¶ Introduction
Installation et mise en œuvre de MDT
- Installation
- Création du DeploymentShare
- Ajout d’une ISO
- Gestion des drivers
- Gestion des applications
- Gestion des Patchs
- Configuration WDS
Gestion de Windows 7 et Windows 10/11
- Avec Windows 7 la question ne se pose pas, il FAUT créer un poste de référence pour générer une WIM contenant Windows 7 et tous les patchs
Pour Windows 7, consulter l'article : Creation du poste de référence Windows 7
- Avec Windows 10 on ne fera plus de poste de référence (capture d’une installation personnalisée) mais on utilisera directement l’ISO Microsoft
¶ Architecture
L'architecture est vraiment simple. Il vous faudra :
- D’un partage sur un serveur de fichier (Pas de sous répertoire)
- Un serveur WDS (facultatif)
- Un serveur DHCP (facultatif mais recommandé)
- Un Active Directory (Facultatif)
- Un compte « User » dans l’AD ou un groupe global.
- Un poste d’administration
L'ensemble peut etre hébergé sur le même serveur « all in one » ou au contraire avoir les rôles éclatés (par exemple)
- Un NAS avec le partage
- Un serveur Windows pourr WDS
- UN poste Windows 10 pour l'installation de l'ADK et de MDT
SI vous n'avez pas de WDS, vous pouvez utiliser une clé USB de boot
¶ Installation
Ce qu’il vous faut
Une ISO Windows 10/11 ou Windows 7
- Installation de Windows ADK Windows 10 ou 11 , sélectionnez les options suivantes
- Pour le module Windows ADK
- Outil de déploiement
- USMT
- Pour le module Windows ADK
- Pour le module complémentaire PE Windows pour le Windows ADK
- WinPE
Installation de MDT suivant l’architecture de votre poste.
L’architecture de MDT n’aura pas d’impact sur les OS que vous pouvez gérer avec MDT
¶ DeploymentShare
¶ Création du deploymentshare
- Lancez MDT avec le raccourci « Deployment Workbench », puis créer un nouveau « Deployment Share ».
- Indiquez un chemin local puis validez les écrans suivants (on réalisera la configuration plus tard) avec les fichiers customsetting.ini et boostrap.ini
¶ Déplacement du deploymentshare (optionnel)
Vous pouvez deplacer le déploymentshare sur un nouveau partage pour cela :
- Créer un nouveau partage sur le serveur cible
- Vérifier que le compte MDT à les droits de modification dans les permissions NTFS
- Vérifier que dans les permissions de partage que « Utilisateurs authentifiés » ou « Tout le monde » et en Full Control
- Déplacer le contenu de l'ancien partage vers le nouveau
- Modifier le boostrap.ini pour y ajouter le nouveau chemin du deploymentshare
- Depuis la console MDT, fermer le deploymentshare actuel
- Ouvrez le nouveau Deploymentshare
- Indiquez le chemin UNC de votre partage
¶ Création des images de boot
¶ Gestion des drivers
¶ Présentation
Création de 2 répertoires dans MDT qui gérer uniquement les drivers WINPE
- WinPEx86 => Utilisé pour les images WinPE 32 bits
- WinPEx64 => Utilisé pour les images WinPE 64 bits
L’ajout de drivers de type « MassStorage » et « Network » seront uniquement inclus dans ces répertoires.
¶ Creation du dossier
- Dans “Out-of-Box Drivers” créer un nouveau dossier
- Indiquez le nom du dossier et validez
¶ Téléchargement de drivers WinPE
WinPE étant basé sur Windows 10, il faudra télécharger des drivers pour Windows 10
- Le plus simple pour commencer est de partir sur un drivers pack de chez dell (même si vous devait faire un autre constructeur) : Download
- Extraire le cab avec 7zip (ne pas tenir compte de l’erreur 7zip
¶ Import des drivers
- Dans les dossiers WinPE de MDT ajouter les drivers (repeter l’opération pour les drivers 32 Bits et 64 bits)
¶ Création des profiles
- IL faut ensuite créer 2 profiles dans MDT
- Les profiles vont pointer sur les dossiers des drivers WinPE correspondant
¶ Association des profiles dans WinPE
- Dans les propriétés du DeploymentShare
- Sélectionner les profiles de drivers WinPE pour x86 et x64
¶ Gestion du Boostrap.ini
On pourr amodifier dans le fichier boostrap.ini
- Le chemin du deploymenshare => DeployRoot
- Le clavier => KeyboardLocalePE
- L'authentification => UserID, UserDomain et UserPassword
Si le compte d'authentification n'est pas renseigné une popup demandant de s'authentifier sera affiché lors du déploiement.
