Sommaire

Définition……………………………………………………………………………………………..2
Créer une stratégie de groupe……………………………………………………………………..2
Attribuer un paramètre à la GPO…………………………………………………………………..3
Déployer un raccourci Bureau par GPO………………………………………………………….7
Installation silencieuse de logiciel………………………………………………………………...9
Créer un partage pour stocker le fichier MSI…………………………………………………….9
Installer un MSI par GPO………………………………………………………………………….14
Créer son propre package MSI à partir d’un .exe…………………………………………..…...20
Interdire les modifications du Proxy………………………………………………………..…….20
[Link]………………………………………………………………..……………………21
Réinitialiser le bureau à chaque ouverture de session……………………..…………………..25

1
 GPO
Définition
Une GPO est un ensemble de paramètres de stratégie de groupe qui vont définir le
comportement d’un système pour un groupe défini d'utilisateurs

Créer une stratégie de groupe

Pour créer une GPO (stratégie de groupe) il faut, sur le contrôleur de domaine (Active
Directory) ouvrir la console GPMC la console "Gestion de stratégie de groupe".

(Tapez le nom dans la barre de recherche en bas à gauche)

Sur "Objets de stratégie de groupe", clic droit puis "Nouveau".

Choisir un nom pour la GPO

2
Elle sera ajoutée à la liste

Attribuer un paramètre à la GPO

Dans cet exemple on souhaite attribuer un fond d’écran aux comptes élèves
Faire un clic droit sur la GPO puis “Modifier”

Une fenêtre "Éditeur de gestion des stratégies de groupe" va s'ouvrir

3
Cela nous permettra de configurer la GPO et donc les paramètres à appliquer sur les
utilisateurs (ou les ordinateurs).

Maintenant il faut trouver le paramètre qui permet d’attribuer un fond d’écran. Pour cela il
suffit de chercher soi-même ou sur internet.

Le chemin à emprunter est Configuration utilisateur > Stratégies > Modèles

d'administration > Bureau > Bureau

Puis cliquez sur “Papier peint du Bureau”

Double-cliquez dessus.
Activez le paramètre et indiquez le chemin UNC de l‘image

4
Une fois la modification terminée, cliquez sur “Appliquer”

5
Pour forcer l'actualisation des stratégies de groupe sur un poste, que ce soit pour les
paramètres ordinateurs ou utilisateurs gpupdate/force dans l’invite de commande.

En démarrant une session élève on peut voir que le fond d'écran à bien été appliqué
A gauche la session admin (où la GPO à été configurée) à droite, une session élève

6
Déployer un raccourci Bureau par GPO
Dans [Link] clic droit sur une gpo et “Modifier”

Parcourez l'arborescence
Configuration utilisateur > Préférences > Paramètres Windows > Raccourcis

Indiquez comme “Chemin d’accès cible” l’emplacement du raccourcis

7
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\[Link]

Après avoir exécuté la commande gpupdade/force dans l’invite de commande

Lors du redémarrage de la session élève, Paint s’est ajouté au bureau

8
Installation silencieuse de logiciel
Pour déployer un logiciel sur votre parc informatique, il y a deux grands cas de figure :

● Le package d'installation du logiciel est au format "MSI" : vous pouvez le

déployer avec une GPO d'installation de logiciel, c'est l'idéal !
● Le package d'installation du logiciel est au format "EXE" : vous pouvez le
déployer par GPO en mode silencieux si l'exécutable a les paramètres nécessaires,
et il faudra créer un script d'installation vous-même. La GPO de type "Installation de
logiciel" prend seulement en charge les packages MSI

Créer un partage pour stocker le fichier MSI

Créez un partage qui sera utilisé pour déposer le fichier MSI à déployer. Ce partage peut
servir de stockage pour les autres logiciels que vous souhaitez déployer.
Le dossier s’appelle Applications

Allez dans Propriétés => Partage => Partage Avancé et cochez “Partager ce dossier”
Nom du partage : Applications$

“Appliquer” puis “Autorisations”

9
Le dollar fait en sorte que le partage ne soit pas visible sur le réseau

même en cochant la case

Droits sur le partage : "Tout le monde" en contrôle total (la restriction sera appliquée par
les droits NTFS)

Retournez dans les propriétés du dossier “Applications”

Onglet ”Sécurité” puis ”Modifier”

10
11
Droits NTFS sur le dossier du partage : "eleves (MAQUETTE\eleves)" en lecture seule

Partage accessible via ce chemin UNC: \\PC-ADMIN\Applications$

12
Le chemin UNC pour Universal Naming Convention (UNC) est un chemin réseau qui
permet d’accéder à un partage sur un PC.

