, il faut l'ajouter dès l'étape de Windows PE. Mise à disposition de pilotes pour le démarrage On clique sur "Rechercher des packages". Le pilote est ajouté. Le PC démarre bien, avec le bon pilote. Cependant, WDS reste limité pour la customisation de l'image. On verra MDT dans un prochain chapitre.Extraire les pilotes de VMware Tools On crée un dossier pour les pilotes, dans mon cas C:\VMwareDrivers.On télécharge l'iso sur https://packages.vmware.com/tools/esx/index.html On le monte, puis dans un invité de commandes : E: setup.exe /A /P C:\VMWareDrivers On choisit le chemin du dossier précédemment créé. Les pilotes sont maintenant dans C:\VMWareDrivers\VMware\VMware Tools\VMware\Drivers.Convertir un fichier ESD en WIM On récupère les informations du fichier ESD, via un invité de commandes en Powershell. (E est le lecteur où l'ISO se trouve) dism /Get-WimInfo /WimFile:E:/sources/install.esd On souhaite récupérer la version professionnelle de Windows 10, donc la 6ème. On se rend dans le dossier /sources/ où install.esd est. cd E:\sources\ dism /export-image /SourceImageFile:install.esd /SourceIndex:6 /DestinationImageFile:C:\Users\Administrateur.LAB\Desktop\install.wim /Compress:max /CheckIntegrityMDT : Microsoft Deployment Toolkit Présentation MDT pour Microsoft Deployment Toolkit est un outil pour préparer le déploiement de machines Windows. Il permet d'installer des logiciels, des pilotes, gérer les paramètres de l'ordinateur... le tout durant ou après l'installation par le réseau via le service WDS. Installation Prérequis On télécharge et installe ADK et WinPE. https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install On exécute le setup en Admin, en laissant tout par défaut. Installation de MDT On va ensuite pouvoir télécharger et installer MDT. https://www.microsoft.com/en-us/download/details.aspx?id=54259 Une fois installé, on télécharge la mise à jour. https://support.microsoft.com/en-us/topic/windows-10-deployments-fail-with-microsoft-deployment-toolkit-on-computers-with-bios-type-firmware-70557b0b-6be3-81d2-556f-b313e29e2cb7 On exécute le .exe, et on copie les fichiers extraits dans %ProgramFiles%\Microsoft Deployment Toolkit\Templates\Distribution\Tools. Création du partage de déploiement On crée un nouveau dossier sur la partition du WDS, nommé DeploymentShare. On ouvre ensuite la console Deployment Workbench et on crée notre partage. On laisse tout par défaut, on peut modifier les options plus tard. Ajout du système d'exploitation On crée un nouveau dossier nommé "Windows 10 Pro 20H2". On monte le fichier .wim extrait auparavant. On le renomme. Création d'un dossier de packages On crée un dossier dans "Packages" pour les mises à jour. On crée ensuite un profil de sélection. Création de la séquence de tâches On crée ensuite une tâche. On entre un mot de passe administrateur local. Ajouter des applications On clique droit sur Applications puis on ajoute. On choisit la première option, on choisit le chemin du dossier contenant le setup, la ligne de commande msiexec /I googlechromestandaloneenterprise64.msi /qn Edition de la séquence de tâches On a donc mis ici le profil de sélection pour les packages. On active ces deux tâches. On clique sur "Install Applications" et on coche la deuxième option, en renseignant l'application. On peut ensuite copier coller pour ajouter autant d'applications que l'on veut (on les renomme). En laissant par défaut, le choix des applications se fait durant l'installation (cases à cocher). Sécurisation du partage pour le déploiement Créer un compte de service pour MDT dans l'Active Directory On lui attribue un mot de passe fort. Permissions et partage On lui donne la permission d'ajouter un ordinateur au domaine. Sur le partage, on désactive l'héritage en convertissant les autorisations héritées. Ajouter un pilote dès le démarrage PXE On créer les dossiers. Ici, VMware, Inc. correspond au manufacturer (requête WMI, %Make%) et VMware7,1 au modèle (requête WMI, %Model%). On clique droit sur "Network" (nom défini selon le pilote, ici on ajoute un pilote réseau) et on importe. On crée un profil de sélection. (nommé WinPE x64) Ensuite, clic droit sur le partage de déploiement, propriétés, puis on vérifie : Ajouter les pilotes VMware Tools Il suffit de créer une application comme pour 7zip ou Chrome. Il faut créer un dossier VMware Tools, y copier le contenu de l'iso à l'intérieur, puis créer l'application et choisir le dossier en source. Pour la ligne de commandes : setup64.exe /S /v /qn REBOOT=R On rajoute une tâche après l'installation de VMware Tools : Restart Computer. Ajouter d'autres pilotes Pour installer d'autres pilotes, il est recommandé de créer des sous dossiers dans Windows 10 x64. On crée d'abord un dossier pour la marque, et ensuite le modèle. On ajoute ensuite un tâche qui va affecter une valeur à une variable. Cette valeur est "DriverGroup001". %Make% correspond au manufacturer (marque, comme Dell, HP, VMware, Lenovo, etc...%Model% correspond au modèle. On définit le profil de sélection pour "Nothing" dans Inject Drivers. Exemple pour chaque fichier .ini Bootstrap.ini : [Settings] Priority=Default [Default] DeployRoot=\\SRV-WDS01\DeploymentShare$ UserDomain=lab.khroners.fr UserID=mdt_admin UserPassword=mdt_admin-password SkipBDDWelcome=YES Customsettings.ini : [Settings] Priority=Init, Model, Default, SetOSD Properties=OSDPrefix, ComputerSerialNumber, TargetGroup [Init] ComputerSerialNumber=#Right(Replace(Replace(oEnvironment.Item("SerialNumber")," ",""),"-",""),6)# [Default] OSInstall=Y ;Computer Details SkipComputerName=YES SkipDomainMembership=YES JoinDomain=lab.khroners.fr DomainAdmin=mdt_admin DomainAdminDomain=lab.khroners.fr DomainAdminPassword=mdt_admin-password MachineObjectOU=OU=Workstations,OU=Computers,OU=LAB,DC=lab,DC=khroners,DC=fr ;Skip Task Sequence SkipTaskSequence=YES TaskSequenceID=W10-20H2-X64 ;User Data SkipUserData=YES ;Computer Backup SkipComputerBackup=YES ;Product Key SkipProductKey=YES ;Language Packs SkipPackageDisplay=YES ;Locale and Time SkipLocaleSelection=YES SkipTimeZone=YES KeyboardLocale=040c:0000040c KeyboardLocalePE=040c:0000040c UserLocale=fr-FR UILanguage=fr-FR TimeZoneName=Romance Standard Time ;Roles and Features SkipRoles=YES ;Applications SkipApplications=NO ;Administrator Password SkipAdminPassword=YES AdminPassword=local-admin-password ;Local Administrators SkipAdminAccounts=YES ;Capture Image SkipCapture=YES ;Bitlocker SkipBitLocker=YES ;Ready to begin SkipSummary=YES ;Operating system deployment completed successfully SkipFinalSummary=YES FinishAction=SHUTDOWN WSUSServer=https://srv-wsus01.lab.khroners.fr:8531 SLShare=\\SRV-WDS01\DeploymentShare$\Logs EventService=http://SRV-WDS01:9800 OSDComputerName=%OSDPrefix%-%ComputerSerialNumber% [VMware7,1] OSDPrefix=VM Déploiement MDT avec WSUS SSL Suite à mon guide pour le WSUS en SSL, il faut avoir le certificat sur le poste pour rechercher des mises à jour. Pour cela, on le fait habituellement en GPO. Cependant, ces stratégies ne sont pas appliquées durant le déploiement. On va donc les importer. Pour cela, il faut créer un dossier sur le serveur MDT (pas dans le partage), avec le certificat (en .cer) et un fichier de commandes .cmd. Je vais créer ce dossier dans W:\Logiciels\. Le contenu du fichier Import-Certificates : certutil -addstore -f "Root" "cert.cer" certutil -addstore -f "TrustedPublisher" "cert.cer" On ajoute ensuite ce dossier en créant une application comme pour Google Chrome & 7Zip. En source, on choisit le dossier. Pour la commande, on rentre le nom du fichier, c'est à dire : Import-Certificates.cmd On ajoute ensuite une tâche dans