exemple de fichier
[Settings]
Priority=Default
[Default]
; Indiquez le chemin UNC de votre deploymentshare
DeployRoot=\\dc.leblogosd.lan\MDT
; N'affiche pas l'ecran de bienvenue
SkipBDDWelcome=YES
; Passe le clavier en francais
KeyboardLocalePE=040c:0000040c
; Si le compte n'est pas indiquez, il faudra renseigner un compte avec des droits sur le partage
UserID=UserMDT
UserDomain=leblogosd
UserPassword=Password1¶ Création des images de boot
Les images de boot contiennent un WinPE avec les outils pour se connecter sur le deploymentshare.
- Pour générer les WinPE, faire un click droit sur le deploymentShare, puis sélectionnez « Update Deployment Share »
- Sélectionnez « Completely regenerate the boot images » et validez
- Une fois les images générées, vous pouvez les utiliser pour faire un déploiement
- Il faudra utiliser les ISO ou les WIm LiteTouchPE.
¶ Import des OS
¶ Ajout d'un OS depuis une ISO Microsoft
- Dans « Operating Systems », sélectionnez « Import Operating system »
- Sélectionnez « Full set of source files »
- Puis sélectionnez votre lecteur (physique ou virtuel) contenant Windows 7 ou 10
- Validez les écrans suivants
¶ Activation du FRAMEWORK 3.5
Attention : Pour le Framework 3.5, Windows va chercher les sources sur Internet. Pour le déploiement d’un poste cela est possible, mais pour le déploiement en masse cela rallonge le temps d’installation.
¶ Modification de la WIM
Généralement je modifie l’ISO avant l’import pour inclure le Framework 3.5 ainsi, voici exemple de script
A modifier en fonction de vos chemins
md C:\mount
Dism /Get-ImageInfo /imagefile:"%~dp0ISO\sources\install.wim"
:: Info Wim 1709
:: Index : 1 Nom : Windows 10 Education
:: Index : 2 Nom : Windows 10 Education N
:: Index : 3 Nom : Windows 10 Enterprise
:: Index : 4 Nom : Windows 10 Enterprise N
:: Index : 5 Nom : Windows 10 Pro
:: Index : 6 Nom : Windows 10 Pro N
Dism /mount-image /imagefile:"%~dp0ISO\sources\install.wim" /index:3 /mountdir:C:\mount
IF %errorlevel% NEQ 0 pause
echo add NetFx3
dism /image:C:\mount /enable-feature /featurename:NetFx3 /All /Source:"%~dp0ISO\sources\sxs" /LimitAccess
IF %errorlevel% NEQ 0 pause
Dism /unmount-image /mountdir:C:\mount /commit
IF %errorlevel% NEQ 0 pause
¶ Avec la variable WindowsSource dans le customsetting.ini
Autre technique pour l’activation du framework 3.5 dans MDT
Cette méthode ne fonctionne pas avec un media MDT
- Ajouter la variable suivante dans le custom setting.ini
WindowsSource>=%DeployRoot%\Operating Systems\Windows 10 Enterprise x64\sources\sxs- Vous pouvez ajouter la feature NetFX3 dans la séquence de tâche (Voir le chap sur les features)
¶ Import d'une Wim Custom
On pourra importer une Image capturée (cas d'une image Windows 7)
- On importera une WIM custom
- Indiquez le chemin de la WIM
- Indiquez le chemin des sources Windows 7 original (le contenu de l’ISO)
- Vous pouvez refaire une nouvelle sequence de tâche avec ce nouveau OS custom
¶ Création d'une séquence de tâche
¶ Nouvelle séquence de tâche
Une fois au moins un OS importé dans MDT, vous pouvez créer une séquence de tâche
- Faire un click droit sur « Task Séquence », puis sélectionnez « New Task Sequence »
- Entrez l’ID (servira a créer un dossier dans le répertoire control de votre DeploymentShare)
- Entrez le nom
- Sélectionnez « Standard Client Task Sequence »
- Puis sélectionnez l’OS qui vous voulais installer
La tache est maintenant disponible.
