Vous êtes sur la page 1sur 26

Comment contrler le dploiement de logiciels

Effectuez une gestion complte des logiciels par lentremise des stratgies de groupe
Danielle Ruest & Nelson Ruest Un rapport produit par Les Entreprises Rsolutions Lte.

Commandit par

Sommaire
Plusieurs administrateurs de systme ont dcouvert que lorsquil en vient la gestion de logiciels dans leur rseau, ils doivent concevoir, implanter et dployer des nouvelles infrastructures de service, et ceci mme sils ont dj investi beaucoup defforts et de temps dployer leur service de rpertoire Active Directory (AD). Malgr le fait quAD fournit un systme de gestion dinfrastructures par lentremise de ses stratgies de groupe, la majorit des systmes de livraison de logiciels sappuient sur des technologies de gestion compltement diffrentes. Ce nest pas le cas pour tous les outils. Ce document dcrit une stratgie qui supporte un systme de gestion de logiciels compltement automatis, un systme qui vous permet dassurer la conformit en termes de licences de logiciel en tout temps. Ceci est accomplit par la slection des bons outils de gestion et limplantation dune stratgie de dploiement de logiciels simple et efficace. Bref, ce rapport rpond au questionnement en termes de rutilisation de linfrastructure dActive Directory pour dployer des logiciels au sein de lentreprise. Il vise aussi sassurer que les organisations bnficieront de tous les gains quune saine gestion de logiciels peut apporter.

propos des auteurs Danielle Ruest et Nelson Ruest sont des informaticiens professionnels spcialiss en administration de systmes, planification de migration, gestion de logiciels et conception darchitectures. Ils sont auteurs de plusieurs livres, notablement, deux publis par McGraw-Hill Osborne, Windows Server 2003: Best Practices for Enterprise Deployments , ISBN 0-07-222343-X et Windows Server 2003 Pocket Administrator , ISBN 0-07-222977-2, ainsi que de Preparing for .NET Enterprise Technologies , publi par Addison Wesley, ISBN 0-201-73487-7. Ils ont beaucoup dexprience en gestion de projets de troussage de logiciels. Ils sont aussi auteurs du Definitive Guide to Vista Migration bientt publi par Realtime Publishers.

w w w. R e s o - N e t . c o m

Le dploiement de logiciels!

Livre technique

Page ii

Table des matires


Introduction.................................................................................................. 1 La gestion de logiciels par lentremise des stratgies de groupe...........3 Utiliser un modle logique pour la construction de systmes.................4 Trousser pour le service Windows Installer...........................................7 Comment utilser les stratgies de groupe pour le contrle de logiciels.........9 Rutiliser la structure Active Directory...................................................9 Travailler avec des stratgies de groupe.............................................10 Implanter une structure DFS pour des points de livraison....................15 Livrer le bon logiciel la bonne cible..........................................................18 Utiliser le modle de gestion automatis des logiciels.........................20 Simplifier le modle de gestion des logiciels.......................................22

Le dploiement de logiciels!

Livre technique

Page iii

Le dploiement de logiciels!

Livre technique

Page iv

Savez-vous combien de copies de chaque logiciel existent dans votre rseau aujourdhui? Si non, pourquoi pas?

Introduction
La gestion de logiciels implique souvent multiple activits qui incluent, mais ne sont pas limites linventaire, la gestion du cycle de vie, la vigie dutilisation des logiciels et le support. Lorsquon leur pose la question : Savez-vous combien de copies de chaque logiciel existent dans votre rseau? , peu dorganisations peuvent rpondre immdiatement. La plupart doivent effectuer une recherche au sein de leurs records dacquisitions, consulter des inventaires partiels, calculer le nombre de postes de travail dans leur rseau et, ventuellement ne rpondre quen donnant un chiffre imprcis. Pourquoi est-il si difficile pour les organisations de connatre exactement le nombre de logiciels dploys dans leur rseau? Avec toutes les technologies de gestion de logiciels disponibles aujourdhui, il devrait tre pourtant facile pour ces organisations de gagner un contrle complet et surtout constant de leurs logiciels. Ce contrle est important mme si ce nest que pour simplement sassurer que lorganisation peut assurer une conformit lgale au niveau des licences de logiciels et ainsi faciliter la gestion de ces inventaires long terme. Une partie de cette rponse est relie la manire que ces organisations grent le cycle de vie des logiciels (voir figure 1). Ce cycle inclut les valuations, les acquisitions, la cration de trousses dinstallation, les installations distance, la livraison de mises jour et de rustines, les activits de maintenance et, trs important mais souvent omis, le retrait des logiciels. Grer le cycle de vie des logiciels signifie la gestion complte du processus partir du moment de dcision deffectuer lacquisition jusquau moment de son retrait du rseau. Peu dorganisations prennent le temps dencourager ce processus et de le grer au complet.