la Task Sequence. (Pour cela, je copie colle "Chrome" par exemple, et on modifie le nom et l'application à installer) Faites en sorte de l'installer avant la tâche Windows Update. Dans mon cas, après VMware Tools. On modifie également la ligne dans le fichier customsettings.ini pour ajouter le https et le port. Attention : Il faut mettre le FQDN. Ciblage côté client pour WSUS Pour activer le ciblage pour le WSUS, on rajoute une tâche. Activation du monitoring (supervision) Dans les propriétés du partage du déploiement, on active le monitoring dans l'onglet "monitoring". En se rendant sur cette URL, on devrait arriver sur la page. http//localhost:9800/MDTMonitorEvent/ On ajoute ensuite dans le fichier customsettings.ini la ligne : EventService=http://SRV-WDS01:9800 Génération de l'image On clique droit sur le partage de déploiement et "Update..." Ajout de l'image dans WDS On ajoute l'image LiteTouchPE_x64.wim situé sur le partage dans le dossier boot dans Images de démarrage. Dans les propriétés, on rajoute l'image. On clique droit sur le serveur, toutes les tâches puis redémarrer. Tests On pourra automatiser le choix de la séquence de tâches en ajoutant SkipTaskSequence=YES et TaskSequenceId=l'ID_de_notre_sequence_de_taches (dans mon cas, W10-20H2-X64). Une fois l'installation faite : Les applications rajoutées précédemment s'installent. Déploiement inter-sites Il est possible de répliquer un MDT sur différents sites. Pour cela, il sera nécessaire de procéder à une réplication DFS ainsi que de modifier le fichier ini (customsettings). Créer une image de référence 21H2 Création du déploiement Ouvrez la console DeploymentWorkbench dans le menu Démarrer. Cliquez avec le bouton droit de la souris sur "Deployment Shares". Sélectionnez "New Deployment Share". Saisissez le chemin d'accès au partage de déploiement : M:\DeploymentShare Entrez le nom du partage : DeploymentShare$. Donnez une description au partage. Dans l'écran "Options", acceptez les valeurs par défaut car vous pourrez les modifier ultérieurement. Complétez l'assistant pour créer le partage. Par défaut, les autorisations de partage sont définies sur le groupe des administrateurs locaux. Nous reviendrons sur ce point plus tard. Ajout d'un système d'exploitation Montez l'ISO Windows 10 21H2 dans l'Explorateur de fichiers. Allez dans "Deployment Workbench" > "Operating Systems". Faites un clic droit et sélectionnez "New Folder". Entrez le nom "Windows 10 21H2" et créez le dossier. Cliquez à nouveau avec le bouton droit de la souris et sélectionnez Importation du système d'exploitation. Dans l'assistant, sélectionnez Ensemble complet de fichiers source, puis entrez la racine de l'ISO monté comme répertoire source. Pour le nom du répertoire de destination, entrez Windows 10 21H2 et terminez l'assistant. Allez dans le nœud Systèmes d'exploitation/Windows 10 21H2 et renommez les nouvelles entrées ajoutées à Windows 10 21H2 Edition pour faciliter l'utilisation. Création d'un dossier de paquets pour les futures mises à jour Allez dans "Deployment Workbench" > "Packages". Créez un dossier nommé "Windows 10 21H2". Nous allons maintenant créer un profil de sélection afin que la séquence de tâches tente uniquement d'installer les mises à jour de Windows 10 21H2 que nous rendons disponibles via MDT. Création d'un profil de sélection Développez le nœud "Advanced Configuration". Cliquez avec le bouton droit sur "Selection Profile" et sélectionnez "New Selection Profile". Nommez-le "Windows 10 21H2". Sur la page "Folders", cochez le dossier "Windows 10 21H2" sous "Packages" et terminez l'assistant. Importation d'applications Si vous souhaitez ajouter des applications à votre image de référence, je vais expliquer comment ajouter VLC comme exemple d'application. Allez dans "Deployment Workbench" > "Deployment Share" > "Applications". Cliquez avec le bouton droit sur "Applications" et sélectionnez "New Application". Dans l'assistant, choisissez "Application with source files". Donnez à l'application le nom de : VLC. Entrez le répertoire source des fichiers d'installation. Saisissez le répertoire de destination : VLC. Pour la ligne de commande, entrez n'importe quoi, nous y reviendrons plus tard. Sur la page de résumé, cliquez sur Next et après la copie des fichiers, cliquez sur Finish pour terminer l'assistant. Configuration des applications Cliquez avec le bouton droit sur "VLC", puis "Détails". Saisissez la commande d'installation silencieuse suivante : vlc-setup.exe /S VLC est maintenant configuré pour être installé silencieusement par la séquence de tâches. Pour ajouter d'autres logiciels, vous devrez répéter les étapes ci-dessus, avec la ligne de commande appropriée pour les installer silencieusement. Vous trouverez ci-dessous quelques lignes de commande pour certains logiciels : Google Chrome - Enterprise Installer msiexec /I googlechromestandaloneenterprise64.msi /qn Adobe Reader - Enterprise Installer AdobeReaderDC.exe /sAll Nous devons maintenant créer une nouvelle séquence de tâches pour créer une image de référence. Création d'une séquence de tâches Dans "Deployment Workbench", allez dans "Task Sequences". Cliquez avec le bouton droit et sélectionnez "New Task Sequence". Pour l'ID, entrez : "W10-21H2". Nommez-la "Build Windows 10 21H2". Sélectionnez "Standard Client Task Sequence". Sélectionnez le système d'exploitation "Windows 10 21H2". Sélectionnez "Do not specify a product key at this time". Entrez un nom d'organisation. Sélectionnez "Do not specify an Administrator password at this time". Terminez l'assistant. Nous allons maintenant configurer la séquence de tâches. Configuration de la séquence de tâches Cliquez avec le bouton droit sur la séquence de tâches qui vient d'être créée et sélectionnez "Properties". Allez dans l'onglet "Task Sequence". Développez le dossier "Preinstall" et sélectionnez l'élément "Apply Patches". Changez le profil de sélection pour "Windows 10 21H2". Allez dans le dossier "State Restore" et sélectionnez "Windows Update (Pre-Application Installation)". Dans la partie droite de la fenêtre, allez dans l'onglet "Options". Décochez la case "Disable this step" et faites de même avec "Windows Update (Post-Application Installation)". Si vous avez sauté la section "Importer des applications", désactivez l'élément "Install Applications" et passez à l'étape suivante. Allez à l'élément "Install Applications". Dans la partie droite, sélectionnez l'option "Install a single application" et cliquez sur le bouton "Browse...". Sélectionnez "Google Chrome" et changez le nom "Install Applications" en "Google Chrome". Pour installer d'autres applications, copiez et collez l'élément "Install Applications" et répétez les étapes 10 et 11 pour les applications de votre choix. Cliquez sur "Apply" et fermez la séquence de tâches. Ensuite, nous allons créer un compte d'utilisateur de domaine pour MDT afin de l'utiliser comme compte de service. Création d'un compte de service pour MDT dans Active Directory Allez dans la console "Utilisateurs et ordinateurs Active Directory". Créez un utilisateur appelé "CDS_MDT" et donnez-lui un mot de passe complexe. Donnez à l'utilisateur "CDS_MDT" des permissions de contrôle total sur le partage et des permissions de contrôle total sur tous les fichiers et dossiers du partage de déploiement. Ensuite, nous devons configurer les fichiers Bootstrap.ini et CustomSettings.ini pour définir les options de l'environnement de déploiement. Les paramètres ci-dessous permettent d'activer la connexion automatique et d'ignorer des étapes. Ils ne doivent donc être utilisés que dans des environnements de