PROCEDURE : Réalisation d`un master de référence
Transcription
PROCEDURE : Réalisation d`un master de référence
Auteur : Morgan Le Bouffant Version : 1.0 Date : Février 2015 PROCEDURE : Réalisation d’un master de référence Numéro de la Procédure 1 Installation du système d’exploitation 1.1 Préparation BIOS Suivant le type de bios : Désactiver l’option SecureBoot Désactiver UEFI et activer CSM ou Legacy Boot Pour les postes livrés nativement avec Windows 7 64Bits ou Windows 8, il sera nécessaire de modifier la table de partition (GPT) soit à l’aide de l’outil « DiskPart » lors de l’installation de Windows, soit à l’aide d’un utilitaire « bootable » comme « GParted ». Utilisation de DiskPart : Sur la fenêtre « Où souhaitez-vous installer Windows ? » Ouvrir une invite de commande : shift + F10 Taper diskpart Taper list disk Sélectionner le disque à convertir : select disk # (Ex : select disk 0) Effacer partitions et données : clean Convertir en MBR : convert mbr 1 Quitter en tapant exit Actualiser l’affichage des partitions Auteur : Morgan Le Bouffant Version : 1.0 Date : Février 2015 Utilisation de GParted : Cliquer sur Périphérique -> Créer une table de partitions… Cliquer sur Avancé et choisir msdos 1.2 Mode Audit Dans le cadre de notre image de référence, le mode Audit permet de : o o o o Contourner les écrans d’accueil Windows (paramètres par défaut, compte utilisateur, emplacement réseau, fuseau horaire…) Installer Applications, Drivers, Mises à jour avec le compte Administrateur Intégré (pas d’UAC, droits privilèges élevés) Tester et valider les applications avant déploiement Ajouter des personnalisations supplémentaires à une image de référence Démarrer en mode Audit : Lors de l’installation de Windows, à cette étape taper : CRTL + SHIFT + F3 2 Auteur : Morgan Le Bouffant Version : 1.0 Date : Février 2015 Redémarrage en session Administrateur intégré, le système propose d’exécuter le mode OOBE. Cliquer sur Cancel ! En mode audit, cette fenêtre apparait à chaque redémarrage. Lancer le mode audit après l’installation du système : Il est toujours possible d’exécuter le mode audit après le premier démarrage si son activation a été oubliée durant l’installation. Ouvrir une invite de commande Saisir : “c:\Windows\System32\sysprep\sysprep.exe /audit” 3 Auteur : Morgan Le Bouffant Version : 1.0 Date : Février 2015 2 Personnalisation de l’image 2.1 Les étapes essentielles Mettre à jour les drivers : Panneau de configuration -> Système -> Gestionnaire de périphériques : Installer / Mettre à jour les drivers des périphériques en conflits ou non installés. Installer les VmWareTools si l’image est réalisée sur un poste virtuel. Désactiver l’utilisation à distance : Panneau de configuration -> Système -> Paramètres d’utilisation à distance : o Assistance à distance -> Décocher « Autoriser les connexions d’assistance.. » o Bureau à distance -> « Ne pas autoriser les connexions à cet ordinateur » o Protection du système -> Désactiver la restauration du système Désactiver Pare-feu et Windows Defender : Panneau de configuration -> Pare-feu Windows -> Activer ou désactiver le Pare-feu Windows -> désactiver pour tous les emplacements réseau Panneau de configuration -> Windows Defender -> Outils -> Options -> Administrateur -> Décocher « Utiliser ce programme » Windows Update : Activer les mises à jour automatiques (sera modifié ultérieurement par GPO WSUS) Rechercher des mises à jour Relancer la recherche de mises à jour au moins deux fois après redémarrage Désactiver la mise en veille prolongée : dans une invite de commande, saisir « powercfg –h off » Panneau de