8 April 2013

Livre Technique

Page 1

Figure 1. Le cycle de vie des logiciels. Prenez, par exemple, la rorientation dun poste de travail : lemploy A reoit un poste de travail avec tous les logiciels requis pour sa tche. Plus tard, ce mme employ obtient une nouvelle position au sein de lorganisation, et le poste de travail est rassign lemploy B. Ce dernier a un rle diffrent et par le fait mme ncessitent des logiciels diffrents. Dans la plupart des cas, le dpartement informatique installera les logiciels ncessaires la tche de lemploy B, sans toutefois prendre le temps de retirer les logiciels qui sont maintenant inutiles. Cette situation est comprhensible. Traditionnellement, le retrait de logiciel constitue un risque. De part sa nature, les logiciels Windows partagent souvent plusieurs composants. Retirer un logiciel dun poste de travail peut aussi retirer ces composants partags, affectant la stabilit du poste de travail. Plusieurs dpartements informatiques choisissent dviter ce risque et ainsi les logiciels ne sont pas retirs des postes de travail. Cette mthode prsente plusieurs problmes. Premirement, elle rend lorganisation non-conforme envers ses obligations lgales. Chaque entreprise doit sassurer quelle respecte le contrat dacquisition de chaque logiciel existant dans son parc informatique. tant donn que la plupart des produits Windows sont licencis selon le nombre dinstallations et non pas selon le nombre dutilisateurs concurrents, chaque installation reprsente une licence qui doit tre paye. Normalement, un logiciel qui nest plus utilis, mais qui nest pas retir dun poste, devrait coter une licence additionnelle lentreprise. Deuximement, laisser un produit inutilis sur un poste de travail fausse linventaire et le rend plus ou moins inutile. Si vous utilisez cette approche, chaque fois quun employ change de rle, vous vous retrouverez avec des licences dsutes sur plusieurs postes de travail. Par consquent, lorsque vous voudrez migrer un nouveau systme dexploitation, par exemple Windows Vista, vous devrez investir de nombreuses ressources pour reconstituer un inventaire valable de votre parc informatique. Sinon vous devrez

8 April 2013

Livre Technique

Page 2

investir dans linstallation de logiciels inutiles lors de la reconstitution du poste. Il y a multiple faons dadresser cette situation, mais la meilleure est dtablir une stratgie structure de gestion de logiciels. Celle-ci inclut divers lments : Des politiques de gestion du cycle de vie complet des logiciels Des politiques de retrait de logiciels Des outils de gestion du cycle de vie des logiciels tels que des logiciels de dploiement et dinventaire Un modle de construction de systmes informatiques Une stratgie de dploiement de logiciels base sur les profils de tches Une quipe de gestion des logiciels incluant des membres du dpartement informatique ainsi que des finances Des utilisateurs en tant quexperts techniques pour chaque logiciel du rseau

Limplantation de tous ces lments simplifiera la gestion des logiciels dans votre organisation. Une des premires actions entreprendre, souvent parce quelle est la plus facile, est de slectionner les bons outils. Dbutons avec la gestion des logiciels. La gestion de logiciels par lentremise des stratgies de groupe Lorsque Microsoft a invent le service de rpertoire Active Directory (AD), il y a maintenant plusieurs annes, ils y ont inclus un outil de dploiement de logiciels. Ceci faisait parti de la stratgie IntelliMirror de Windows 2000une stratgie conue pour fournir un support complet lapprovisionnement des postes de travail incluant le dploiement de systmes dexploitation, le dploiement de logiciels, la gestion des paramtres utilisateur et la protection des documents. Le dploiement de logiciel, en particulier, est trs bien intgr AD, car la structure de base du rpertoire contient toutes les informations requises : les comptes des utilisateurs, les comptes des postes de travail, les configurations des sites et des adresses de sousrseau, la rplication automatique entre les sites et llment le plus important, les stratgies de groupe. Les stratgies de groupe forment le noyau de lengin de gestion du rpertoire AD. Ainsi tout se contrle : partir des paramtres de prfrence du fureteur jusqu lassignation de scripts rseaux, le contrle du fonctionnement des applications, lassignation de paramtres de scurit et encore plus. Plus de deux milles diffrents paramtres peuvent tre contrls pour les postes de travail et les utilisateurs. De nouveaux paramtres y sont ajouts chaque fois que Microsoft dveloppe une nouvelle version du systme dexploitation ou simplement une nouvelle rustine. De plus, les manufacturiers de tierce partie peuvent ajouter leurs propres extensions aux stratgies de groupe permettant aux organisations dutiliser un seul engin central pour la gestion de la compatibilit des applications, des dploiements de mises jour ou de rustines, des collections