¶ Ajout de Feature dans la séquence de tâche
- Unepossibilité souvent utilisé (autre que netFX3) est l’activation des features Windows
- Cocher simplement les features souhaitez
¶ GESTION DES PATCHS
Dans les séquences de tâches MDT, vous pouvez réaliser les mises à jours depuis :
- Windows Update
- Un serveur WSUS
- Le dossier update
¶ Windows Update
Une des modifictaion les plus évidente pour la séquence de tâche, est l’activation du Windows Update lors de la descente du poste (ou la capture du poste de référence
- Dans les propriétes de la séquence detâche vous pouvez activer Windows Update (avant ou aprés l’installation des applications)
¶ Un serveur WSUS
Pour définir un serveur WSUS dans MST, il faut ajouter une entrée dans le fichier <DeploymentShare>\Control\Customsetting.ini
WSUSServer=http://ServeurWSUS:8530¶ Le dossier Update
Ce dossier est utilisé pour mettre des fichiers MSU principalement comme le Cumulative Update de Windows 10 . Lors du déploiement de l'OS, le MSU sera intégré dans l'OS.
Cumulative Update Windows 10 : Sur le site CU vous avez les liens de téléchargement pour télécharger le cumulative update
¶ Intégration d'un MSU
- Dans le dossier package de MDT, ajouter des nouveau patchs (MSU)
- Puis sélectionnez les MSU pour Windows update
¶ Exclure des KB
Il faudra ajouter des entrées dans le fichier <DeploymentShare>\Control\Customsetting.ini Exemple d’exclusion
WUMU_ExcludeKB001=976002
WUMU_ExcludeKB002=2434419
WUMU_ExcludeKB003=2718695
WUMU_ExcludeKB004=2841134Vous pouvez consulter le fichier ZTIWindowsUpdate.log pour identifier les problèmes de déploiement
¶ GESTION DES DRIVERS
¶ Introduction
Gestion des drivers dans MDT avec la création de profiles. Ceci est une proposition de gestion de drivers mais vous pouvez l’adapter en fonction de vos besoins.
Voici un exemple d’arborescence pour faciliter la gestion des drivers.
« Out-of-Box drivers »
- OS Architecture
- Marque du poste
- Modèle du poste
- Marque du poste
Comment obtenir le MODÈLE d’un poste ?
La commande : « WMIC csproduct get name » permet d’obtenir le modèle exact du poste, le modèle est inscrit dans le BIOS du poste.
¶ Drivers de Type Inf
¶ Creation du dossier
- Dans “Out-of-Box Drivers” créer un nouveau dossier
- Indiquez le nom du dossier et validez
¶ Import des drivers
- Faites un clic droit sur le répertoire créer, puis dans le menu contextuel sélectionner « Import Drivers »
- Indiquez le chemin où se trouvent les drivers puis cliquez sur « Next »
- Puis cliquez sur « Next » puis sur « Finish »
¶ Creation du profile
Un profil MDT sera créé par modèle de machine pour permettre d’appliquer uniquement les drivers du modèle spécifié pour cela :
- Dans « Advanced Configuration | Selection Profiles » créer un nouveau profil.
- La règle de nommage utilisé pour le nom des profils est la suivante OsArchitecture – Marque – Modèle
- Puis sélectionnez uniquement le dossier de drivers correspondant au modèle du poste
¶ Gestion de type Exe
¶ Introduction
Un « Bad Driver » est un driver qui s’installe uniquement avec un setup.exe. Par exemple si on doit ajouter les drivers vidéo avec l’installation pour avoir toutes les fonctionnalités vidéo c’est ici qu’on devra les placer. Dans le cas où un poste ne nécessite pas de « Bad Drivers » on créera quand même l’application pour rester uniforme.
Un « Bad Drivers » sera géré comme une application, une arborescence spécifique est créée dans MDT
Bad Drivers
- Windows 10 x86
- Windows 10 x64
- Windows 7×64
Le nommage réalisé en tant qu’application est la suivante (par exemple) : BadDriver_Marque_Modele_OsArchitecture
¶ Création d'une application
- Créer une nouvelle application. L’option « Application with source files » sera utilisée
- Puis dans « Application name » entrez le nom du BadDriver suivant la convention de nommage.