configuration -> Options d’alimentation -> Modifier les conditions de mise en veille de l’ordinateur -> « Eteindre l’écran » et « Mettre l’ordinateur en veille » -> Jamais A noter qu’en mode audit si le poste passe en veille prolongée il ne sera pas possible de l’en sortir car le compte Administrateur intégré est activé sans mot de passe. Désactiver l’UAC : Panneau de configuration -> Comptes d’utilisateurs -> Modifier les paramètres de contrôle de compte d’utilisateur -> Ne jamais m’avertir (nécessitera un redémarrage pour être actif) 4 Auteur : Morgan Le Bouffant Version : 1.0 Date : Février 2015 Configurer Internet Explorer : Configurer page de démarrage, moteur de recherche par défaut, proxy, etc… Supprimer historique, accélérateurs, etc… Désactiver les messages de notification : Panneau de configuration -> Centre de maintenance -> Modifier les paramètres du Centre de maintenance -> Tout décocher Désactiver les Paramètres du programme d’amélioration de l’expérience utilisateur -> Non, je ne veux pas participer au programme Désactiver les Paramètres des rapports de problèmes -> Ne jamais rechercher des solutions Modifier les paramètres de rapport pour tous les utilisateurs -> Ne jamais rechercher des solutions Panneau de configuration -> Icônes de la zone de notification -> Activer ou désactiver les icônes système -> Centre de maintenance -> Désactivé Désactiver la barre de langue : Cliquer droit sur l’icône « FR » dans la barre des tâches -> Paramètres… -> Sélectionner « Anglais (Etats Unis) » -> Supprimer Onglet Barre de langue -> Masquée Menu Démarrer & Barre des Tâches : Cliquer droit sur la barre des tâches -> Propriétés -> onglet « Menu Démarrer » : o o Zone Confidentialité -> décocher les deux options « Stocker et afficher.. » Bouton « Personnaliser… » : Décocher « Aide » Cocher « Commande Exécuter » Décocher « Connexion » « Documents » -> Ne pas afficher cet élément « Dossier personnel » -> Ne pas afficher cet élément « Images » -> Ne pas afficher cet élément « Musique » -> Ne pas afficher cet élément Décocher « Programmes par défaut » « Rechercher dans d’autres fichiers.. » -> Ne pas effectuer de recherche A noter que pour les postes sur le domaine, ces éléments peuvent être définis et appliqués via une GPO. Supprimer Icône « Lecteur Windows Media » dans la barre des tâches -> clique droit -> Détacher ce programme de la barre des tâches Supprimer les raccourcis superflus du Menu Démarrer -> « Menu Démarrer » -> « Tous les programmes » -> Clique droit -> « Supprimer » sur les éléments superflus (ex : création de dvd Windows, Galerie de gadgets du bureau, Mise à niveau 5 Auteur : Morgan Le Bouffant Version : 1.0 Date : Février 2015 express, Programmes par défaut, Visionneuse XPS, Windows Media Center, Dossier Jeux, Dossier Maintenance, …) Désactiver l’indexation de fichiers : Panneau de configuration -> Outils d’administration -> Services « Windows Search » -> Clique droit -> Propriétés -> Type de démarrage : Désactivé Thèmes & Icônes du bureau : Panneau de configuration -> Personnalisation -> Thèmes de base -> « Windows 7 Basic » ou « Windows Classique » Panneau de configuration -> Personnalisation -> « Changer les icônes du bureau » -> Tout décocher sauf « Ordinateur » et « Corbeille » Imprimantes et périphériques divers : Afin de permettre leur installation en tant qu’utilisateur restreint, installer toutes les imprimantes locales et réseau ainsi que les périphériques scanners, webcams ou autres utilisés sur le parc. Les supprimer ensuite, les drivers restent dans le dossier « Windows/inf ». Copier le profil en cours dans le profil par