8 April 2013

Livre Technique

Page 3

dinventaire et des livraisons de logiciel. Un des grands avantages de lutilisation des stratgies de groupe pour la gestion des systmes est leur interface unique pour effectuer la gestion de tous les aspects dun rseau bas sur AD. Mais, au lieu de continuer btir sur lengin IntelliMirror, Microsoft a choisi de se concentrer sur la mise niveau du logiciel Systems Management Server (SMS), sans apporter aucune amlioration aux capacits de dploiement de logiciels dActive Directory incluent dans Windows Server 2003 (WS03). Ceci rend la livraison de logiciels par stratgies de groupe le point le plus faible de linfrastructure de la stratgie de groupe de Microsoft. Cette approche implique que les organisations peuvent utiliser cette capacit sils le veulent, mais sans fonctionnalits amliores telles des rapports de livraisons, la livraison de logiciels patrimoniaux, le contrle de la bande passante et la livraison aux serveurs de distribution. Si les organisations veulent se prvaloir de ces fonctionnalits, Microsoft recommande toujours linstallation et lutilisation de SMS. Cette stratgie reprsente plusieurs problmes. Mme si SMS est un outil puissant de gestion de logiciel, il est bas sur un code dsuet qui nest pas trs bien intgr avec Active Directory. De plus, lorsque vous dployez AD, vous devez concevoir une architecture, positionner les contrleurs de domaine stratgiquement et vous assurer que la rplication des donnes fonctionne correctement entre eux, crer une structure des units organisationnelles adapte votre organisation, concevoir vos stratgies de groupe et plus. Et, si vous choisissez dimplanter SMS, vous devez recommencer une fois de plus avec la conception de son architecture, le positionnement des divers rles de serveurs, la stratgie de dploiement de ses services, la stratgie de rplication de ses donnes, la protection de son infrastructure et encore plusen fait, une duplication quasi exacte des mmes efforts requis pour limplantation de votre rpertoire AD. Ne serait-il pas plus simple dutiliser une seule infrastructure, linfrastructure existante du rpertoire pour grer les logiciels ainsi que tout le reste? De plus, ceci simplifierait considrablement la gestion des logiciels. Utiliser un modle logique pour la construction de systmes Une autre faon de simplifier la gestion de logiciels est dutiliser un modle architectural pour la conception de systmes. Un tel modle se nomme le point daccs aux services scuriss (PASS voir figure 2). Ce modle est bas sur la construction de systmes informatiques qui rpondent quatre besoins corporatifs particuliers : Le noyau du modle PASS est conu pour rencontrer les besoins de la majorit des utilisateurs corporatifs. Il contient tous les composants logiciels requis pour le support des tches de bureautique et de collaboration. De plus, il est divis en une srie de couches similaire au modle de rfrence OSI. En fait, tout comme le modle OSI, le modle PASS utilise sept couches pour offrir les services corporatifs de base. Puisque ses fonctionnalits sont requises par lensemble du personnel, ce noyau est dploy tous les postes de travail dans une organisation.

8 April 2013

Livre Technique

Page 4

Des applications bases sur des profils de tches sont ensuite ajouts la couche du noyau pour Utiliser des images de rencontrer les besoins disque de certains rles Les images de disque doivent dutilisateurs spcialiss. utiliser loutil de dploiement Ces applications incluent SysPrep que Microsoft rend autant des logiciels disponible pour les maison qui rencontrent dploiements de Windows. SysPrep assure que la mme des fonctions critiques image peut tre rutilise sur la mission ou en support diffrentes machines. Mais, la mission de afin de pouvoir utiliser la lorganisation, que des mme image sur multiple produits commerciaux postes de travail, chaque qui ne sont pas requis machine doit utiliser le mme par lensemble du HAL. personnel, mais sont plutt rservs des rles ou des tches spcifiques. Finalement, une couche ad hoc rpond des besoins informatiques hautement spcialiss, besoins souvent exprims sur une base individuelle. De plus, le modle PASS est bas sur la normalisation des quipements qui sont dploys dans lorganisation. Cette normalisation est souvent difficile atteindre, mme dun seul fournisseur, mais ce qui est important ce niveau cest dassurer que toutes les machines utilisent la mme couche dabstraction matrielle (HAL) pour ainsi utiliser la mme image de disque durant un dploiement.

8 April 2013

Livre Technique

Page 5

Figure 2. Considrer lutilisation du modle PASS. Ce modle est bas sur trois lments majeurs : un noyau de systme qui fournit les fonctions de base pour lensemble de lorganisation, des configurations dapplications bases sur des profils de tche, et des composants ad hoc qui ciblent des utilisateurs plus distincts. Le modle complet sappuie sur un quipement informatique normalis. Construire des systmes bass sur un modle comme celui-ci rduit les efforts de gestion de systmes et de logiciels car il diminue le nombre dapplications qui doit coexister sur chaque systme. Une grande portion des systmesparfois plus de 50 pourcentne requirent que le noyau. Souvenez-vous que le noyau est compos de toute application qui ne requiert pas de royauts et sont ncessaires toute lorganisation (par exemple Acrobat Reader dAdobe ou Reader de Microsoft) ou toute application pour laquelle lorganisation a obtenu une licence globale (comme par exemple Microsoft Office). Ceci le rend utile tous. De plus, en regroupant les applications au sein de configurations bases sur des profils de tches, vous pouvez grandement rduire le nombre dapplications qui doivent coexister sur un mme systme. Les configurations bases sur des profils de tches incluent chaque application requise par les membres dun groupe donn. Par exemple, les concepteurs Web ont besoin dun outil ddition, un outil graphique, un outil danimation Web et des utilitaires spcifiques. Il