- Entrez le répertoire contenant les drivers de la machine au format « setup.exe »
- Dans Command line entrez « install.bat » (ou la commande d’installation)
- Le fichier install.bat devra exister dans le répertoire d’installation. Ce fichier devra effectuer l’installation des « Bad Drivers ». Vous pouvez ainsi tester et modifier les sources et le fichier install.bat directement dans \\server\mdtprod\applications\NomDeApplication
- Puis faire un clic droit sur l’application et dans le menu contextuel sélectionnez « Propriétés »
2 options seront activées :
- Dans l’onglet « General » l’option « Hide This application in the Deployment wizard »
- Dans l’onglet « Détails » l’option « Reboot the computer after installing this application »
¶ Modification de la séquence de tâche
¶ Récupérer le modele du poste
La commande suivante permet d’obtenir le modèle exact du poste, le modèle est inscrit dans le BIOS du poste.
WMIC csproduct get name¶ POUR LES DRIVERS INF
Cette action permet d’appliquer les drivers sur les postes. Cette action est à réaliser sur les séquences de tache de déploiement uniquement (répertoire « Deploy »).
- Faire un clic droit sur la séquence de tache (« Task sequence ») pour ajouter le nouveau modèle, puis sélectionner l’onglet « Task Séquence »
- Dans « preinstall \Gestion des drivers » ajouter une nouvelle tâche de drivers (bouton Add \ general \inject drivers »)
- Sélectionnez le profil de driver et sélectionnez l’option « Install all drivers from the selection profile »
- Puis dans l’onglet option, ajouter une requête WMI. Cela permet d’appliquer cette tâche uniquement sur le modèle de poste concerné.
¶ POUR LES BAD DRIVERS
- Dans « State Restore \ Bad Driver » ajouter une nouvelle tâche Applicative (bouton Add \ general \install Application »)
- Sélectionnez l’application correspondant au « BadDriver » du poste
- Puis dans l’onglet option, ajouter une requête WMI. Cela permet d’appliquer cette tache uniquement sur le modèle de poste concerné.
¶ FILTRES WMI POUR GERER LES DRIVERS
Exemple de filtre WMI, je préfère l’utilisation de Win32_ComputerSystem plutôt que les variables MDT car j’ai la possibilité d’utiliser LIKE. Certains constructeurs font des blagues avec les modèles de poste inscrit dans le BIOS 🙂
LENOVO S20
Select * from Win32_ComputerSystem WHERE manufacturer LIKE "LENOVO%" AND (Model LIKE "%0301%" OR Model LIKE "4105%" OR Model LIKE "4205%" OR Model LIKE "4217%" OR Model LIKE "4157%")DELL M4600
Select * from Win32_ComputerSystem WHERE manufacturer LIKE "Dell%" AND Model LIKE "%4600%"ou
Select * from Win32_ComputerSystem WHERE Model LIKE "%4600%"¶ GESTION DES APPLICATIONS
¶ Ajout d'une application
- Dans Application, Ajouter une nouvelle application
- Les options possibles
- Application with source files => Les sources seront copiées dans le dossier « Application » de votre deploymentshare
- Application without source files …. ==> Utilise un share pour les sources. Attention Le share doit se trouver sur le ùêùe serveur qu ele partage MDT et vous ne pouvez donc pas faire de clé USB avec MDT
- Application bundle => groupe d’application
- Indiquez un nom pour votre application (sans accent), les autres options sont facultatives
- Le chemin contenant les sources => CE dossier sera compié intégralement
- le nom du dossier qui sera cré dans votre deploymentshare
- Et enfin la ligne de commant pour réaliser l’installation
¶ Les options possibles
- Cacher une application sur le Wizard MDT => Dans ce cas il faudra la gérer directement dans le séquence de tâche ou via un bundle
- Redemarrer aprés l’installation de cette application
¶ Les Bundle
Les Bundle sont juste un groupe d’application, lors de sa création, MDT demande simplement son nom.