test/laboratoire. Configuration de Bootstrap.ini Dans la console "Deployment Workbench", cliquez droit sur le partage de déploiement et sélectionnez "Propriétés". Sélectionnez l'onglet "Rules" et cliquez sur le bouton "Edit Bootstrap.ini". Ajoutez les paramètres ci-dessous au fichier Bootstrap.ini. Fermez et enregistrez le fichier Bootstrap.ini. [Settings] Priority=Default [Default] DeployRoot=\\SERVER-NAME\DeploymentShare$ UserDomain=domaine.fr UserID=CDS_MDT UserPassword=motdepasse SkipBDDWelcome=YES Configuration de CustomSettings.ini Dans l'onglet "Rules" de la fenêtre des propriétés du Deployment Share, ajoutez les paramètres ci-dessous. [Settings] Priority=Default ; Si vous n'utilisez pas de serveur WSUS pour les mises à jour, supprimez ou mettez en commentaire la ligne ci-dessous et decommentez l'autre. Properties=TargetGroup ; Properties=MyCustomProperty [Default] TargetGroup=MDT OSInstall=Y SkipCapture=YES SkipAdminPassword=YES SkipProductKey=YES SkipComputerBackup=YES SkipBitLocker=YES SkipLocaleSelection=YES SkipTimeZone=YES SkipDomainMembership=YES SkipSummary=YES SkipFinalSummary=YES SkipComputerName=YES SkipUserData=YES _SMSTSORGNAME=Partage de reference _SMSTSPackageName=%TaskSequenceName% DoCapture=YES ComputerBackupLocation=\\SERVER-NAME\DeploymentShare$\Captures BackupFile=%TaskSequenceID%_#year(date) & "-" & month(date) & "-" & day(date) & "-" & hour(time) & "-" & minute(time)#.wim ; Si vous voulez utiliser un serveur WSUS pour les mises à jour, utilisez cette ligne, supprimez ou mettez en commentaire les mises à jour provenant d'Internet. WSUSServer=http://WSUS-SERVER:8530 FinishAction=SHUTDOWN SLShare=\\SERVER-NAME\DeploymentShare$\Logs EventService=http://SERVER-NAME:9800 Nous devons maintenant créer le support de démarrage pour démarrer la VM dans l'environnement de déploiement. Création du support de démarrage Dans la console "Deployment Workbench", cliquez avec le bouton droit sur le partage de déploiement. Sélectionnez "Update Deployment Share". Sélectionnez "Completely regenerate the boot images". Suivez l'assistant. La création des images de démarrage prendra un certain temps. Test et capture d'une image de référence Pour tout tester, nous avons deux choix : Copier le fichier ISO que nous venons de générer et l'insérer dans le lecteur CD/DVD de notre VM, Se rendre dans la console "Services de déploiement Windows" et ajouter l'image dans "Images de démarrage" au format WIM. Dans les deux cas, l'image à utiliser se nomme "LiteTouchPE_x64" "et se trouve ici : M:\DeploymentShare\Boot Créez une nouvelle VM avec la configuration suivante : Au moins 2x vCPUs, Au moins 4GB de RAM, Adaptateur réseau avec accès au même réseau que le serveur MDT/WDS/WSUS, Disque dur virtuel d'au moins 40 Go, de préférence sur un support rapide, Démarrez à partir du CD en utilisant le fichier LiteTouchPE_x64.iso de MDT ou à partir du réseau (boot PXE). Si vous utilisez Hyper-V, veillez à ce que l'option "Utiliser les points de contrôle automatiques" est désactivée et que la VM est une génération 1. Si vous utilisez VMware, veillez à utiliser l'option de démarrage BIOS et non UEFI. Démarrez la VM et elle démarrera à partir du fichier LiteTouchPE_x64 dans l'environnement de déploiement. Vous verrez apparaître un écran portant le nom de la séquence de tâches que vous avez créée précédemment. Sélectionnez votre séquence de tâches et cliquez sur "Suivant" et la séquence de tâches commencera. La séquence de tâches installera Windows 10 21H2, effectuera la mise à jour à partir du serveur Internet/WSUS, installera les applications optionnelles si vous les avez ajoutées, puis exécutera à nouveau la mise à jour de Windows à partir du serveur Internet/WSUS. Elle exécutera ensuite SysPrep et tentera de redémarrer dans l'environnement de déploiement à partir du disque local et d'envoyer l'image au serveur MDT. Lorsque ce processus est terminé, la VM est arrêtée et un fichier nommé W10-21H2_YEAR_MONTH_DAY_HOUR_MINUTE.wim se trouve dans le dossier "Captures" du "Deployment Share". Vous avez maintenant une image de référence pour Windows 10 21H2 et une installation de "Microsoft Deployment Toolkit", avec un partage de déploiement spécifiquement configuré pour la création et la capture d'images de référence. Impossible de trouver le fichier script "C:\LTIbootstrap.vbs". Si vous rencontrez l'erreur suivante : "Impossible de trouver le fichier script "C:\LTIbootstrap.vbs.",  il y a deux solutions. Vous utilisez une machine virtuelle Hyper-V de génération 2. Dans ce cas, utilisez plutôt une machine virtuelle de génération 1 (donc en mode BIOS). Vous utilisez VMware (Workstation, ESXI, Fusion...). Dans ce cas, modifier l'option de démarrage en BIOS au lieu de EFI par défaut. Déployer une image de référence avec MDT et WDS Introduction Nous allons reproduire des étapes très similaires à la création de l'image de référence. Création du partage de déploiement Ouvrez la console "Deployment Workbench" dans le menu Démarrer. Cliquez avec le bouton droit sur "Deployment Shares". Sélectionnez "New Deployment Share". Saisissez le chemin d'accès au partage de déploiement : "M:\Deploy". Entrez le nom du partage : "Deploy$". Donnez une description au partage. Acceptez les valeurs par défaut car nous pourrons les modifier ultérieurement. Par défaut, les autorisations de partage sont définies sur le groupe des administrateurs locaux. Nous reviendrons sur ce point plus tard. Ajouter un système d'exploitation Allez dans la console "Deployment Workbench" > "Operating Systems". Cliquez avec le bouton droit et sélectionnez "Import Operating System". Dans l'assistant, sélectionnez "Custom image file", puis naviguez jusqu'au dossier "Captures" du partage "DeploymentShare" comme fichier source (le fichier .wim créé suite à la capture). Lorsqu'on vous demande de spécifier les fichiers de configuration du système d'exploitation, sélectionnez "Setup files are not needed". Pour le nom du répertoire de destination, entrez un nom que vous souhaitez utiliser et terminez l'assistant. Allez dans le nœud "Operating Systems" et renommez l'image de référence que nous venons de capturer en quelque chose de plus lisible. Création d'une séquence de tâches Dans la console "Deployment Workbench", allez dans "Task Sequences". Cliquez avec le bouton droit et sélectionnez "New Task Sequence". Pour l'ID, entrez : "W10-21H2". Nommez-la "Deploy Windows 10 21H2". Sélectionnez "Standard Client Task Sequence". Pour le système d'exploitation, sélectionnez l'image personnalisée que nous avons importée précédemment. Sélectionnez "Do not specify a product key at this time" si vous utilisez KMS. Saisissez un nom d'organisation. Saisissez le mot de passe de l'administrateur local. Terminez l'assistant. Maintenant, nous allons configurer la séquence de tâches. Configuration de la séquence de tâches Faites un clic droit sur la séquence de tâches qui vient d'être créée et sélectionnez "Propriétés". Développez le dossier "Initialisation" dans le volet de gauche. Allez sur l'élément "Gather local only". Dans la fenêtre "Propriétés", sélectionnez "Gather local data and process rules". Saisissez les éléments suivants dans "Rules file" : customsettings.ini. Allez dans le dossier "State Restore" et sélectionnez "Windows Update (Pre-Application Installation)". Dans la partie droite de la fenêtre "Propriétés", allez sur l'onglet "Options". Décochez la case "Disable this step" et faites de même avec "Windows Update (Post-Application Installation)". Sélectionnez l'élément "Install Applications" et cochez la case "Disable this step". Cliquez sur "Appliquer" et fermez la séquence de