8 April 2013

Livre Technique

Page 6

est possible de trousser chaque outil sparment, mais ils doivent tre regroups afin dtre distribus dans un mme temps sur tous les postes visant ce groupe. Chaque configuration ne devrait pas inclure plus de 5 20 logiciels individuels, selon la tche. Les applications ad hoc rduisent davantage les efforts de gestion de systme car elles ne sont requises que par un petit nombre dutilisateurs. Ces applications sont toutefois trousses afin de permettre une distribution centralise et une installation automatise par lentremise de livraison distance. Trousser pour le service Windows Installer En plus dutiliser un modle de construction de systme et un outil de dploiement de logiciel professionnel, vous devriez considrer lutilisation du service Windows Installer que Microsoft inclut dans la plate-forme Windows. Ce service est spcifiquement conu pour simplifier les installations de logiciels. Il fournit une varit de fonctionnalits qui simplifient les tches administratives en matire de gestion de logiciels. Une des meilleures fonctionnalits de ce service est lautorparationla correction automatique des erreurs dinstallation ou de configuration des applications lorsquelles sont actives par un utilisateur. Ce service cre une base de donnes dinstallation sur le poste de travail lors de linstallation dun logiciel. Windows Installer effectue un contrle de cohrence de cette bd chaque fois quun logiciel est activ par un utilisateur. Sil des incohrences sont dtectes, Windows Installer se relie la source originale dinstallation et apporte les correctifs ncessaires au bon fonctionnement du logiciel. Ce nest pas la seule fonctionnalit de ce service. En effet, Windows Installer en offre plusieurs autres : linstallation dun logiciel avec des privilges levs dans un environnement de postes de travail verrouills, linteraction automatique avec lengin dinstallation de logiciels des stratgies de groupe, la mise jour des applications durant leur volution, et finalement la dsinstallation complte dapplications. En fait, il fournit un support comprhensif du cycle de vie des logiciels (voir la figure 3).

Figure 3. Windows Installer et le cycle de vie de logiciels.

8 April 2013

Livre Technique

Page 7

La base de donnes de cohrence de Windows Installer contrle proprement la dsinstallation de logiciels. Si vous avez de lexprience avec la dsinstallation de logiciels avant la sortie de Windows 2000, vous savez que le concept dune dsinstallation sans bvue est un mythe. Heureusement, le mythe devient ralit lorsque le logiciel sinstalle par lentremise de Windows Installer. Une des principales fonctions de ce service est de grer les conflits entre logiciels et dassurer que leurs composants partags ne soient pas endommags par linstallation dautres logiciels. Ainsi, sil des composants conflictuels sont ajouts lors de linstallation dun logiciel, Windows Installer assure que ces composants sont installs de manire viter tout conflit. Cette fonction permet la dsinstallation complte des composants puisquils sont isols par dfaut. Ainsi, la dsinstallation dun logiciel a maintenant peu ou aucun impact sur le poste lui-mme. tant donn les grands avantages apports par lintgration des installations de logiciels ce service, vous devriez srieusement considrer la migration de toutes vos applications vers des trousses dinstallation intgres ce service. Pour plusieurs organisations, la migration vers ce service par lentremise de mises jour des applications ne sera pas possible pour multiples raisons. Premirement, certaines applications, spcifiquement les applications dveloppes linterne, ne sont pas ncessairement faciles mettre jour. Deuximement, la majorit des corporations (surtout celles qui ont plus de mille utilisateurs) ont en moyenne 300 diffrentes applications dans leur parc informatique. Obtenir une mise jour pour toutes ces applications devient trs coteux et souvent non applicable. Troisimement, certains produits noffrent tout simplement aucune mise jour. Finalement, certains manufacturiers nont pas encore choisi dintgrer leurs produits au service Windows Installer, mais ils deviennent de moins en moins nombreux. Vous devrez probablement considrer vous-mme le troussage de vos logiciels pour prendre avantage de ce service. Multiples outils de troussage sont disponibles sur le march par lentremise de tierces parties. Vous pouvez aussi profiter de cette occasion pour implanter un modle de conception tel le modle PASS et catgoriser tous vos logiciels. Cette tche requiert un effort considrable, mais elle est une tape essentielle dans la gestion du cycle de vie des logiciels. De plus, elle fournit un excellent retour sur linvestissement, car les problmes dus linstallation de logiciels que vous vivez aujourdhui diminueront considrablement. Aussi, le troussage de toutes vos applications au format Windows Installer simplifiera les mcanismes de livraison car dornavant tous les produits auront le mme format dinstallation.

8 April 2013

Livre Technique

Page 8

Rutiliser Active Directory Tout outil de gestion des dploiements qui ne sintgre Windows Server 2003 R2 pas directement avec Active Directory le Un grand requiert avantage dploiement seconde dimplanter ladune version R2 de infrastructure. WS03 est le nouveau service de rplication de fichiers (DFSFR), lequel offre une rplication de fichiers diffrentielle et compresse.

