A voir également:
- GPO ne redéscend pas sur PC (Windows 2012 et 7)
- Mon pc s'allume mais ne démarre pas windows 10 - Guide
- Passer de windows 7 à windows 10 - Guide
- Installer windows 11 sur pc non compatible - Guide
- Benchmark pc - Guide
- Camera pc windows 7 - Télécharger - TV & Vidéo
8 réponses
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
28 déc. 2016 à 17:06
28 déc. 2016 à 17:06
Hello,
Plusieurs soucis en vue :
1. Le script tourne en contexte"user". Si le user n'a pas les droits d'administration sur la dite station, il ne pourra pas désinstaller le soft.
2. Comme on est en contexte"User"; s'il se log sur n'importe quelle machine, il lancera cette commande ... alors que ce n'est pas vraiment désiré sur toutes les machines ; seulement sur un lot de machine.
3. Le script pourrait être contenu dans le SYSVOL, le mettre sur un filer est une source potentielle d'erreur.(donc on préfèrera mettre la GPO avec la GPO).
4. Comme il s'agit d'un script de logon : un gpupdate n'executera pas le script... il faut forcément ouvrir une session. (ou démarrer la machine si on est en contexte machine)
-->
a. il faut mettre ce script en contexte machine et non user pour que ça marche "mieux". (loginscript sur la partie machine donc).
b. quand on fait appel à une application , on met son extension et on met son dossier complet dans l'appel du script : ça évite les problèmes avec un PATH trafiqué. (surtout en contexte user)
C:\Windows\system32\msiexec.exe
c. Seule la machine doit être ciblée par cette GPO en contexte machine.
Plusieurs soucis en vue :
1. Le script tourne en contexte"user". Si le user n'a pas les droits d'administration sur la dite station, il ne pourra pas désinstaller le soft.
2. Comme on est en contexte"User"; s'il se log sur n'importe quelle machine, il lancera cette commande ... alors que ce n'est pas vraiment désiré sur toutes les machines ; seulement sur un lot de machine.
3. Le script pourrait être contenu dans le SYSVOL, le mettre sur un filer est une source potentielle d'erreur.(donc on préfèrera mettre la GPO avec la GPO).
4. Comme il s'agit d'un script de logon : un gpupdate n'executera pas le script... il faut forcément ouvrir une session. (ou démarrer la machine si on est en contexte machine)
-->
a. il faut mettre ce script en contexte machine et non user pour que ça marche "mieux". (loginscript sur la partie machine donc).
b. quand on fait appel à une application , on met son extension et on met son dossier complet dans l'appel du script : ça évite les problèmes avec un PATH trafiqué. (surtout en contexte user)
C:\Windows\system32\msiexec.exe
c. Seule la machine doit être ciblée par cette GPO en contexte machine.
Bonjour,
Merci pour ce premier retour et je regarde ça. En attendant de voir le retour des modifications, je vous remercie pour votre aide et bonne fête de fin d'année qui approche très vite.
Cordialement,
Cédric.
Merci pour ce premier retour et je regarde ça. En attendant de voir le retour des modifications, je vous remercie pour votre aide et bonne fête de fin d'année qui approche très vite.
Cordialement,
Cédric.
Bonjour,
J’ai corrigé le script pour mettre le chemin entier du msiexec.exe que j’ai ensuite déplacé dans le dossier partagé sysvol. J’ai fait hériter au script les droits de sécurité du partage que j’ai laissé par défaut.
J’ai créé une GPO dans lequel j’ai mis le chemin du partage réseau du sysvol avec le nom du script.bat dans computer config /Windows Settings/scripts/startup/Script name.
Dans le scope de la GPO, j’ai mis « Ordinateurs du domaine », ainsi que dans la « Delegation ».
Rien ne se passe. Est-ce quelqu’un à une idée ?
Cordialement,
Cédric.
J’ai corrigé le script pour mettre le chemin entier du msiexec.exe que j’ai ensuite déplacé dans le dossier partagé sysvol. J’ai fait hériter au script les droits de sécurité du partage que j’ai laissé par défaut.
J’ai créé une GPO dans lequel j’ai mis le chemin du partage réseau du sysvol avec le nom du script.bat dans computer config /Windows Settings/scripts/startup/Script name.
Dans le scope de la GPO, j’ai mis « Ordinateurs du domaine », ainsi que dans la « Delegation ».
Rien ne se passe. Est-ce quelqu’un à une idée ?