Télécharger le package MSI de VLC sur le site

[Link]

13
Déposez le fichier MSI à déployer dans le partage (à l'aide d'un compte administrateur)

Installer un MSI par GPO

Ouvrez la console "Gestion de stratégie de groupe" et créez une nouvelle GPO
Liez la GPO à la maquette

14
Modifiez cette GPO et accédez à l'emplacement :
Configuration ordinateur > Stratégies > Paramètres du logiciel > Installation de
logiciel

15
clic droit sur "Installation de logiciel" puis sur "Nouveau" cliquez sur "Package"

Vous devez indiquer le chemin vers le fichier MSI. N'utilisez pas le chemin local, mais le
chemin réseau UNC vers le partage pour rechercher le fichier MSI.

● Publié : ce mode est disponible dans le cas de l'installation d'un logiciel dans les
paramètres utilisateurs. Le logiciel est alors disponible à l'installation sur la machine,

16
 mais il ne s'installe pas automatiquement. L'utilisateur peut installer le logiciel s'il en a
besoin.
● Attribué : ce mode sert à installer un logiciel par GPO sur une machine, de manière
automatique.

Choisir “Attribué”

Le programme d'installation apparaît comme ceci

● Aller dans l’éditeur de gestion de stratégies de groupe (clic droit => modifier la gpo)
● Configuration utilisateur => Stratégies => Paramètre du logiciel => Installation de
logiciel

Aller dans “Déploiement” et cocher “Installer cette application lors de l’ouverture de

session”

17
Ensuite “Options avancées…”
Cocher “Ignorer la langue lors du déploiement de ce package” car si setup n’est pas en
français, le logiciel pourrait ne pas s’installer

18
Faire “gpupdate/force” dans l’invite de commande

puis redémarrez l’ordinateur ainsi que la session élève.

Si VLC s’est bien installé sur la session élève
On peut le retrouver dans le Panneau de configuration => Programmes et
fonctionnalités

Il se peut que le logiciel ne soit pas installer

Cause du problème

L’installation du MSI se fait lors du démarrage de l’ordinateur/serveur. Le problème est que

le serveur démarre assez rapidement sans laisser le temps nécessaire à l’installation. Ce
problème peut se produire si le moteur de stratégie de groupe ou Active Directory dépasse
le délai d’attente pendant qu’il attend le démarrage du réseau.

La valeur spécifiée doit être suffisamment longue pour assurer que la connexion réseau est
bien établie.

19
Après avoir validé, allez dans “Ouverture de session”

gpupdate/force

Créer son propre package MSI à partir d’un .exe

Utilisez un convertisseur comme MSI Package Builder après avoir converti le .exe en .msi

Le logiciel n’est gratuit que pendant 1 mois et dans l’éditeur de gestion des stratégies de

groupe le msi s’appelle

Interdire les modifications du Proxy

Pour retirer le droit de modifier les paramètres du proxy

20
Activer ce paramètre

[Link]
● Récupérer le fichier exécutable à déployer
● Rechercher les options pour installer cet exécutable en mode silencieux (et prier
pour qu'il y en ait)
● Créer le script pour installer le logiciel sur les postes
● Faire en sorte que le logiciel n'essaie pas de s'installer à chaque fois

J'insiste sur l'étape n°2 "Rechercher les options pour installer cet exécutable en mode
silencieux" : si l'exécutable n'a pas d'options pour une installation silencieuse, il ne
sera pas possible de l'installer sans interaction de l'utilisateur. Cela remet en cause la
possibilité de déployer cet exécutable par GPO en l'état....

Nous allons devoir créer un script PowerShell et modifier la politique d'exécution pour
permettre l'exécution des scripts.