Comment utilser les stratgies de groupe pour le contrle de logiciels


Tel que mentionn au dbut de ce document, il y a multiples avantages dutiliser Active Directory pour grer le dploiement de logiciels. Le premier est la rutilisation de linfrastructure AD dj existante. Le deuxime est que vous pouvez continuer utiliser un seul outil pour la gestion du parc informatique : les stratgies de groupe. Le troisime est quen termes de modification darchitecture, vous navez qu ajouter des points de distribution de logiciels pour en faciliter la livraison locale dans chaque site de votre organisation. Le quatrime est que grce aux stratgies de groupe, les livraisons de logiciels sont cibles prcisment et le retrait de logiciel peut seffectuer automatiquement. Et le cinquime est que votre infrastructure peut continuer voluer sans impliquer des changements votre stratgie de dploiement de logiciels.

Ces avantages forment une trs forte justification pour le choix des stratgies de groupe comme engin de livraison de logiciels. Mme si cette approche vous permet de rutiliser larchitecture AD, elle requiert toutefois certaines modifications; regardons lesquelles. Rutiliser la structure Active Directory Dployer Active Directory requiert beaucoup de rflexion et de planification puisque le service de rpertoire forme linfrastructure de gestion de tous les objets de votre parc informatique. Cest aussi le point central de validation de toutes les authentifications et autorisations daccs. Pour ces raisons, il faut prendre le temps de bien planifier linfrastructure du rpertoire avant de la dployer. Pour certains, ce projet apparat tellement norme quils ne sont pas encore prts effectuer un dploiement du rpertoire AD. En ralit, ce nest pas si difficile. En fait, lorsque vous suivez les meilleures pratiques de dploiement1, la mise en place dAD devient
1

Pour obtenir une stratgie complte sur la cration dun service de rpertoire AD, tlchargez le chapitre suivant (en anglais seulement) : Designing the Active Directory of Windows Server 2003, Best Practices for Enterprise Deployments par Ruest and Ruest.

8 April 2013

Livre Technique

Page 9

relativement simple. Ceci ne signifie pas que cest un projet sans efforts, mais lorsque linfrastructure est bien conue, les bnfices deviennent trs valables. Lutilisation dAD pour dployer les logiciels ne requiert aucun changement dans sa structure. Vous pouvez cibler les logiciels de la mme faon que vous ciblez les stratgies de groupe (voir la section Travailler avec des stratgies de groupe qui suit). Et puisque les contrleurs de domaines rpliquent dj leurs contenus entre eux, tous les dploiements de logiciels seront rpliqus proprement chacun des sites de votre parc informatique. Par contre, pour rduire le niveau de rplication gnr par AD et pour viter les installations de logiciels par lentremise du rseau tendu (WAN), vous devriez aussi implanter une infrastructure de service de fichiers rpartis en support aux points de distributions sur lesquels vos dploiements peuvent sappuyer. Travailler avec des stratgies de groupe Windows Server 2003 inclut un ensemble dobjets de stratgies de groupe (GPO) qui permet la livraison de logiciels aux utilisateurs ou/et aux postes de travail. Ces GPOs sont troitement lies avec le service Windows Installer. Linstallation de logiciels par stratgie de groupe (GPSI) peut aussi dployer des applications qui ne sont pas intgres Windows Installer, mais pour fonctionner proprement, elles doivent tre intgres un fichier en format ZAP . Ceci rend le dploiement des applications patrimoniales par lentremise dAD moins pratique; une raison de plus pour intgrer les trousses dinstallation au service Windows Installer. De plus, Active Directory peut soit publier ou assigner des logiciels. Si les postes de travail sont cibls, le logiciel est automatiquement assign; cest dire quil est compltement install sur le systme et est disponible tous les utilisateurs. videmment, cette action ncessite des privilges levs dans les environnements verrouills environnements o lutilisateur na pas de droits dinstallationmais Windows Installer effectue cette lvation de privilges automatiquement. Si le dpoilement cible les utilisateurs, vous pouvez soit assigner ou publier le logiciel. La publication dun logiciel neffectue pas son installation sur le systme; elle affiche plutt un raccourci dans le menu Dmarrer. Ainsi linstallation seffectue la premire fois que lutilisateur clique sur ce raccourci. Qui cibler? Cest une des plus grandes dcisions faire lors des dploiements par GPO. Il est grandement recommand de dployer aux postes de travail seulement, spcialement si vous utilisez des installations intgres au service Windows Installer. Si les installations ciblent lutilisateur, elles pourraient se transformer en expriences ngatives. Premirement, le logiciel est install sur chaque poste de travail o lutilisateur ouvrira une session de travail, multipliant ainsi le nombre de licences utilises, sauf bien entendu, si le logiciel est dsinstall chaque fermeture de session. Imaginez lutilisation de bande passante chaque fois que le logiciel est install et dsinstall! De plus, ceci pourrait amener une certaine confusion pour lutilisateur car le service Windows Installer dmarrera chaque fois quil ouvrira une nouvelle session.

8 April 2013

Livre Technique

Page 10

Specops Deploy Specops Deploy augmente les capacits de GPSI en fournissant toutes ces fonctionnalits pour la livraison de logiciel dans Active Directory. De plus, Specops Inventory fournit des rapports dinventaire dtaills encore une fois, par lentremise dAD. Ces outils ne requirent aucun changement AD, pas mme au niveau du schma, ni dans la stratgie de rplication, ni de changements structurels.