Cordialement,
Cédric.
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié par kelux le 3/01/2017 à 13:50
Modifié par kelux le 3/01/2017 à 13:50
Hello,
Le souci c'est qu'avec ce qui est décrit, on ne sait pas si le script se lance ou non.
Voici comment bien mettre le script dans une GPO startup :
On clique sur "afficher..." pour ouvrir le dossier de la GPO
On y dépose le script (copier/coller) :
On clique sur Ajouter (premier screenshot), puis parcourir, on sélectionne le script et on valide :
1. Rien ne se passe.
-> Comment est fait le test pour voir si ce script se lance ou non ?
Il faut redémarrer la machine pour que le script s'exécute pendant le démarrage.
2. Inutile de bricoler les droits/délégation d'une GPO, on laisse "Authenticated Users" avec les droits par défaut. (le groupe ordinateurs du domaine est membre de utilisateurs authentifiés).
3. Avez vous essayé de créer un fichier/dossier dans le script ?
en laissant de coté l'appel du msiexec. (penser à créer le dossier temp sur C sur la machine de test).
Si le fichier n'est pas créé, ou qu'une ligne n'est pas ajoutée -> souci avec le script ou l'appel du script.
4. Au niveau des OUs :
- Sur quelle OU est liée la GPO ?
- dans quelle OU est stocké l'objet machine de test ?
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Le souci c'est qu'avec ce qui est décrit, on ne sait pas si le script se lance ou non.
Voici comment bien mettre le script dans une GPO startup :
On clique sur "afficher..." pour ouvrir le dossier de la GPO
On y dépose le script (copier/coller) :
On clique sur Ajouter (premier screenshot), puis parcourir, on sélectionne le script et on valide :
1. Rien ne se passe.
-> Comment est fait le test pour voir si ce script se lance ou non ?
Il faut redémarrer la machine pour que le script s'exécute pendant le démarrage.
2. Inutile de bricoler les droits/délégation d'une GPO, on laisse "Authenticated Users" avec les droits par défaut. (le groupe ordinateurs du domaine est membre de utilisateurs authentifiés).
3. Avez vous essayé de créer un fichier/dossier dans le script ?
en laissant de coté l'appel du msiexec. (penser à créer le dossier temp sur C sur la machine de test).
echo "Test gpo" >> c:\temp\test.txt
Si le fichier n'est pas créé, ou qu'une ligne n'est pas ajoutée -> souci avec le script ou l'appel du script.
4. Au niveau des OUs :
- Sur quelle OU est liée la GPO ?
- dans quelle OU est stocké l'objet machine de test ?
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Merci pour ce retour et le test est concluant. Je n'avais pas la bonne méthode de travail.
J'avais créé une OU spécifique pour la GPO, avec une VM que j'ai mis dans la GPO bien que j'étais tenté de mettre, à la place, un groupe user en global sécurité.
Mais avant de poursuivre, j'ai une question : je dois faire le test de la suppression d'un anti-virus avant le déploiement d'un tout nouveau, donc désinstaller d'abord l'anti-virus, puis son agent de 2ième position. La question est comment faire respecter cet ordre de suppression avec la GPO ?
Quand ce test sera terminé, il me faudra faire une GPO de déploiement mais je pense que c'est la même approche. Je me demande si je peux la faire sur la même GPO et je pense que oui. J'ai préparé un msi.
Cordialement,
Cedric
Merci pour ce retour et le test est concluant. Je n'avais pas la bonne méthode de travail.
J'avais créé une OU spécifique pour la GPO, avec une VM que j'ai mis dans la GPO bien que j'étais tenté de mettre, à la place, un groupe user en global sécurité.
Mais avant de poursuivre, j'ai une question : je dois faire le test de la suppression d'un anti-virus avant le déploiement d'un tout nouveau, donc désinstaller d'abord l'anti-virus, puis son agent de 2ième position. La question est comment faire respecter cet ordre de suppression avec la GPO ?
Quand ce test sera terminé, il me faudra faire une GPO de déploiement mais je pense que c'est la même approche. Je me demande si je peux la faire sur la même GPO et je pense que oui. J'ai préparé un msi.
Cordialement,
Cedric
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
4 janv. 2017 à 13:34
4 janv. 2017 à 13:34
Hello,
J'avais créé une OU spécifique pour la GPO, avec une VM que j'ai mis dans la GPO bien que j'étais tenté de mettre, à la place, un groupe user en global sécurité.