défaut : Télécharger l’utilitaire « ProfileTool » : http://profiletool.sourceforge.net/ Copier le dossier « profiletool » à la racine du disque Créer un compte administrateur local temporaire -> Clique droit « Ordinateur » -> « Gérer » -> « Utilisateurs et groupes locaux » -> « Utilisateurs » -> Clique droit -> « Nouvel utilisateur » Mettre le nouvel utilisateur dans le groupe Administrateurs -> Clique droit sur le compte -> « Propriétés » -> « Membre de » -> « Ajouter… » -> Saisir : Administrateurs (ou Administrators suivant la version de windows utilisée) Ouvrir une session avec ce compte Ouvrir une invite de commande en tant qu’administrateur Saisir : profiletool/profiletool.exe setdefault Administrateur (ou Administrator) Les personnalisations du profil Administrateur intégré sont alors copiées dans le profil par défaut. Redémarrer pour revenir en session Administrateur intégré. Supprimer ou conserver le compte administrateur local précédemment créé. o Suppression du compte : Clique droit « Ordinateur » -> « Propriétés » -> « Paramètres système avancés » -> « Profil des utilisateurs » -> « Paramètres… » -> sélectionner le compte local -> « Supprimer » o : Clique droit « Ordinateur » ->Gérer -> « Utilisateurs et groupes locaux » -> « Utilisateurs » -> supprimer le compte 6 Auteur : Morgan Le Bouffant Version : 1.0 Date : Février 2015 2.2 Corrections VmWare Dans le cas de la création d’une image de référence à partir d’une machine virtuelle VmWare, l’utilisation de sysprep peut échouer si les modifications suivantes non pas été réalisées : o KB Microsoft pour système 32bits : Windows6.1-KB2693187-x86.msu o KB Microsoft pour système 64bits : Windows6.1-KB2693187-x64.msu o Clé de registre à modifier : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setu p\Sysprep\Generalize Vérifier que les entrées suivantes n’existent pas, dans le cas contraire les supprimer : {fdd988f1-76cb-0817-6a6f-2fe2739a2b89} {b636fa27-124f-6436-6a6f-2fe2739a2b89} 2.3 Préparer une image « multiplateforme » Utilisation des « DriversPacks » : Le site : http://driverpacks.net/ référence les drivers les plus courants des différents constructeurs pour divers classes matérielles. Ainsi la plupart des modèles d’ordinateur équipants nos lycées sont couverts par les DriverPacks. Télécharger les packs de drivers pour toutes les classes de matériels et les stocker dans un dossier « x86 » et « x64 » Les packs sont à télécharger sous format « torrent », il est nécessaire d’utiliser un logiciel du type « µTorrent ». Utilisation de « Snappy Driver Installer » : Cet utilitaire doit-être utilisé lors du premier démarrage du poste après sysprep afin d’installer (à l’aide des driverpacks) les drivers manquants ou non à jour pour le matériel détecté. L’installation autonome des drivers par SDI est réalisée à l’aide de scripts et du fichier « unattend.xml » utilisé avec sysprep. 7 Auteur : Morgan Le Bouffant Version : 1.0 Date : Février 2015 Télécharger l’utilitaire Snappy Driver Installer : https://code.google.com/p/snappydriver-installer/ Extraire le dossier « SDI_Rxxx » (où xxx représente la version de l’utilitaire) à la racine de C : Copier le contenu des dossiers « x86 » ou « x64 » précédemment téléchargés dans le dossier « drivers » de SDI_Rxxx Scripts de commande : Créer un script «_Drivers.cmd » contenant : (copier-coller le texte de la zone de texte suivante dans un fichier .txt et enregistrer le fichier en « _Drivers.cmd ») @echo off set wdir=SDI_R167 set filename=SDI_R167.exe set params=-autoinstall -autoclose -license "-finishrb_cmd:Shutdown.exe -r -t 15" set fullpath=%wdir%\%filename% FOR %%i IN (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO DIR %%i:>NUL 2>&1 && SET zz=!zz!