Mais la deuxime raison est la plus importante : la mise jour des logiciels. Comme nous lavons dj mentionn, Windows Installer supporte la maintenance des logiciels. Ce service peut effectuer une mise jour des logiciels installs par lentremise de dploiements de rustines ou de correctifs. Si le logiciel est install au niveau du poste de travail, il ne ncessite quune seule mise jour. Mais, si le logiciel est install au niveau des utilisateurs, il faut mettre jour chaque installation par utilisateur sur chacun des postes de travail o ils ont ouvert une session. Pour les environnements qui utilisent des postes partags, ceci devient une tche trs complexe. Notre recommandation : installer tous vos logiciels au niveau des postes de travail. Malgr ses capacits intgres, linstallation de logiciels par stratgies de groupe a aussi ses faiblesses. Garantie de livraison : Afin de garantir que la livraison dun logiciel sest effectue un moment prcis. GPSI noffre pas de rapport de livraison. Le logiciel est soit install or pas. La seule vrification possible est de vrifier directement sur le poste cibl. Horaire de livraison : Afin de contrler lhoraire de livraison et sassurer quelles seffectuent hors des heures de travail. GPSI noffre pas cette possibilit. Le logiciel est livr aussitt quil est dploy. Contrle de la bande passante : Afin de contrler lutilisation de la bande passant et la compression des donnes sur le rseau tendu. GPSI noffre pas de contrle de la bande passante. Inventaire : Afin de sassurer que les postes viss ont les ressources requises pour supporter linstallation, oprer le logiciel, et retracer les logiciels installs. Vous pouvez crer des filtres avec linstrument de gestion de Windows (WMI) qui identifieront si les postes cibls ont suffisamment despace disque ou rencontrent les pr-requis de la livraison. Par contre, ces filtres ne fourniront pas les informations dtailles comme par exemple : quels postes cibls correspondent ces besoins et ont install le logiciel.

8 April 2013

Livre Technique

Page 11

tat : Afin de dterminer ltat de la livraison par rseau tendu envers multiples localisations gographiques. GPSI ne fournit pas de rapports ce niveau. Rapports : Afin de pouvoir gnrer des rapports dtat. GPSI noffre aucun rapport.

Comme le GPSI ne supporte pas ces fonctionnalits et comme elles sont essentielles pour toute organisation, surtout si les procdures dopration sont normalises, vous devrez donc intgrer une gestion comprhensive de logiciels votre service de rpertoire. Specops Deploy de Special Operations Software est une solution trs puissante de gestion de logiciels qui se rallie entirement la structure dAD. Cet outil est simplement un ensemble dadditions qui sont directement intgres ADquelques changements dans lditeur des stratgies de groupe, des extensions clients additionnelles et un nouvel ensemble de services pour les serveurs de dploiement. Linstallation de Specops Deploy peut tre aussi simple que vous le voulez. Mais, pour vous assurer dun rendement efficace, vous devriez ajouter des serveurs de distribution utilisant le systme de fichiers distribus (DFS). Vous devez aussi vrifier que la version 2.0 de BITS est dploye sur chacun des postes clients. Ceci seffectue justement par lentremise de Specops Deploy et permet ainsi le contrle de lutilisation de la bande passante durant les dploiements. Et voil! Simple, net-ce pas? Linstallation de Specops Deploy est beaucoup plus simple que tout autre outil de gestion. Celui-ci sinstalle en suivant les volets de lassistant au dmarrage du logiciel (voir figure 4). Le service Microsoft Message Queuing (MSMQ) et le CD dinstallation de WS03 sont requis. Pour la base de donnes, vous pouvez utiliser soit celle dj intgre MSDE ou cibler un serveur de base de donnes SQL Server 2000 ou 2005. Il est recommand dutiliser la version complte de SQL parce que le dploiement de logiciels est un service corporatif et ainsi ncessite une architecture solide et bien protge. La figure 5 illustre une architecture complte de Specops Deploy.

8 April 2013

Livre Technique

Page 12

Figure 4. L installation de Specops Deploy. Suivez simplement les botes de dialogue. Avec une bonne prparation, linstallation peut prendre moins dune heure.

Figure 5. L architecture de Specops Deploy. Larchitecture de Specops Deploy est simple parce quelle rutilise la structure existante dActive Directory. Une fois install, Specops Deploy augmente vraiment les capacits de GPSI. La livraison des logiciels est vraiment simple : choisir ou crer une stratgie de groupe, identifier les cibles : postes de travail, utilisateurs, groupes ou sites, et choisir la trousse dployer. Cest aussi facile que 1-2-3 (voir figure 6) et comme le dploiement se fait laide de stratgies de groupe, il ny a aucun besoin dapprendre de nouveaux outils. En fait, Deploy peut tre trs sophistiqu dans ces critres didentification des cibles de livraison. Manufacturier ou modle du poste de travail Paramtres spcifiques du BIOS

8 April 2013

Livre Technique

Page 13

Taille du disque dur Vitesse du processeur Taille de la mmoire vive Plage dadresses IP Langage du poste client Variables de lenvironnement Valeurs du registre Contenus des fichiers INI/XML Logiciels dj installs Fichiers existant sur le poste client Requtes personnalises WMI Liste import de postes de travail ou dutilisateurs

Ceci rend la livraison de logiciels trs granulaire. Le plus intressant de tout ceci est la dcouverte de logiciels dj installs car elle permet la cration de dpendances dans les distributions; assurant ainsi que le logiciel A est livr seulement si le logiciel B est dj prsent sur le systme et ainsi de suite. Ceci est une condition de livraison trs puissante.