Il faudra inclure des applications
Exemple d’utilisation :
- Ajouter les applications communes dan sun bundle et modifier la séquence de tâche pour ajouter ce bundle
- Faire des profils métiers, Cel apermettra dans le wizard MDT lors du déploiement de sélectionner le profil
¶ Rendre obligatoire une application
Il faut ajouter Applicationsxxx ou MandatoryApplicationsxxx dans le customsettings.ini
Pre cocher une application
Applications001=<GUID de l’application>
Applications002=<GUID de l’application>
Applications003=<GUID de l’application>
Applicationsxxx=<GUID de l’application>
Rendre obligatoire une application
MandatoryApplications001=<GUID de l’application>
MandatoryApplications002=<GUID de l’application>
MandatoryApplications003=<GUID de l’application>
MandatoryApplicationsxxx=<GUID de l’application>
Dans le wizard de MDT l’application
- Est coché et peut être décochée si on a utilisé Applicationsxxx
- Ne pourra pas être décochée si on a utilisé MandatoryApplicationsxxx
COMMENT TROUVER LE GUID DE L’APPLICATION ?
Dans les propriétés de l’application se trouve le GUID
¶ CUSTOMSETTING
¶ Introduction
Le fichier customsetting.ini permet de configurer le wizard MDT et certaines options de déploiement.
Le fichier se trouve dans le dossier control de votre deploymentshare
¶ Exemple de fichier
[Settings]
Priority=Default
Properties=MyCustomProperty
[Default]
OSInstall=Y
SkipTaskSequence=No
;TaskSequenceID
SkipComputerName=NO
;OSDComputerName
SkipDomainMembership=NO
;JoinDomain=domaine.fr
;UserID
;UserDomain
;UserPassword
;MachineObjectOU=OU=NewComputers,OU=Deploiement,DC=domaine,DC=fr
SkipUserData=No
;UserDataLocation
SkipComputerBackup=No
;ComputerBackupLocation
SkipProductKey=YES
;ProductKey
SkipCapture=No
SkipAdminPassword=NO
SkipPackageDisplay=No
SkipBitLocker=YES
SkipComputerBackup=No
SkipLocaleSelection=YES
SkipTimeZone=YES
TimeZone=105
TimeZoneName=Romance Standard Time
SkipRoles=YES
SkipApplications=NO
SkipAdminAccounts=YES
SkipSummary=NO
SkipFinalSummary=YES
FinishAction=REBOOT¶ Configurer WDS
¶ Installation du rôle WDS
Note : Pour Windows 10 et les BIOS UEFI, il faudra utiliser le service WDS sur Windows 2012 R2. Pour les BIOS Legacy, un PXE Windows 2003 ou 2008 R2 est compatible
- Ouvrir le Gestionnaire de serveur, puis « Rôle » et ensuite « Ajouter des rôles ou des fonctionnalités»
- Activer « Services de déploiement Windows«
- Valider les services de rôle WDS
- Une fois l’installation finie, ouvrir les rôles, pour trouver « Service de déploiement Windows»
¶ Configurer le rôle WDS
- Il faut activer (déclarer le rôle en tant que serveur DHCP), pour cela faire un clic droit sur votre serveur et sélectionnez « Configurer le serveur »
- Laissez les options par défaut mais validez « répondre à tous les ordinateurs clients »
Note : les clients Connus, sont les Ordinateurs présent dans l’Active Directory (Dans l’AD l’adresse MAC est mentionné)
- Ne pas ajouter d’image pour le moment
- Si votre serveur fait également serveur DHCP, activer les 2 options dans les propriétés de votre WDS (onglet DHCP)
Si vous réalisez un LAB chez vous, le DHCP de votre box internet sera suffisant
¶ Ajout des images
Afin de rendre disponible le déploiement MDT par PXE, il est nécessaire d’ajouter des images de démarrage au serveur WDS. Il s’agit, dans notre cas, des images de boot générées par MDT lors de la mise à jour du « Deployment Share ».
- Dans le répertoire Boot du DeploymentShare de MDT se trouve 2 fichiers WIM
- Il suffit ensuite d’ajouter l’image de boot (ou les 2) correspond à l’architecture de votre OS qui sera déployé par MDT. L’ajout des images se fera dans le répertoire « image de démarrage » de WDS
- Vos postes peuvent démarrer en PXE et faire le déploiement depuis votre deploymentshare MDT. Le WDS se résume à un rôle simple mais