tâches. Sécurisation du partage de déploiement Dans le post précédent, nous avons créé un utilisateur appelé mdt_admin dans Active Directory pour être utilisé comme un compte de service. Nous devons donner à cet utilisateur l'accès au nouveau partage de déploiement que nous avons créé ici. Allez sur le serveur ou le PC où le partage de déploiement est hébergé. Donnez à l'utilisateur mdt_admin des permissions de contrôle total sur le partage et des permissions de contrôle total sur tous les fichiers et dossiers du partage de déploiement. Vous pouvez également donner des autorisations similaires aux utilisateurs ou aux groupes qui vont utiliser le partage de déploiement. Ensuite, nous devons configurer les fichiers Bootstrap.ini et CustomSettings.ini pour contrôler certains aspects de l'environnement de déploiement. Les paramètres ci-dessous sont une configuration minimale de mon laboratoire, et vous pouvez vouloir ajouter plus de temps. Configuration de Bootstrap.ini Dans Deployment Workbench, cliquez avec le bouton droit de la souris sur le partage de déploiement et sélectionnez Propriétés. Sélectionnez l'onglet Rules et cliquez sur le bouton Edit Bootstrap.ini. Ajoutez les paramètres ci-dessous au fichier Bootstrap.ini. Fermez et enregistrez le fichier Bootstrap.ini. Configuration de CustomSettings.ini Les paramètres ci-dessous méritent quelques explications. La section [Virtual Machine] concerne l'installation des pilotes, que nous aborderons plus tard dans cet article. La section Join Domain est importante. Ici, j'ai mis le compte mdt_admin à utiliser comme compte pour joindre le périphérique en cours d'imagerie au domaine contoso.com. Si vous suivez ce guide à la lettre, le compte mdt_admin n'aura pas les autorisations appropriées pour joindre un périphérique à un domaine, et vous devez donc soit lui donner les autorisations requises, soit créer un nouveau compte dans ce but précis. Les autres paramètres sont les préférences d'emplacement relatives au Royaume-Uni et les paramètres de résolution qui empêchent le périphérique fini d'adopter par défaut une résolution de 1024 x 768, et d'utiliser à la place la résolution recommandée que Windows reçoit de l'écran. Dans l'onglet Règles de la fenêtre des propriétés de Deployment Share, ajoutez les paramètres ci-dessous. Nous devons maintenant créer le support de démarrage pour démarrer la VM dans l'environnement de déploiement. Création du support de démarrage Dans Deployment Workbench, cliquez avec le bouton droit de la souris sur le partage de déploiement. Sélectionnez Update Deployment Share. Sélectionnez Completely regenerate the boot images. Suivez l'assistant. La création des images de démarrage prendra un certain temps. Test de la séquence de tâches Pour tout tester, nous devons copier le fichier ISO que nous venons de générer. Il se trouve dans le dossier Boot du Deployment Share. Allez sur le serveur ou le PC qui héberge le partage de déploiement et naviguez jusqu'au dossier de démarrage. Il devrait y avoir à l'intérieur un fichier nommé LiteTouchPE_x64.iso. Copiez ce fichier à un endroit où une machine virtuelle Hyper-V pourra y accéder. Pour éviter toute confusion avec l'ISO que nous avons généré à partir du partage de déploiement Build, nous ajouterons -deploy au nom de ce nouvel ISO. Créez une nouvelle VM dans Hyper-V avec la configuration suivante : Pour Hyper-V uniquement : Génération 1, pas 2. Des problèmes ont été signalés avec des VM de génération 2. Au moins 2x vCPUs Au moins 4GB de RAM Adaptateur réseau avec accès au réseau local. Disque dur virtuel d'au moins 40 Go, de préférence sur un support rapide. Démarrez à partir du CD en utilisant le fichier LiteTouchPE_x64-deploy.iso de MDT. Si vous utilisez Hyper-V sous Windows 10 1709 ou supérieur, assurez-vous que l'option Utiliser les points de contrôle automatiques est désactivée. Démarrez la VM et elle démarrera à partir de l'iso LiteTouchPE_x64-deploy.iso dans l'environnement de déploiement. Un écran de connexion s'affichera et vous devrez vous connecter avec les informations d'identification Active Directory qui ont accès au partage de déploiement. Une fois connecté, vous verrez apparaître un écran portant le nom de la séquence de tâches que vous avez créée précédemment. Sélectionnez votre séquence de tâches et cliquez sur Next. Vous serez invité à entrer un nom pour le dispositif, il sera également ajouté à Active Directory sous ce nom. Cliquez sur Next et la séquence de tâches commencera. Lorsque la séquence de tâches est terminée, la VM est arrêtée. Ceci termine le test de base de la séquence de tâches de déploiement. Nous allons maintenant passer aux pilotes et à une configuration plus poussée. Configuration des associations d'applications par défaut Voici comment configurer les associations d'applications par défaut dans la séquence de tâches de déploiement. En utilisant une installation existante de Windows 10, naviguez vers Paramètres > Système > Applications par défaut. Définissez les applications par défaut et toute autre association de fichiers, le cas échéant. Ouvrez Windows PowerShell (Admin) en cliquant avec le bouton droit de la souris sur le bouton Windows/Démarrer ou en appuyant sur Win + X. Dans la fenêtre PowerShell, tapez ce qui suit et appuyez sur Entrée : Dism /Online /Export-DefaultAppAssociations:C:\AppAssoc.xml Après quelques secondes, vous devriez voir L'opération s'est déroulée avec succès dans la fenêtre PowerShell. Naviguez jusqu'à C:\ et copiez AppAssoc.xml dans votre partage de déploiement MDT : \SERVER-NAME\Deploy$\_custom. Ouvrez le Deployment Workbench et accédez à Deployment Share > Task Sequences. Cliquez avec le bouton droit de la souris sur la séquence de tâches Déployer Windows 10 21H2 et sélectionnez Propriétés. Cliquez sur l'onglet Séquence de tâches et naviguez jusqu'à Postinstall > Configure. Cliquez sur le bouton Ajouter en haut de la vue des actions de la séquence de tâches et allez dans Général > Exécuter la ligne de commande. Entrez Set Default App Associations dans le champ Nom, et dans le champ Ligne de commande entrez : [code language="text"]Dism.exe /Image:%OSDisk%\ /Import-DefaultAppAssociations:%DEPLOYROOT%\Applications\_scripts\AppAssoc.xml[/code] Cliquez sur Appliquer pour enregistrer les modifications. Gestion des pilotes Nous allons maintenant configurer la façon dont les pilotes sont installés pour les périphériques physiques sur lesquels nous allons déployer Windows 10. Il y a plusieurs façons de le faire, ici je vais montrer la méthode "Total Control" que j'ai utilisé plus récemment. La première chose dont vous aurez besoin est le fabricant et les numéros de modèle de tous les appareils sur lesquels vous souhaitez déployer l'image. Vous pouvez les trouver en démarrant un appareil dans sa version actuelle de Windows ou dans l'environnement de déploiement WinPE en utilisant le disque de démarrage LiteTouch_x64.iso ou un démarrage PXE. Voici un article précédent que j'ai écrit sur la façon de configurer le démarrage PXE pour MDT si nécessaire : Démarrage PXE pour Microsoft Deployment Toolkit. Lorsque le périphérique est démarré dans l'environnement de déploiement, appuyez sur F8 pour obtenir une invite de commande, et tapez les commandes suivantes : wmic computersystem get manufacturerwmic computersystem get model Le résultat de ces commandes est le nom du fabricant et le numéro de modèle dont vous aurez besoin. La prochaine chose dont vous aurez besoin, ce sont les pilotes. Windows 10 est bon pour installer les pilotes manquants à partir de Windows Update, mais cela peut prendre un certain temps et il serait préférable que le