Figure 6. Dployer un logiciel. Cest aussi facile que 1-2-3! Au niveau de la dlgation, Specops Deploy offre une console spciale dadministration qui peut tre dploye des oprateurs cibls. Celle-ci leur permet de grer leurs propres dploiements sans avoir leur donner accs toutes les fonctionnalits du rpertoire. Specops Deploy amne une grande flexibilit la GPSI. De plus, il inclut un trs bon engin de rapports. Les rapports sont dtaills et permettent de visualiser rapidement tout problme ainsi que leur justification.

8 April 2013

Livre Technique

Page 14

Windows Support Installer pour les et les listes des sources utilisateurs nomades Les fichiersDeploy Windows Installer Specops entrepose utilisent unelocale source de listes une copie de tout pour identifier logiciel avantles desources lancer son potentielles dinstallations, installation. Puisquil est lautorparation et les mises possible de personnaliser jour. Il faut donc sassurer Specops Deploy afin de que ces sourcesces sont toujours conserver copies locales, disponibles et vous insrez la les utilisateurs nomades bonne liste des sources dans peuvent automatiquement vos trousses. bnficis du lautorparation, mme sils sont lextrieur du rseau corporatif.

Implanter une structure DFS pour des points de livraison Le systme de fichiers distribus (DFS) assiste grandement la livraison de logiciels car il supporte lutilisation dalias pour tous les dpts dinstallation peu importe leur localisation. Le systme DFS compos de domaine modifie la faon dont la convention de nom universel (UNC) des dossiers partags est utilise. Traditionnellement, les liens UNCs sont composs de \\nomduserveur\nomdepartage limitant ainsi tout partage un seul serveur. Le systme DFS compos de domaine utilise \\nomdudomaine\nomdepartage et redirige le partage vers la cible locale au sein de chaque site de votre parc informatique tendu. Lutilisation dune adresse unique UNC ou plutt, dun alias, pour linstallation de logiciels rend le troussage de logiciels et leur dploiement beaucoup plus simple puisquun seul dossier source doit tre insr dans la liste des sources Windows Installer. Le systme DFS, surtout celui de WS03 R2, offre multiples fonctionnalits pour lentreprise au niveau du support et de ladministration des dossiers partags : DFS cre un alias unique pour chaque dossier partag par lentremise duquel lutilisateur peut accder aux fichiers localiss sur un serveur. Ainsi, le dossier cibl peut tre modifi sans impacter les utilisateurs car ils accdent lalias et non pas le rpertoire physique. Ceci est spcialement utile pour les dploiements de logiciels. Lespace de nommage DFS peut tre lie nimporte quel nombre de dossiers partags ou de cibles parce quelle est automatique rplique par AD. Si pour une raison ou une autre, un serveur doit tre ferm, DFS redirige automatiquement les utilisateurs vers un autre serveur. Une autre action qui supporte le dploiement de logiciels. DFS peut fournir un balancement de la charge en distribuant laccs aux fichiers partags vers un certain nombre de localisations physiques ou cibles. DFS fournit une consolidation transparente des partages distribus de dossiers. Si les fichiers dun dpartement spcifique sont distribus sur multiple serveurs physiques, DFS peut les afficher comme sils taient lintrieur dune seule structure virtuelle.

8 April 2013

Livre Technique

Page 15

Utilisez DFSR avec Windows Server 2003 R2 Dans la version 2 de WS03 (R2), DFSR offre une rplication compresse qui ne transmet que les modifications effectues aux fichiers. Si seulement 20 Mo ont t modifis dans un fichier de 300 Mo, DFSR ne rplique que les 20 Mo. De plus, la configuration DFSR ne prend que quelques seconds et elle se met en opration immdiatement.

DFS reconnat les sitesil identifie les sites dAD et les utilise pour rediriger les utilisateurs vers le serveur de fichiers localis dans leur propre site. La rplication DFS (DFSR) est idale pour la distribution de fichiers partags qui doivent tre disponibles dans diffrents sites. Vous pouvez ainsi vous appuyez sur DFS pour que les installations de logiciels seffectuent toujours localement. Les clients DFS peuvent cacher les rfrences des racines DFS ou des liens pour une priode de temps indfinie, ce qui amliore grandement la performance car vous accdez les ressources sans avoir effectuer une recherche dans AD.

La cration des structures DFS est relativement simple, mais comme tout dploiement de services, elle requiert une bonne planification. Utilisez larbre dcisionnel de la figure 7 pour vous aidez dfinir votre structure de systme DFS compos de domaine.

