Création de GPO Packs…


Une fois n’est pas coutume, il arrive qu’un client ait des besoins en déploiement sans pour autant disposer d’un Active Directory. Certes c’est de moins en moins courant, mais je travaille actuellement sur un projet ou c’est le cas.

Le besoin: créer un banc de déploiement permettant d’implémenter Device Guard, Bit Locker, App Locker et certaines autres fonctionnalités gérée en temps normal par des GPOs comme le filtrage de périphériques non autorisés. Tout doit être automatisé au maximum, comme d’habitude. Et le tout doit pouvoir être géré avec des outils standard, Scripting accepté, mais sans ADDS.

Le problème: bon nombre de ces fonctionnalités ne sont en fait implémentables proprement que via la console de gestion des stratégies (locale ou de domaine). Hors l’automatisation des fonctionnalités de sécurité est bien prise en charge, mais pas l’intégralité du besoin, si l’on utilise les outils standard d’import/export de GPO locale (GPEDIT.MSC).

La solution: Les GPO Packs!    

Pour créer un GPO Pack, il faut tout d’abord se munir des outils suivants: Microsoft Security Compliance Manager. téléchargeable gratuitement sur le site de Microsoft.

Une fois téléchargé, soit vous l’installez sur une station de travail dédiée à l’analyse de sécurité (avec les autres outils d’audit par exemple), soit, comme je l’ai fait, vous vous contentez d’extraire le contenu du téléchargement dans un répertoire temporaire.

Repérez ensuite le fichier DATA.CAB, extrayez de ce dernier le fichier GPOMSI et renommez le en LocalGpo.MSI.

Vous avez alors la partie de SCM qui nous intéresse particulièrement pour ce billet, l’outil de création et d’application des GPO Packs. Installez le sur un poste, il va créer un répertoire dans lequel les différentes briques seront déposées, comme indiqué ci dessous.

image

Vous avez donc tout ce qu’il faut pour créer votre premier GPO Pack.

Lancez gpedit.msc, créez vos GPO locales en activant et en paramétrant tout ce que vous souhaitez généraliser sur les postes à déployer…une fois vos GPOs locales prêtes, il suffit de lancer la commande suivante depuis le répertoire d’installation de l’outil:

cscript localgpo.wsf /Path:”votre chemin” /export /GPOPack

et le GPO pack sera créé à l’endroit indiqué, il se présente sous forme d’un répertoire nommé par GUID, vous pouvez le renommer en toute tranquillité.

pour l’appliquer lancez la commande suivante, encore une fois depuis le répertoire contenant les différents outils (à ajouter à votre package MDT/SCCM):

cscript localgpo.wsf /Path:”votre chemin/votre GPO Pack”

un redémarrage est nécessaire

Simple et efficace, et au moins on est “propres” une autre solution aurait été d’exporter le registre puis de l’importer sur les postes masterisés, mais cela n’est pas aussi “corporate”!

Bon déploiement à tous!

PierrE.

A propos Red Kaffe

IT Trainer and Consultant on Microsoft Technologies. Windows Server and Client, Service Center 2012, WSUS/MDT/ADK/WAIK, SBS 2008/2011, Office 365, etc. Fully dedicated to support and train my customers...
Cet article a été publié dans Deployment, GPOs, MDT, Scripting, Security, System Center. Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s