%%i FOR %%i IN (%zz%) DO IF EXIST %%i:\%fullpath% SET InstallMedia=%%i: if exist "%InstallMedia%\%fullpath%" start /b "" /d"%InstallMedia%\%wdir%" "%InstallMedia%\%fullpath%" %params% exit 8 Auteur : Morgan Le Bouffant Version : 1.0 Date : Février 2015 Créer un script « SDI.bat » contenant : if exist "%~dp0_Drivers.cmd" (start "" /d "%~dp0" /b /wait "%~dp0_Drivers.cmd") else (if exist "%~dp0marsinst.exe" start "" /d "%~dp0" /b "%~dp0marsinst.exe") (copier-coller le texte de la zone de texte précédente dans un fichier .txt et enregistrer le fichier en « SDI.bat ») Copier ces deux scripts dans le dossier « C:\Windows\Setup\scripts\ » (créer le dossier « scripts » s’il n’existe pas) Sysprep & fichier « unattend.xml »: Sysprep est utilisé pour préparer le système en vue de son déploiement. Il est notamment utile pour la génération d’un SID unique et évite ainsi des problèmes de mise au domaine, de mises à jour WSUS, etc… Il est possible de définir de nombreux paramètres et personnalisations à travers un fichier de réponse (unattend.xml) utilisé en argument à l’utilitaire sysprep. Le fichier de réponse se construit à l’aide de l’outil WAIK (Windows automated Installation Kit) disponible à cette adresse : www.microsoft.com/fr-FR/download/details.aspx?id=5753 Pour plus de commodité, 4 fichiers « unattend.xml » sont attachés à cette procédure : unattend_32bits_KMS : fichier de réponse pour image 32 bits intégrant clé de produit client KMS et exécution SDI. unattend_32bits_KMS.xml unattend_32bits_no KMS : fichier de réponse pour image 32 bits intégrant option « skiprearm » dans le cas d’activation par clés OEM et exécution SDI. unattend_32bits_no KMS.xml unattend_64bits_KMS : fichier de réponse pour image 64 bits intégrant clé de produit client KMS et exécution SDI. unattend_64bits_KMS.xml 9 Auteur : Morgan Le Bouffant Version : 1.0 Date : Février 2015 unattend_64bits_no KMS : fichier de réponse pour image 64 bits intégrant option « skiprearm » dans le cas d’une activation par clé OEM et exécution SDI. unattend_64bits_no KMS.xml Sélectionner le fichier correspondant au type de système d’exploitation à déployer et au mode de licence utilisé et le copier dans le dossier « C:\Windows\System32\sysprep\ » Renommer ce fichier en « unattend.xml » Créer un script « startprep .bat » contenant : @echo off cd c:\windows\system32\sysprep sysprep /generalize /oobe /shutdown /unattend:c:\windows\system32\sysprep\unattend.xml Nettoyage du poste avant finalisation : Supprimer tous les dossiers présents sous « c:\Windows\SoftwareDistribution\Download » Nettoyer tous les journaux d’événements : o wevtutil el >a.txt for /f %x in (a.txt) do wevtutil cl %x del a.txt Vider la corbeille Lancer « Nettoyage de disque » Défragmenter le disque dur Désinstaller les VmWareTools Redémarrer le poste A ce stade, le fichier « startprep.bat » peut être exécuté, le poste s’éteindra à la fin des tâches de préparation sysprep et une image du disque pourra être faite. Serveur de déploiement FOG : Outils et service à intégrer : Dans le cas d’un déploiement de l’image avec un serveur FOG, il est nécessaire avant l’exécution du fichier « startprep.bat » : D’inventorier le poste dans la console FOG 10 Auteur : Morgan Le Bouffant Version : 1.0 Date : Février 2015 D’installer le service FOG (dans un navigateur : srv-image/fog/client -> « FOG Client Service ») D’exécuter l’outil FOG Prep (dans un navigateur : srv-image/fog/client -> « FOG Prep ») De préparer une tâche d’Upload sur le serveur FOG 11