périphérique fonctionne avec tous les pilotes dont il a besoin une fois le déploiement terminé. La plupart des grands fabricants (Dell, HP, Lenovo) font un travail décent en fournissant des pilotes qui peuvent être utilisés avec MDT. Si vous avez des difficultés à les trouver, vous pouvez utiliser le catalogue Microsoft Update pour rechercher et télécharger les pilotes spécifiques que Windows Update installe et les utiliser avec MDT. Une fois que vous avez les pilotes dont vous avez besoin, nous devons les ajouter à MDT. Ouvrez le Deployment Workbench. Accédez à Deployment Share > Out-of-Box Drivers. Faites un clic droit et sélectionnez Nouveau dossier, nommez le dossier La sortie du fabricant. Cliquez avec le bouton droit de la souris sur le dossier Manufacturer et sélectionnez New Folder. Nommez le dossier en fonction du modèle de périphérique pour lequel nous allons importer des pilotes. Cliquez avec le bouton droit de la souris sur le dossier que vous venez de créer et créez des dossiers pour chaque type de pilote que vous ajouterez, par exemple Graphics, Chipset, Bluetooth. NOTE : Ceci est juste pour la commodité et n'est pas nécessaire pour l'installation des pilotes. Faites un clic droit sur un dossier de type de pilote et sélectionnez Importer des pilotes. Entrez le répertoire source des pilotes pour ce type de pilote. Cochez la case Importer les pilotes même s'ils sont des doublons d'un pilote existant. Cliquez sur Suivant et terminez l'assistant. L'assistant copiera tous les fichiers nécessaires dans le dossier du type de pilote. Répétez les étapes 7-10 pour chaque type de pilote requis. Enfin, répétez les étapes 3 à 11 pour chaque fabricant et modèle requis. Si vous avez de nombreux fabricants et modèles différents, ce processus peut être assez fastidieux. J'ai créé un script PowerShell pour automatiser le processus, il est sur mon GitHub ici. Il nécessite une certaine documentation que je fournirai dans un post séparé. Nous devons maintenant modifier la séquence de tâches de déploiement pour configurer l'emplacement du pilote. Allez dans l'atelier de déploiement et les séquences de tâches, sélectionnez la séquence de tâches Déployer Windows 10. Allez sur l'onglet Séquence de tâches dans la fenêtre Propriétés. Naviguez jusqu'à Preinstall et sélectionnez Enable Bitlocker (Offline), puis allez dans le menu Add, General et sélectionnez Set Task Sequence Variable. Vous devriez avoir une nouvelle variable vide Set Task Sequence Variable sous Enable Bitlocker (Offline). Renommez la variable vide Set Task Sequence Variable en Set DriverGroup. Dans le panneau Propriétés, entrez ce qui suit pour Task Sequence Variable : DriverGroup001. Dans le panneau Propriétés, entrez la valeur suivante : %Make%\%Model%. Maintenant, descendez et sélectionnez Inject Drivers. Dans le panneau Propriétés, changez la liste déroulante Choose a selection profile (Choisir un profil de sélection) en Nothing (Rien). Sélectionnez l'option Installer tous les pilotes du profil de sélection. Cliquez sur Appliquer pour enregistrer les modifications et sur OK pour fermer la séquence de tâches. La séquence de tâches est maintenant configurée pour installer les pilotes de tout périphérique dont les pilotes se trouvent dans la structure de dossier correcte sous Out-of-Box Drivers. Démarrez le périphérique physique dans l'environnement de déploiement et exécutez la séquence Déployer Windows 10 21h2. Une fois l'opération terminée, vérifiez le Gestionnaire de périphériques et tous les périphériques devraient être installés avec succès. Ajout de pilotes à l'image de démarrage de MDT Il peut être nécessaire d'ajouter des pilotes à l'image de démarrage MDT pour des périphériques tels que des cartes de stockage ou de réseau. Pour déterminer si des pilotes sont nécessaires : Démarrez le périphérique en question dans l'environnement de déploiement et appuyez sur F8 pour faire apparaître une invite de commande. Tapez ipconfig et si vous disposez d'une adresse IP, vous ne devriez pas avoir à ajouter de pilotes d'adaptateurs réseau. Tapez diskpart, et lorsque diskpart est chargé, tapez list disk. Si le disque dur local est répertorié, vous ne devriez pas avoir à ajouter de pilotes de stockage. Si vous devez ajouter des pilotes à l'image de démarrage : Dans le Deployment Workbench, accédez à Deployment Share > Out-of-Box Drivers. Cliquez avec le bouton droit de la souris et sélectionnez Nouveau dossier, appelez le dossier WinPE x64. Cliquez avec le bouton droit de la souris sur le dossier WinPE x64 et sélectionnez New Folder. Nommez le dossier d'un nom approprié au fabricant du périphérique pour lequel vous allez ajouter des pilotes, puis créez un autre dossier à l'intérieur pour le modèle du périphérique. Faites un clic droit sur le dossier du modèle que vous venez de créer et créez des dossiers pour chaque type de pilote que vous ajouterez, par exemple Stockage, Réseau. Pour importer les pilotes, faites un clic droit sur un dossier de type de pilote et sélectionnez Importer des pilotes. Entrez le répertoire source des pilotes et cochez la case Importer les pilotes même s'ils sont des doublons d'un pilote existant. Cliquez sur Suivant et terminez l'assistant. L'assistant copiera tous les fichiers nécessaires dans le dossier du type de pilote. Répétez les étapes 6 à 8 pour chaque type de pilote requis. Nous devons maintenant créer un profil de sélection pour WinPE x64. Allez dans Configuration avancée puis Profils de sélection. Cliquez avec le bouton droit de la souris sur Selection Profiles et sélectionnez New Selection Profile. Entrez WinPE x64 comme nom de profil de sélection. Dans la liste des dossiers, naviguez jusqu'à DS001:\ > Out-of-Box Drivers > WinPE x64 et cochez la case à côté du dossier. Cliquez sur Next > Next > Finish pour terminer l'assistant. Cliquez avec le bouton droit de la souris sur le Deployment Share et sélectionnez Properties. Allez dans l'onglet Windows PE et changez le menu déroulant Plate-forme en x64. Allez dans l'onglet Drivers and Patches et changez le menu déroulant Selection profile en WinPE x64. Assurez-vous que l'option Inclure uniquement les pilotes des types suivants est sélectionnée et que les options Inclure tous les pilotes réseau dans le profil de sélection et Inclure tous les pilotes de stockage de masse dans le profil de sélection sont cochées. Cliquez sur Appliquer pour enregistrer les modifications, puis sur OK pour fermer la fenêtre Propriétés. Cliquez avec le bouton droit de la souris sur le Deployment Share et sélectionnez Update Deployment Share. Sélectionnez Completely regenerate the boot images, puis Next. Les images de démarrage seront régénérées avec les pilotes inclus. Cliquez sur Terminer pour terminer l'assistant.Le support de démarrage MDT devrait maintenant comporter les pilotes de réseau et/ou de stockage requis. Vous disposez maintenant d'une image de référence pour Windows 10 21H2 qui est prête à être déployée. MDT / WDS avec base de données SQL On peut utiliser une base de données afin de reparamétrer des appareils (rôles, applications, nom d'ordinateur, ou des variables). Dans mon cas, j'utilise une base de données afin de nommer les ordinateurs selon leurs adresses MAC. On peut également utiliser le numéro de série : Dans mon cas, j'ai installé SQL Server 2019 Express (gratuite) : https://go.microsoft.com/fwlink/?linkid=866658 Dans le gestionnaire de configuration SQL, on active les canaux nommés. On active également SQL Server Browser et on le place en automatique. Dans MDT, on ajoute la base de données : On spécifie ces options : On clique droit sur "Database" et "Configure