Voici le script utilisé pour VLC

21
### Variables
# Chemin UNC vers le partage qui contient l'exécutable
$SharedFolder = "\\[Link]\netlogon\logiciels"

# Chemin vers le dossier temporaire local sur le poste

$LocalFolder = "C:\temp"

# Nom de l'exécutable
$ExeName = "vlc-[Link]-[Link]"

# Argument(s) à associer à l'exécutable

$ExeArgument = "/L=1027 /S /qn"

# Version cible de l'exécutable (obtenue sur une installation manuelle)

$ExeVersion = "[Link]"

# Chemin vers l'exécutable une fois l'installation terminée

$ExeInstallPath = "C:\Program Files (x86)\VideoLAN\VLC\[Link]"

# Le logiciel est-il déjà installé dans la bonne version ?

$InstalledVersion = (Get-ItemProperty -Path "C:\Program Files
(x86)\VideoLAN\VLC\[Link]" -ErrorAction
SilentlyContinue).[Link]

if(($InstalledVersion -eq $null) -or ($InstalledVersion -ne $null -and

$InstalledVersion -ne $ExeVersion)){

# Si $InstalledVersion n'est pas null et que la version est

différente : c'est qu'il faut faire une mise à jour
if($InstalledVersion -ne $null){
Write-Output "Le logiciel va être mis à jour : $InstalledVersion
-> $ExeVersion"
}

# Si le chemin réseau vers l'exécutable est valide, on continue

if(Test-Path "$SharedFolder\$ExeName"){

# Créer le dossier temporaire en local et copier l'exécutable sur

le poste
New-Item -ItemType Directory -Path "$LocalFolder" -ErrorAction
SilentlyContinue
Copy-Item "$SharedFolder\$ExeName" "$LocalFolder" -Force

# Si l'on trouve bien l'exécutable en local, on lance

l'installation
if(Test-Path "$LocalFolder\$ExeName"){

22
 Start-Process -Wait -FilePath "$LocalFolder\$ExeName"
-ArgumentList "$ExeArgument"
}

# On supprime l'exécutable à la fin de l'installation

Remove-Item "$LocalFolder\$ExeName"

}else{

Write-Warning "L'exécutable ($ExeName) est introuvable sur le

partage !"
}
}else{
Write-Output "Le logiciel est déjà installé dans la bonne version !"
}

Placez le dans le partage

Dans la GPO:
Configuration ordinateur > Stratégies > Paramètres Windows > Scripts
(démarrage/arrêt) > Démarrage

Choisir “Ajouter” => “Parcourir”

Indiquez l’emplacement du script “Ok” “Appliquer” et "Exécuter les scripts Windows
PowerShell en premier" même si c'est le seul script de la GPO.

23
Une fois les paramètres enregistrés
Modifier la politique d'exécution des scripts pour la définir sur "Remote Signed"

Configuration ordinateur > Stratégies > Modèle d'administration > Composants

Windows > Windows PowerShell
"Activer l'exécution des scripts" => "Activé" puis "Autoriser les scripts locaux et les
scripts signés distants".

24
gpupdate /force dans le CMD pour actualiser les GPO puis redémarrez la session.

Au bout de quelques minutes, VLC s’installe tout seul.

Réinitialiser le bureau à chaque ouverture de session

Copiez dans un document texte le script Contenu de [Link] (stratégie

Utilisateurs-Eleves –> scripts –> Ouverture de session) et modifiez si besoin.

#-- copy des raccourcis contenus dans le dossier raccourcis de

netlogon sur le bureau perso des eleves--
# --Suppression des anciens raccourcis sur les bureaux eleves--
@echo off
del C:\Users\%USERNAME%\Desktop\*.lnk /S /Q
# --copie des raccourcis contenus dans le dossier BUREAU_ELEVES de

25
 netlogon sur le bureau de l'eleve--
copy \\addc\netlogon\BUREAU_ELEVES\*.*
C:\Users\%USERNAME%\Desktop\ /Y

Lui mettre l’extension .bat et mettre le script dans Configuration utilisateur -> Paramètres
Windows -> Script (ouverture/fermeture de session)
de session ->

Ouverture de session

Ajoutez le chemin UNC menant au script.

Après un gpupdate/force et un redémarrage de session on peut voir que Paint qui est
censé être là a disparu et les raccourcis demandé ont bien été ajoutés.

26
(Les programmes sans logos sont ceux qui n’ont pas été installé sur la machine de l’élève)

27