GPO : déployer des applications msi

Dans cet article, nous allons voir comment déployer des applications au format MSI à l’aide de stratégie de groupe (GPO) dans un environnement Active Directory.

Il existe deux modes de déploiement  :

  • Attribué : s’applique principalement aux ordinateurs, l’installation du programme est forcé.
  • Publié : s’applique uniquement aux utilisateurs, ce mode permet l’installation du logiciel à la demande de l’utilisateur, celui-ci est publié à l’aide panneau de configuration.

Avant de commencer la mise en place de la GPO, il faut mettre en place un partage accessible aux ordinateurs et/ou utilisateurs en fonction du mode sélectionné.

Pour ce qui est des droits NTFS du dossier, pour il faut mettre les droits de lecture pour le Ordinateurs du domaine.

NTFS rights of the shared folder

Déploiement en mode Attribué

Copier l’exécutable dans dossier partagé.

Shared folder

Depuis la console Gestion de stratégie de groupe, faire un clic droit sur OU 1 où la stratégie sera appliquée et cliquer sur Créer un objet GPO dans ce domaine, et le lier ici 2.

New GPO for MSI

Nommer 1 la stratégie et cliquer sur OK 2.

Name of GPO

Une fois la stratégie créée, faire un clic droit dessus 1 et cliquer sur Modifier 2.

Edit GPO

Aller au sur Installation de logiciel 1 qui se trouve dans Configuration Ordinateur / Stratégies / Paramètres du logiciel, faire un clic droit dans la zone de gauche. Aller sur Nouveau 2 et cliquer sur Package 3.

New package

Aller chercher le fichier MSI 1 par son chemin UNC puis cliquer sur Ouvrir 2.

Select file

Choisir le type Attribué 1 et cliquer sur OK 2.

Choose type

Le package est ajouté 1 au déploiement.

Package added

Résumé de la stratégie :

Overview stratégy

Redémarrer un poste dans l’OU cible et vérifier que le programme 1 soit bien installé.

Software installed

Il est aussi possible de voir les traces de l’installation par l’observateur d’évènement (ID : 1040/1042).

MsiInstaller event

Déploiement en mode Publié

Le déploiement en mode publié permet à l’utilisateur d’installer l’application lui-même.

Comme pour le déploiement attribué, placer le fichier MSI sur un partage réseau.

Copy file un shared network

En fonction de qui peut déployer l’application faire un clic droit sur OU cible ou directement à la racine du domaine 1 et cliquer sur Créer un objet GPO dans ce domaine, et le lier ici 2.

New GPO

Nommer 1 la stratégie et cliquer sur OK 2.

Name GPO

Faire un clic droit sur la stratégie 1 et cliquer sur Modifier 2.

Edit GPO

Aller au sur Installation de logiciel 1 qui se trouve dans Configuration Utilisateur / Stratégies / Paramètres du logiciel, faire un clic droit dans la zone de gauche. Aller sur Nouveau 2 et cliquer sur Package 3.

Install software

Aller chercher le fichier MSI 1 par son chemin UNC puis cliquer sur Ouvrir 2.

Select file

Choisir le type publié 1 et cliquer sur OK 2.

Choose type

L’application est disponible, en faisant un clic droit dessus, on peut voir qu’elle est configurée pour s’installer automatiquement.

Install auto

Détail de la stratégie de groupe :

Overview

Sur un ordinateur, ouvrir une session utilisateur à qui la stratégie s’applique, aller sur le panneau de configuration et cliquer sur

Programmes et fonctionnalités 1.

Control panel

Cliquer sur Installer un programme à partir du réseau 1.

Install from the network

On retrouve ici l’ensemble des applications publiés, sélectionner l’application 1 et cliquer sur Installer 2.

programs available

Patienter pendant l’installation …

wait during installation

Le programme est installé 1.

installed program

Mise à jour d’une application MSI par stratégie de groupe

Maintenant, je vais vous expliquer comment mettre à jour un MSI qui est déployer par GPO.

Pour illustrer le tutoriel, nous allons mettre à jour le navigateur Edge qui est déployé en version 87 et le faire passer en 88.

Dans le dossier partagé, copier le fichier MSI 1.

Copy the MSI file to the shared folder

Dans la stratégie de groupe où est déployé la version précédente du logiciel, ajouter un nouveau package, pour cela faire un clic droit dans la zone centrale et aller sur Nouveau 1 et cliquer sur Package 2.

Add a new package to Group Policy

Sélectionner le fichier MSI 1 depuis le chemin UNC et cliquer sur Ouvrir 2 pour l’ajouter à la stratégie de groupe.

Go find the MSI file to update

Sélectionner le type de déploiement 1 et cliquer sur OK 2.

Choose the type of deployment

Le fichier est MSI est ajouté à la stratégie.

MSI added to group policy

Maintenant que le fichier MSI est ajouté à la stratégie de groupe, il faut indiquer qu’il peut être utiliser comme mise à jour.

Faire un clic droit sur le fichier et cliquer sur Propriétés 1.

Access the properties of the MSI file

Aller sur l’onglet Mises à niveau 1.

Go to the Upgrades tab

Depuis cet onglet, on peut configurer pour quel package, le fichier est une mise à jour, cliquer sur le bouton Ajouter 1.

Maintenant, il faut configurer le comportement de la mise à niveau. Sélectionner la stratégie de groupe 1, choisir ensuite l’application qui sera mise à niveau 2, sélectionner comme la mise à niveau sera effectuée 3 et cliquer sur OK 4 pour valider.

Dans l’exemple du tutoriel, je sélectionne la stratégie de groupe courante, j’indique que l’application à mettre à jour est Microsoft Edge, que la mise à niveau peut être faite sans désinstallation.

De retour dans les propriétés,, on peut voir la mise à niveau, cliquer sur Appliquer 1 et OK 2.

Upgrade configured

On peut que l’icone du package à une flèche verte qui indique la mise à niveau.

Pour certain MSI, la mise à niveau est détecté automatiquement

Supprimer une application MSI déployée par stratégie de groupe

Dans la dernière partie de ce tutoriel, nous allons voir ce qui se passe quand on supprime un MSI déployé par GPO.

Pour supprimer un package, faire un clic droit dessus 1, puis aller sur Toutes les tâches 2 et cliquer sur Supprimer 3.

Delete MSI

Ensuite, il faut sélectionner le comportement 1 et cliquer sur OK 2.

Choose behavior when deleting MSI file

Lors de la suppression, vous avez deux choix. Le premier va désinstaller le logiciel sur le ordinateur et les utilisateurs ne pourront plus l’utiliser et le second choix arrete seulement le déploiement, les ordinateurs qui ont déjà le logiciel de déployer reste installer et les utilisateurs pourront continuer de l’utiliser.