Database Rules". On ne coche seulement la première case (dans mon besoin). Cela rajoute automatiquement des informations dans le customsettings.ini. On installe ensuite "Microsoft SQL Server Management Studio". On créer un compte : On le nomme sql_mdt, un mot de passe et on choisit "MDT" comme base de données par défaut. Dans "User Mapping", on coche MDT. Exemple de customsettings.ini : [Settings] Priority=DefaultGateway, TaskSequenceID, Default, MAKE, CSettings Properties=TargetGroup [Default] OSInstall=Y ;Computer Details SkipComputerName=YES SkipDomainMembership=YES JoinDomain=ad.khroners.fr DomainAdmin=mdt_admin DomainAdminDomain=ad.khroners.fr DomainAdminPassword=S€CUR3DP4ssw0rD1234 ;Skip Task Sequence SkipTaskSequence=NO ;TaskSequenceID=W10PRO-21H2-X64 ;Drivers DriverGroup001=WinPE x64\%Make% ;WSUS TargetGroup=MDT ;User Data SkipUserData=YES ;Computer Backup SkipComputerBackup=YES ;Product Key SkipProductKey=YES ;Language Packs SkipPackageDisplay=YES ;Locale and Time SkipLocaleSelection=YES SkipTimeZone=YES KeyboardLocale=040c:0000040c KeyboardLocalePE=040c:0000040c UserLocale=fr-FR UILanguage=fr-FR TimeZoneName=Romance Standard Time ;Roles and Features SkipRoles=YES ;Applications SkipApplications=YES ;Administrator Password SkipAdminPassword=YES AdminPassword=local-admin-password ;Local Administrators SkipAdminAccounts=YES ;Capture Image SkipCapture=YES ;Bitlocker SkipBitLocker=YES ;Ready to begin SkipSummary=YES ;Operating system deployment completed successfully SkipFinalSummary=YES FinishAction=REBOOT WSUSServer=http://RN-SRV-WS-AAD01.ad.khroners.fr:8530 [DefaultGateway] 10.29.0.254=Brest 10.35.100.254=Rennes [Brest] SLShare=\\BR-SRV-WDS01.ad.khroners.fr\DeploymentShare$\Logs EventService=http://BR-SRV-WDS01:9800 [Rennes] SLShare=\\RN-SRV-WDS01.ad.khroners.fr\DeploymentShare$\Logs EventService=http://RN-SRV-WDS01:9800 [W10-21H2-ADM-35] MachineObjectOU=OU=Administratifs,OU=Workstations,OU=RENNES,OU=Sites,DC=ad,DC=khroners,DC=fr [W10-21H2-FOR-35] MachineObjectOU=OU=Formateurs,OU=Workstations,OU=RENNES,OU=Sites,DC=ad,DC=khroners,DC=fr [CSettings] SQLServer=RN-SRV-WDS01.ad.khroners.fr Instance=SQLEXPRESS Database=MDT Netlib=DBMSSOCN DBID=sql_mdt DBPWD=S€CUR3DSqLP4ssw0rD1234 Table=ComputerSettings Parameters=UUID, AssetTag, SerialNumber, MacAddress ParameterCondition=OR Modifier le registre d'une image Windows Je modifie le registre de l'ISO de Windows afin d'empêcher la recherche automatique de pilotes via Windows Update. Pour se faire, il faut avoir extrait le wim de l'édition que l'on souhaite (ou spécifier l'index, mais ne déployant qu'un type d'OS (la version pro), j'en ai qu'un). dism /mount-wim /wimfile:C:\Users\Administrateur.AD\Desktop\install.wim /mountdir:C:\AIKMount /index:1 reg load HKEY_LOCAL_MACHINE\MountedHive C:\AIKMount\Windows\System32\config\SOFTWARE reg add HKEY_LOCAL_MACHINE\MountedHive\Microsoft\Windows\CurrentVersion\DriverSearching /v SearchOrderConfig /t REG_DWORD /d 0 /f reg add HKEY_LOCAL_MACHINE\MountedHive\Policies\Microsoft\Windows\WindowsUpdate /v ExcludeWUDriversInQualityUpdate /t REG_DWORD /d 00000001 /f reg unload HKEY_LOCAL_MACHINE\MountedHive Dism /Unmount-image /MountDir:C:\AIKMount /commit La première commande monte l'image dans un répertoire, la suivante monte le registre de cette image. Les deux suivantes modifient le registre, l'autre décharge le registre et la dernière démonte l'image en appliquant les modifications.Exemple : MDT avec SQL Dans mon lab, j'ai déployé un MDT avec DFS pour les applications. Voici l'exemple complet : Fichier customsettings.ini [Settings] Priority=DefaultGateway, TaskSequenceID, Default, MAKE, CSettings Properties=TargetGroup [Default] OSInstall=Y ;Computer Details SkipComputerName=YES SkipDomainMembership=YES JoinDomain=ad.khroners.fr DomainAdmin=mdt_admin DomainAdminDomain=ad.khroners.fr DomainAdminPassword=Motdepasse ;Skip Task Sequence SkipTaskSequence=NO ;TaskSequenceID=W10PRO-21H2-X64 ;Drivers DriverGroup001=WinPE x64\%Make% ;WSUS TargetGroup=MDT ;User Data SkipUserData=YES ;Computer Backup SkipComputerBackup=YES ;Product Key SkipProductKey=YES ;Language Packs SkipPackageDisplay=YES ;Locale and Time SkipLocaleSelection=YES SkipTimeZone=YES KeyboardLocale=040c:0000040c KeyboardLocalePE=040c:0000040c UserLocale=fr-FR UILanguage=fr-FR TimeZoneName=Romance Standard Time ;Roles and Features SkipRoles=YES ;Applications SkipApplications=YES ;Administrator Password SkipAdminPassword=YES AdminPassword=local-admin-password ;Local Administrators SkipAdminAccounts=YES ;Capture Image SkipCapture=YES ;Bitlocker SkipBitLocker=YES ;Ready to begin SkipSummary=YES ;Operating system deployment completed successfully SkipFinalSummary=YES FinishAction=REBOOT WSUSServer=http://RN-SRV-WS-AAD01.ad.khroners.fr:8530 EventService=http://RN-SRV-WDS01:9800 [DefaultGateway] 10.29.0.254=Brest 10.35.100.254=Rennes [Brest] SLShare=\\BR-SRV-WDS01.ad.khroners.fr\DeploymentShare$\Logs EventService=http://BR-SRV-WDS01:9800 [Rennes] SLShare=\\RN-SRV-WDS01.ad.khroners.fr\DeploymentShare$\Logs EventService=http://RN-SRV-WDS01:9800 [W10-22H2-ADM-35] MachineObjectOU=OU=Administratifs,OU=Workstations,OU=RENNES,OU=Sites,DC=ad,DC=khroners,DC=fr [W10-22H2-FOR-35] MachineObjectOU=OU=Formateurs,OU=Workstations,OU=RENNES,OU=Sites,DC=ad,DC=khroners,DC=fr [CSettings] SQLServer=RN-SRV-WDS01.ad.khroners.fr Instance=SQLEXPRESS Database=MDT Netlib=DBMSSOCN DBID=sql_mdt DBPWD=Motdepasse Table=ComputerSettings Parameters=UUID, AssetTag, SerialNumber, MacAddress ParameterCondition=OR Fichier bootstrap.ini [Settings] Priority=DefaultGateway, Default [DefaultGateway] 10.29.0.254=Brest 10.35.100.254=Rennes [Brest] DeployRoot=\\BR-SRV-WDS01\DeploymentShare$ [Rennes] DeployRoot=\\RN-SRV-WDS01\DeploymentShare$ [Default] UserDomain=AD UserID=mdt_admin UserPassword=Motdepasse SkipBDDWelcome=YES Scripts DeployWiz_SelectTS.vbs J'ai modifié ce script pour utiliser la property "TaskSequenceID" dans le customsettings.ini. ' // *************************************************************************** ' // ' // Copyright (c) Microsoft Corporation. All rights reserved. ' // ' // Microsoft Deployment Toolkit Solution Accelerator ' // ' // File: DeployWiz_Initialization.vbs ' // ' // Version: 6.3.8456.1000 ' // ' // Purpose: Main Client Deployment Wizard Initialization routines ' // ' // *************************************************************************** Option Explicit ''''''''''''''''''''''''''''''''''''' ' Image List ' Dim g_AllOperatingSystems Function AllOperatingSystems Dim oOSes If isempty(g_AllOperatingSystems) then set oOSes = new ConfigFile oOSes.sFileType = "OperatingSystems" oOSes.bMustSucceed = false set g_AllOperatingSystems = oOSes.FindAllItems End if set AllOperatingSystems = g_AllOperatingSystems End function Function InitializeTSList Dim oItem, sXPathOld If oEnvironment.Item("TaskSequenceID") <> "" and oProperties("TSGuid") = "" then sXPathOld = oTaskSequences.xPathFilter for each oItem in oTaskSequences.oControlFile.SelectNodes( "/*/*[ID = '" & oEnvironment.Item("TaskSequenceID")&"']") oLogging.CreateEntry "TSGuid changed via TaskSequenceID = " & oEnvironment.Item("TaskSequenceID"), LogTypeInfo oEnvironment.Item("TSGuid") = oItem.Attributes.getNamedItem("guid").value exit for next oTaskSequences.xPathFilter = sXPathOld End if TSListBox.InnerHTML = oTaskSequences.GetHTMLEx ( "Radio", "TSGuid" ) PopulateElements TSItemChange End function Function TSItemChange Dim oInput ButtonNext.Disabled = TRUE for each oInput in document.getElementsByName("TSGuid") If oInput.Checked then oLogging.CreateEntry "Found CHecked Item: " & oInput.Value, LogTypeVerbose