Windows XP SP2 : Déploiement et défense centralisés

Tous les packs de service pour Windows 2000 et versions ultérieures incluent
un fichier Windows Installer (.msi) qui vous permet d’envoyer automatiquement
les packs aux ordinateurs appropriés
en utilisant simplement la fonction
Software Installation des stratégies de
groupe. La première étape de préparation
de XP SP2 pour l’autodéploiement consiste
à  créer un dossier partagé (nommé
de manière appropriée, par exemple,
xpsp2), à  partir duquel les ordinateurs
peuvent accéder au fichier .msi et deux
autres fichiers associés à  SP2. Donnez au
groupe Administrators des permissions
Full Control sur le dossier et donnez au
groupe Domain Computer l’accès Read. Ensuite, téléchargez xpsp2.exe à  partir
de Microsoft (ou trouvez-le sur le CD-ROM XP SP2) et utilisez l’exécutable
avec le commutateur /x pour extraire le pack de service vers le dossier partagé.

Une fois l’extraction terminée, vous êtes prêts à  établir un GPO (Group
Policy Object) qui installera SP2 sur tous vos ordinateurs XP. Mais comment
limiter le GPO aux ordinateurs XP et l’empêcher d’essayer d’installer SP2 sur vos systèmes Windows Server 2003 ou Windows 2000? Vous
ne pouvez pas utiliser un filtre WMI (Windows Management
Instrumentation) pour limiter le domaine du GPO, parce que
les ordinateurs Win2K ne reconnaissent pas les filtres WMI
attachés à  un GPO (et, par conséquent, appliquent le GPO
comme si aucun filtre n’était présent). Vous pouvez utiliser
les OU (organizational units) pour limiter le domaine du
GPO, mais pour cela il vous faut une OU qui contienne toutes
vos stations de travail XP et
pas d’autres systèmes. Si
votre structure d’OU ne permet
pas ce genre d’installation,
il vous faudra créer un
groupe d’AD (Active Directory)
– appelé par exemple
XP Workstations – et en
rendre membres tous vos
ordinateurs XP.

Créez un nouveau GPO à 
la racine domaine et donnezlui
un nom tel que XP Workstation
Computer Configuration.
Ouvrez la boîte de dialogue Properties du GPO et
sélectionnez l’onglet Security. Supprimez l’entrée Everyone
de l’ACL du GPO et ajoutez une entrée pour le groupe XP
Workstations puis accordez à  ce groupe des permissions
Read et Apply Group Policy. Désormais, bien que le GPO soit
lié à  la racine domaine, seuls les ordinateurs qui sont
membres du groupe XP Workstation seront en mesure d’appliquer
les GPO et donc d’installer SP2.

Pour configurer le GPO XP Workstation Computer
Configuration pour installer SP2, vous devez éditer le GPO.
(Pour obtenir des informations sur la manière d’éditer les
GPO, voir « Ressources ».) Dans Group Policy Object Editor,
cliquez du bouton droit sur l’objet Computer ConfigurationSoftware Settings\Software Installation et sélectionnez New,
Package dans le menu de contexte. Dans la boîte de dialogue
Open qui apparaît, entrez le chemin UNC (Universal
Naming Convention) qui conduit à  votre dossier d’installation
partagé dans la boîte de texte File name, puis ajoutez
\i386\update\update.msi à  ce chemin et cliquez sur Open.
Vous serez invités à  sélectionner une méthode de déploiement.
Sélectionnez Assigned et cliquez sur OK. Le panneau
droit du Group Policy Object Editor affichera maintenant
l’objet Windows XP Service Pack 2 (1033), que l’on voit
figure 1.

Toutefois, vos systèmes XP n’installeront pas encore SP2.
Le comportement de démarrage par défaut de XP permet
aux utilisateurs de se connecter même avant de disposer de
l’accès au réseau complet. Et ce comportement empêche les
stratégies de groupe de traiter automatiquement les stratégies
Software Installation que vous ajoutez à  un GPO. La documentation
Microsoft indique que l’installation se produira
sur chaque système XP la prochaine fois que le système se
connectera au réseau mais, d’après mon expérience, les stratégies
Software Installation que l’on configure sous le noeud
Computer Configuration d’un GPO ne parviennent pas à 
s’exécuter sauf si on valide la politique Always wait for the
network at computer startup and logon sous l’objet
Computer Configuration\Administrative Templates\SsytemLogon du GPO. Vous devez donc valider cette stratégie pour
le GPO. Après quoi, vos systèmes XP installeront SP2 la prochaine
fois qu’ils se réinitialiseront.

A noter que les utilisateurs ne pourront se connecter
qu’une fois l’installation SP2 terminée, ce qui peut prendre
20 minutes. Par conséquent, il est bon d’informer les utilisateurs
du prochain déploiement de SP2. Vous pouvez aussi
encourager les utilisateurs à  redémarrer leurs ordinateurs
avant de quitter le bureau, afin que SP2 termine l’installation
avant qu’ils ne reviennent au travail le lendemain. Attendezvous
aussi à  ce que les utilisateurs appelant votre réseau ou
VPN constatent des performances lentes pendant que
Windows essaie de télécharger les fichiers d’installation sur
une connexion lente. Par défaut, Windows reconnaît les
connexions lentes et diffère l’application de certaines zones
des stratégies de groupe – dont Software Installation. Pour
contrôler ce comportement, vous pouvez utiliser les politiques
sous l’objet Computer Configuration\Administrative
Templates\Sytem\Group Policy du GPO.