Les GPOs modifient des paramètres des objets Ordinateurs et Utilisateurs , et non de groupes :-)
On ne peut appliquer une GPO à un groupe ; néanmoins on peut utiliser un groupe pour filtrer une GPO, c'est 'sensiblement' différent.
je dois faire le test de la suppression d'un anti-virus avant le déploiement d'un tout nouveau, donc désinstaller d'abord l'anti-virus, puis son agent de 2ième position. La question est comment faire respecter cet ordre de suppression avec la GPO ?
Pour la désinstallation complète de l'antivirus : ce seul script suffit.
Il faut faire les tests dans le script, c'est le script qui va gérer les conditions et l'ordre. "Trop naze" de le faire avec plusieurs GPOs.
Quand ce test sera terminé, il me faudra faire une GPO de déploiement mais je pense que c'est la même approche. Je me demande si je peux la faire sur la même GPO et je pense que oui. J'ai préparé un msi.
Pour l'installation : c'est la même approche en gros, c'est le script qui gère le séquencement.
- N'utilisez surtout PAS la fonction de déploiement de logiciel MSI par GPO.
Je préfère par script et du packaging. D'ailleurs sur de très gros environnements on n'utilise pas cette fonctionnalité d'installation par GPO.
- Dans ce script d'installation : faire les tests de la présence de l'ancien antivirus : tests du .exe dans un dossier spécifique. Test avec l'installeur si tel MSI est installé etc ...
- Copier en local le/les package/s d'install avant de lancer l'installation : il faut bien tester avant que le produit s'installe automatiquement sans interaction.
- Faites un fichier de log de tout ce qui est fait... et du test d'erreurs.
test présence AV -> uninstall
test présence Agent -> uninstall (reboot nécessaire ?)
test présence nouvel AV -> install + reboot programmmé
si rien de tout ça -> continuer à démarrer normalement.
J'avais créé une OU spécifique pour la GPO, avec une VM que j'ai mis dans la GPO bien que j'étais tenté de mettre, à la place, un groupe user en global sécurité.
Les GPOs modifient des paramètres des objets Ordinateurs et Utilisateurs , et non de groupes :-)
On ne peut appliquer une GPO à un groupe ; néanmoins on peut utiliser un groupe pour filtrer une GPO, c'est 'sensiblement' différent.
je dois faire le test de la suppression d'un anti-virus avant le déploiement d'un tout nouveau, donc désinstaller d'abord l'anti-virus, puis son agent de 2ième position. La question est comment faire respecter cet ordre de suppression avec la GPO ?
Pour la désinstallation complète de l'antivirus : ce seul script suffit.
Il faut faire les tests dans le script, c'est le script qui va gérer les conditions et l'ordre. "Trop naze" de le faire avec plusieurs GPOs.
Quand ce test sera terminé, il me faudra faire une GPO de déploiement mais je pense que c'est la même approche. Je me demande si je peux la faire sur la même GPO et je pense que oui. J'ai préparé un msi.
Pour l'installation : c'est la même approche en gros, c'est le script qui gère le séquencement.
- N'utilisez surtout PAS la fonction de déploiement de logiciel MSI par GPO.
Je préfère par script et du packaging. D'ailleurs sur de très gros environnements on n'utilise pas cette fonctionnalité d'installation par GPO.
- Dans ce script d'installation : faire les tests de la présence de l'ancien antivirus : tests du .exe dans un dossier spécifique. Test avec l'installeur si tel MSI est installé etc ...
- Copier en local le/les package/s d'install avant de lancer l'installation : il faut bien tester avant que le produit s'installe automatiquement sans interaction.
- Faites un fichier de log de tout ce qui est fait... et du test d'erreurs.
test présence AV -> uninstall
test présence Agent -> uninstall (reboot nécessaire ?)
test présence nouvel AV -> install + reboot programmmé
si rien de tout ça -> continuer à démarrer normalement.
Bonjour,
Merci pour ce retour, je commence à regarder cet après-midi. Je ferai un retour du résultat, surtout après la modification du script avec les deux conditions de suppression mais j'avais bien l'intention de le faire sur le même, sans savoir si cela se fera correctement.
Cordialement,
Cédric
Merci pour ce retour, je commence à regarder cet après-midi. Je ferai un retour du résultat, surtout après la modification du script avec les deux conditions de suppression mais j'avais bien l'intention de le faire sur le même, sans savoir si cela se fera correctement.
Cordialement,
Cédric