ButtonNext.Disabled = FALSE exit function End if next End function ''''''''''''''''''''''''''''''''''''' ' Validate task sequence List ' Function ValidateTSList Dim oTS Dim sCmd 'ajoute Dim oItem Set oShell = createObject("Wscript.shell") ' set oTS = new ConfigFile oTS.sFileType = "TaskSequences" SaveAllDataElements If Property("TSGuid") = "" then oLogging.CreateEntry "No valid TSGuid found in the environment.", LogTypeWarning ValidateTSList = false End if oLogging.CreateEntry "TSGuid Found: " & Property("TSGuid"), LogTypeVerbose If oTS.FindAllItems.Exists(Property("TSGuid")) then oEnvironment.Item("TaskSequenceID") = oUtility.SelectSingleNodeString(oTS.FindAllItems.Item(Property("TSGuid")),"./ID") End if ' Set the related properties oUtility.SetTaskSequenceProperties oEnvironment.Item("TaskSequenceID") If oEnvironment.Item("OSGUID") <> "" and oEnvironment.Item("ImageProcessor") = "" then ' There was an OSGUID defined within the TS.xml file, however the GUID was not found ' within the OperatingSystems.xml file. Which is a dependency error. Block the wizard. ValidateTSList = False ButtonNext.Disabled = True Bad_OSGUID.style.display = "inline" Else ValidateTSList = True ButtonNext.Disabled = False Bad_OSGUID.style.display = "none" End if ' ajoute sCmd = "wscript.exe """ & oUtility.ScriptDir & "\ZTIGather.wsf""" oItem = oShell.Run(sCmd, , true) ' End Function ZTIWindowsUpdate.wsf J'ai modifié ce script pour ajouter la property "TargetGroup" pour cibler les PC lors du déploiement pour WSUS. Il faut donc ajouter un groupe de PC dans WSUS. Raccourcis.ps1 Ce script me permet d'ajouter des raccourcis dans le bureau public de l'ordinateur. # Raccourci Office.com avec icône Copy-Item "\\RN-SRV-WDS01.ad.khroners.fr\GPO$\Raccourcis\Office.ico" -Destination "C:\Office.ico" $TargetFile = "https://www.office.com/" $shortcutFile = "C:\Users\Public\Desktop\Portail Office Web.lnk" $WScriptShell = New-Object -ComObject WScript.Shell $shortcut = $WScriptShell.CreateShortcut($ShortcutFile) $shortcut.TargetPath = $TargetFile $shortcut.IconLocation = "C:\Office.ico" $shortcut.Save() # Raccourcis suite Microsoft365 Copy-Item -Path "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk" -Destination "c:\users\Public\Desktop" -Force Copy-Item -Path "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk" -Destination "c:\users\Public\Desktop" -Force Copy-Item -Path "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk" -Destination "c:\users\Public\Desktop" -Force Copy-Item -Path "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk" -Destination "c:\users\Public\Desktop" -Force Copy-Item -Path "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk" -Destination "c:\users\Public\Desktop" -Force Copy-Item -Path "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk" -Destination "c:\users\Public\Desktop" -Force Install_Drivers.ps1 Ce script me permet de télécharger les pilotes via Windows Update. $Session = New-Object -ComObject Microsoft.Update.Session $Searcher = $Session.CreateUpdateSearcher() $Searcher.ServiceID = '7971f918-a847-4430-9279-4a52d1efe18d' $Searcher.SearchScope = 1 # MachineOnly $Searcher.ServerSelection = 3 # Third Party $Criteria = "IsInstalled=0 and Type='Driver'" Write-Host('Searching Driver-Updates...') -Fore Green $SearchResult = $Searcher.Search($Criteria) $Updates = $SearchResult.Updates #Show available Drivers... $Updates | select Title, DriverModel, DriverVerDate, Driverclass, DriverManufacturer | fl $UpdatesToDownload = New-Object -Com Microsoft.Update.UpdateColl $updates | % { $UpdatesToDownload.Add($_) | out-null } Write-Host('Downloading Drivers...') -Fore Green $UpdateSession = New-Object -Com Microsoft.Update.Session $Downloader = $UpdateSession.CreateUpdateDownloader() $Downloader.Updates = $UpdatesToDownload $Downloader.Download() $UpdatesToInstall = New-Object -Com Microsoft.Update.UpdateColl $updates | % { if($_.IsDownloaded) { $UpdatesToInstall.Add($_) | out-null } } Write-Host('Installing Drivers...') -Fore Green $Installer = $UpdateSession.CreateUpdateInstaller() $Installer.Updates = $UpdatesToInstall $InstallationResult = $Installer.Install() if($InstallationResult.RebootRequired) { Write-Host('Reboot required! please reboot now..') -Fore Red } else { Write-Host('Done..') -Fore Green } $updateSvc.Services | ? { $_.IsDefaultAUService -eq $false -and $_.ServiceID -eq "7971f918-a847-4430-9279-4a52d1efe18d" } | % { $UpdateSvc.RemoveService($_.ServiceID) } RestoreREG.ps1 Ce script permet de restaurer le registre suite à ma modification de ce dernier avant le déploiement : Modifier le registre d... | Docs Khroners reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching /v SearchOrderConfig /t REG_DWORD /d 00000001 /f reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /f Applications Liste Bundle pour installer toutes les applications Exemple de commande d'installation MSI msiexec /I \\ad.khroners.fr\SI$\GPO\Chrome\googlechromestandaloneenterprise64.msi /qn Si le répertoire où est placé le setup est sur un partage DFS (ou simplement en dehors du DeploymentShare (à vérifier)), il faut qu'une des applications du bundle comprenne le partage dans le champ "Working Directory". EXE \\ad.khroners.fr\SI$\GPO\Bitwarden\Bitwarden-Installer-2022.10.1.exe /S /ALLUSERS Erreur "Verify BCDBootEx" avec MDT Si vous obtenez l'erreur "Verify BCDBootEx", il faut modifier le fichier LTIApply.wsf dans le dossier scripts du DeploymentShare. On remplace : TestAndFail RunBCDBootEx (sDestinationDrive & "\Windows", "/s" & gauche (oBootDrive. Drive, 2) & "/f UEFI"), 5616, "Verify BCDBootEx" par : TestAndFail RunBCDBootEx( sDestinationDrive & "\windows", " "), 5616,"Verify BCDBootEx"Windows Admin Center Installation de Windows Admin Center Windows Admin Center va générer un certificat auto-signé qui va expirer 60 jours après l'installation. J'utilise donc un certificat Let's Encrypt converti en .ptx. On télécharge la dernière version qui est sous le format .msi. On lance le setup. On fournit l'empreinte et on redirige le trafic. On ouvre alors le certificat .ptx. On choisit Ordinateur local. On rentre le mot de passe pour la clé privée. Dans le gestionnaire de certificats, on récupère l'empreinte : Une fois admin-center installé, on s'y rend et on se connecte via DOMAINE\ADMIN_DU_DOMAINE Convertir un certificat letsencrypt en .pfx (admin center) openssl pkcs12 -export -out /etc/letsencrypt/live/home.khroners.fr/cert.pfx -inkey /etc/letsencrypt/live/home.khroners.fr/privkey.pem -in /etc/letsencrypt/live/home.khroners.fr/cert.pemAjouter des serveurs dans Admin Center On clique sur Ajouter. On ajoute un serveur. On recherche dans Active Directory. On clique sur un serveur puis on se connecte. Résoudre le problème de pare-feu qui se met en Public par défaut Réplication multidirectionnelle avec DFS Espace de noms AD CS : Autorité de certificat sous Windows en vue de l'authentification EAP-TLS Installation de l'autorité de certification racine Je m'inspire de cette documentation, très complète : Offline Root CA Setup | docs.mjcb.io Un livre papier/kindle existe, je le recommande très fortement. Cette documentation est en cours de rédaction. J'utilise ici les bonnes pratiques de Microsoft qui consiste à mettre en place 2 serveurs : Un serveur Windows Server 2022 qui aura le rôle d'autorité de certification racine, qui sera par la suite éteint, Un deuxième serveur Windows Server 2022 qui aura le rôle d'autorité de certification intermédiaire, en ligne en permanence, qui délivrera les certificats clients. On commence par mettre en place l'autorité de certification racine, qui sera par la suite offline. A la