Discussion :

[_Snoopy]

Bonjour à tous,

Je dois déployer une nouvelle application sur l'ensemble de mon parc.
Pour ce faire, j'ai développé un petit exe d'installation.
Je voudrais pouvoir, depuis une GPO ordinateur, copier l'exe en question sur les machines, puis l'exécuter (il installe mon application en silencieux et en tant qu'admin).

J'ai donc, dans mon domaine, créé une GPO ordinateur que j'ai placé dans Configuration Ordinateurs >> Paramètres Windows >> Scripts >> Démarrage
J'ai affecté à cette GPO un petit batch de 2 lignes qui fait ce dont j'ai besoin :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
xcopy "\\<ip_de_mon_serveur_AD>\c$\OCSDeploy\OCSDeployAgent.exe" "C:\temp" /y
C:\temp\OCSDeployAgent.exe

J'affecte la GPO en question à une OU de test de mon AD et j'affecte à cette OU un PC de test.
Sur le client je fais un gpupdate /force puis un gpresult pour vérifier que ma GPO est bien prise en compte et effectivement, elle l'est.

Je redémarre le poste pour lancer l'exécution de la GPO et donc l'installation de mon appli, mais rien ne se passe...
Le script semble ne même pas s'exécuter (aucune trace dans l'event viewer...)

Pourtant, si je copie le batch ci-dessus sur le poste client et que je l'exécute, tout se passe bien...

J'ai du louper un truc, mais voilà plusieurs heures que j'y suis et je ne trouve pas...
Quelqu'un aurait-il une idée ?

Merci d'avance pour votre aide !

[BenjGe]

pour votre serveur vous avez utilisé un partage administratif (c$). Ces partages ne sont accessibles qu'aux admins.
Il faut au préalable partager un dossier sur votre serveur et créer une permission NTFS de lecture seule à tout le monde et une permission de partage en lecture/écriture à tout le monde. enfin vous pourrez modifier votre script pour refléter le nouveau chemin UNC du dossier partagé.

Pour les droits admin il y a une stratégie qui s'appelle "exécuter avec des droits élevés" ou un truc comme ça. il faut la configurer dans les paramètres ordinateur ET dans les paramètres utilisateurs.

[_Snoopy]

Merci pour la réponse.

Concernant les droits sur le dossier en partage administratif du serveur, j'ai accordé un accès lecture / exécution aux ordinateurs du domaine.
Le partage en question fonctionne puisque l'exécution du batch sur le poste client avec une session non admin fonctionne bien (copie du .exe et exécution)

Concernant les droits d'admin pour l'installation, ils sont gérés directement dans le .exe que j'ai créé pour l'installation (Exécution de l'installation en tant qu'admin) ce qui fonctionne bien également en l'exécutant manuellement sur le poste client, toujours en session non admin (ni local, ni domaine).

La question est pourquoi tout ça ne s'exécute pas automatiquement au démarrage de la machine comme la GPO est censé le faire... (alors que celle-ci est bien appliquée sur le poste client d'après le gpresult).
Normalement la simple copie d'un fichier dans le C:\temp de la machine ne devrait pas nécessiter d’élévation de droit de l'utilisateur.

[EDIT] Les droits du répertoire C:\temp sur le poste client sont : Contrôle total pour "tout le monde"

Ou alors, je n'ai pas bien compris ton explication...

Merci pour ton aide !

[BenjGe]

Le problème des gpo ordinateurs avec script de démarrage c'est qu'elle ne dispose pas forcément du réseau quand elle s'exécute.Pour y parvenir il faut ajouter le paramètre "attendre le réseau", mais alors l'ensemble des machines concernées ralentissent le boot.
Pour diagnostiquer ça tu devrai modifier ton script:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
xcopy "\\<ip_de_mon_serveur_AD>\c$\OCSDeploy\OCSDeployAgent.exe" "C:\temp" /y > c:\temp\log.txt
C:\temp\OCSDeployAgent.exe >> c:\temp\log.txt

puis redémarre le poste et consulte le fichier c:\log.txt. Tu sauras où ça plante.

Pour les partages c'est plus compliqué à diagnostiquer. tu as ajouté les droits en partage ET en NTFS?

Pour la copie dans c:\temp si l'utilisateur a bien le droit contrôle total c'est bon.

NB: plutot que d'utiliser "tout le monde" comme groupe de sécurité tu peux plutôt te servir d'Utilisateurs authentifiés"

[_Snoopy]

Re bonjour,

Après quelques tests, le problème semble être en réalité tout autre que ce que je pensais...
La GPO est bien prise en compte et s'exécute bien à condition qu'aucun utilisateur ne se logue sur la machine....

Il semble que le log in d'un utilisateur (dans mon cas non admin) coupe la GPO...
Ce qui bien entendu est fortement dommage dans ce cas précis...

Comportement normal ou pas ?

Merci pour ton aide.

[_Snoopy]

J'ai résolu mon problème en plaçant l'ensemble des fichiers nécessaires à l'installation dans la GPO plutôt que de les partager sur le serveur.

Je passe la discussion en résolu.

Merci pour ton aide !