racine du C:, on ajoute un fichier CAPolicy.inf : [Version] Signature = "$Windows NT$" [PolicyStatementExtension] Policies = AllIssuancePolicy,InternalPolicy Critical = FALSE ; AllIssuancePolicy is set to the OID of 2.5.29.32.0 to ensure all certificate templates are available. [AllIssuancePolicy] OID = 2.5.29.32.0 [InternalPolicy] OID = 1.2.3.4.1455.67.89.5 Notice = "The Khroners Labs Certification Authority is an internal resource. Certificates that are issued by this Certificate Authority are for internal usage only." URL = http://pki.ad.khroners.fr/cps.html [Certsrv_Server] ; Renewal information for the Root CA. RenewalKeyLength = 4096 RenewalValidityPeriod = Years RenewalValidityPeriodUnits = 10 ; Disable support for issuing certificates with the RSASSA-PSS algorithm. AlternateSignatureAlgorithm = 0 ; The CRL publication period is the lifetime of the Root CA. CRLPeriod = Years CRLPeriodUnits = 10 ; The option for Delta CRL is disabled since this is a Root CA. CRLDeltaPeriod = Days CRLDeltaPeriodUnits = 0 On configure le rôle : certutil.exe -setreg CA\DSConfigDN "CN=Configuration,DC=ad,DC=khroners,DC=fr" certutil.exe -setreg CA\ValidityPeriodUnits 5 certutil.exe -setreg CA\ValidityPeriod "Years" certutil.exe -setreg CA\CRLPeriodUnits 52 certutil.exe -setreg CA\CRLPeriod "Weeks" certutil.exe -setreg CA\CRLOverlapPeriodUnits 12 certutil.exe -setreg CA\CRLOverlapPeriod "Hours" net stop CertSvc net start CertSvc Offline Root CA Setup | docs.mjcb.io Configuration Radius NPS pour l'authentification 802.1x via EAP-TLS Cette documentation détaille la configuration du rôle NPS (Network Policy Server) sous Windows Server 2022 afin d'authentifier les utilisateurs ou ordinateurs au réseau Wifi. On peut également l'adapter pour la connexion filaire (non détaillée ici). Parmi les méthodes d'authentification, le PEAP-TLS est la méthode la plus sécurisée, mais rarement supportée. De plus, elle chiffre la communication de la clé publique, qui n'a pas trop de sens. Vous trouverez plus d'informations ici : Protocole EAP (Extensible Authentication Protocol) pour l’accès réseau dans Windows | Microsoft Learn Après l'installation du rôle NPS, on définit la stratégie réseau comme ceci : Le "TLS" de "EAP-TLS" correspond à "Microsoft: Smart Card or other certificate". On clique sur "Microsoft: Smart Card or other certificate" et "Modifier..." : Cela correspond au PEAP-TLS (ou également dit PEAP-EAP-TLS). Dans mon cas, j'ai du ajouter l'attribut "Framed-MTU" avec une valeur de 1344, car j'ai l'erreur suivante : Authentication failed due to an EAP session timeout; the EAP session with the access client was incomplete. Vous pouvez observer les logs dans l'observateur d'évènements, sous "Affichages Personnalisés" > "Rôles de serveurs" > Services de stratégie et d'accès réseau". On ajoute également le(s) client(s) RADIUS en définissant un secret partagé. Dans les bornes wifi, on choisit WPA2 Entreprise (ou WPA3 Entreprise si supporté), en renseignant l'adresse IP du serveur NPS et le secret partagé. Déploiement du wifi 802.1x PEAP-TLS par GPO On peut connecter les ordinateurs aux réseaux Wifi par GPO automatiquement. On crée et lie une GPO à une OU Ordinateurs puis on la modifie. Sous "Configuration ordinateurs" > "Stratégies" > "Paramètres Windows" > "Paramètres de sécurité" > "Stratégies de réseau sans fil (IEEE 802.11)", on y crée une stratégie. On ajoute nos réseaux wifi : On choisit "Microsoft: PEAP (Protected EAP)" puis dans ses propriétés "Carte à puce ou autre certificat". Audit et sécurisation (hardening) d'AD CS Il est important que notre PKI soit sécurisée. Il existe différents outils permettant de l'auditer : Certipy, Exegol, PSPKIAudit ou encore Locksmith. Exemple de Certify et Certipy : C:\>certify find /vulnerable _____ _ _ __ / ____| | | (_)/ _| | | ___ _ __| |_ _| |_ _ _ | | / _ \ '__| __| | _| | | | | |___| __/ | | |_| | | | |_| | \_____\___|_| \__|_|_| \__, | __/ | |___./ v1.0.0 [*] Action: Find certificate templates [*] Using the search base 'CN=Configuration,DC=ad,DC=khroners,DC=fr' [*] Listing info about the Enterprise CA 'Khroners Labs Enterprise CA' Enterprise CA Name : Khroners Labs Enterprise CA DNS Hostname : SRV-CA35-01.ad.khroners.fr FullName : SRV-CA35-01.ad.khroners.fr\Khroners Labs Enterprise CA Flags : SUPPORTS_NT_AUTHENTICATION, CA_SERVERTYPE_ADVANCED Cert SubjectName : CN=Khroners Labs Enterprise CA, DC=ad, DC=khroners, DC=fr Cert Thumbprint : 8FD1AEAF57EE974EB726D884775133B4D4C9D270 Cert Serial : 1500000004A03185E3D30CA7C3000000000004 Cert Start Date : 02/10/2023 08:09:54 Cert End Date : 02/10/2028 08:19:54 Cert Chain : CN=KhronersLabsCertificateAuthority -> CN=KhronersLabsEnterpriseCA,DC=ad,DC=khroners,DC=fr UserSpecifiedSAN : Disabled CA Permissions : Owner: BUILTIN\Administrateurs S-1-5-32-544 Access Rights Principal Allow Enroll AUTORITE NT\Utilisateurs authentifiésS-1-5-11 Allow ManageCA, ManageCertificates BUILTIN\Administrateurs S-1-5-32-544 Allow ManageCA, ManageCertificates AD\Admins du domaine S-1-5-21-1812995439-3560927909-1751902240-512 Allow ManageCA, ManageCertificates AD\Administrateurs de l'entrepriseS-1-5-21-1812995439-3560927909-1751902240-519 Enrollment Agent Restrictions : None [+] No Vulnerable Certificates Templates found! Certify completed in 00:00:00.5455163 certipy find -u gilles.besson@ad.khroners.fr -password Password -scheme ldap Certipy v4.8.2 - by Oliver Lyak (ly4k) [*] Finding certificate templates [*] Found 36 certificate templates [*] Finding certificate authorities [*] Found 1 certificate authority [*] Found 14 enabled certificate templates [*] Trying to get CA configuration for 'Khroners Labs Enterprise CA' via CSRA [!] Got error while trying to get CA configuration for 'Khroners Labs Enterprise CA' via CSRA: CASessionError: code: 0x80070005 - E_ACCESSDENIED - General access denied error. [*] Trying to get CA configuration for 'Khroners Labs Enterprise CA' via RRP [!] Failed to connect to remote registry. Service should be starting now. Trying again... [*] Got CA configuration for 'Khroners Labs Enterprise CA' [*] Saved BloodHound data to '20231007001536_Certipy.zip'. Drag and drop the file into the BloodHound GUI from @ly4k [*] Saved text output to '20231007001536_Certipy.txt' [*] Saved JSON output to '20231007001536_Certipy.json' 3 fichiers sont ensuite générés. On peut analyser nous même le txt ou importer dans BloodHound GUI le .zip. MDT / WDS via PowerShell : PSD avec support du P2P Prérequis Windows ADK - Télécharger et installer la dernière version de Windows ADK. La plus récente : https://learn.microsoft.com/en-us/windows-hardware/get-started/adk-install Les anciennes : https://learn.microsoft.com/en-us/windows-hardware/get-started/adk-install#other-adk-downloads MDT - Télécharger et installer MDT avec le patch. MDT 64 bits : https://www.microsoft.com/en-us/download/details.aspx?id=54259 Patch 8456 : https://support.microsoft.com/en-us/topic/windows-10-deployments-fail-with-microsoft-deployment-toolkit-on-computers-with-bios-type-firmware-70557b0b-6be3-81d2-556f-b313e29e2cb7 Notes Enable-BCDistributed Publish-BCWebContent -Path C:\PSD -Recurse https://stifler.docs.2pintsoftware.com/introduction/technical-overview/2pint-branchcache-administrator-guide https://techcommunity.microsoft.com/blog/iis-support-blog/setting-up-kerberos-authentication-for-a-website-in-iis/347882 https://www.deploymentresearch.com/configuring-the-branchcache-publication-hash-cache/ https://osd.docs.2pintsoftware.com/operations/deploying-computers-with-branchcache https://github.com/2pintsoftware/BranchCache/blob/master/CacheInjection/InjectBCData.ps1 pare-feu port 1337?