Figure 7. Utilisez larbre dcisionnel DFS. Cet arbre dcisionnel vous aidera planifier et crer votre structure DFS. Assurez-vous dinclure des points de distribution de logiciels dans chaque site o il y a un ou des contrleurs de domaine ou des serveurs de fichiers.

8 April 2013

Livre Technique

Page 16

Notez que DFS supporte aussi des racines autonomes. Ces racines ne sont pas aussi robustes que les racines de systme DFS compos de domaine car elles sont localises sur un seul serveur ou serveur en grappe. Ainsi, les racines DFS autonomes ne sont pas candidates devenir des points de distribution de logiciels.

8 April 2013

Livre Technique

Page 17

Microsoft System Management Server (SMS) La version antcdente de SMS supportait pleinement le retrait automatique de logiciels, mais la version courante, la version 2003, ninclut plus cette fonction. Ainsi, les utilisateurs de SMS qui veulent effectuer cette opration doivent crer des trousses explicites pour effectuer le retrait des logiciels. Ceci augmente le cot total dopration de SMS.

Livrer le bon logiciel la bonne cible


De multiples avantages peuvent tre drivs de limplantation de la livraison de logiciels base sur Active Directory. Premirement, AD supporte le retrait automatique de logiciels lorsquils sont hors de la porte dun dploiement. Cette fonctionnalit est extrmement valable, spcialement pour le support de gestion des licences. Ainsi, vous navez pas crer un nouveau projet de dploiement pour dsinstaller un ou des logiciels. Si un poste de travail ou un utilisateur ne rencontrent plus les critres de dploiement dun logiciel, AD retirera automatiquement le logiciel du systme. Cette fonctionnalit est incluse par dfaut dans GPSI ainsi que dans Specops Deploy. Ainsi, vous pouvez crer une stratgie de gestion de logiciel complte et simple. Voici comment. Disons que vous avez dtermin dutiliser les postes comme cible de la livraison de logiciels car cette stratgie fournit un cot moins lev de gestion. Disons aussi que vos systmes sont construits partir du modle PASS. Ceci signifie que vous voulez livrer les logiciels hors noyau par profil de tche utilisateur, mais linstallation elle-mme vise le poste principal de chaque utilisateur de cette catgorie. Puisque cette livraison est base sur le poste de travail, il est important de sassurer que vous pouvez aussi supporter le changement de vocation du poste. Pour accomplir ceci, il faut maintenir une base de donnes qui relie chaque utilisateur son poste principal. Ceci permet le dploiement de logiciels bas sur des profils de tches relis des groupes dutilisateurs dans AD, mais assigns au poste et non pas lutilisateur. La meilleure pratique est de cibler des groupes globaux de scurit qui nincluent que des postes de travail. Windows 2000 (aprs SP1) et Windows Server 2003 permettent tout deux dassigner des comptes de machines des groupes globaux de scurit. Lorsque lappartenance au groupe est modifie, le logiciel sera soit ajout ou retir automatiquement. Pour garantir que ceci fonctionne, il faut sassurer que tous les logiciels soient intgrs au service Windows Installer. Mais avant de pouvoir prendre avantage de cette fonctionnalit, il faut un peu de prparation.

8 April 2013

Livre Technique

Page 18

1. Dbutez avec un inventaire de tous les logiciels existants dans votre parc informatique. 2. Vous devrez aussi sparer les logiciels du noyau des logiciels hors noyau. 3. Ensuite, regroupez les logiciels hors noyau dans des catgories bases sur des profils de tchesdes groupes de logiciels qui sont requis pour supporter les tches donnes dun rle utilisateur. 4. Par la suite, crez des groupes globaux de scurit AD pour chaque profil de tches. 5. Assignez un poste principal chaque utilisateur et crez un inventaire reliant ensemble lutilisateur, le poste principal, et le profil de tche. 6. Assignez les logiciels de chaque profil aux groupes de scurit de postes de travail appropris. 7. Distribuez les sources dinstallation tous vos sites et effectuez le dploiement. La figure 8 dmontre la relation des diffrentes bases de donnes requises. Elles incluent : Dpt des trousses : un dpt central pour tous les logiciels autoriss Inventaire du noyau : un inventaire de tous les composants du noyau Dpt de configurations bases sur les profils : lidentification de chacune des trousses incluses dans chacune des configurations Groupes vocationnels : incluent tous les utilisateurs selon leur profil informatique Base de donnes dinventaire : pour agir en tant que rpertoire central de donnes Systme de rapports Web : afin de fournir des informations dtailles en tout temps sur tous les inventaires

8 April 2013

Livre Technique

Page 19

Figure 8. Une solution complte de gestion automatise des dploiements. Rassembler les diffrentes bases de donnes afin de simplifier la gestion des logiciels dans Active Directory. Specops Deploy et Specops Inventory supportent entirement ce modle automatis. Utiliser le modle de gestion automatis des logiciels Lorsque ce systme est mis en place, tout ce que vous devez faire pour livrer le bon logiciel un systme est de vous assurer que celuici est membre du groupe appropri au sein dAD. Ainsi, si la vocation du poste de travail change et quil doit tre rorient, vous navez qu changer le groupe auquel il appartient dans AD. Specops Deploy dsinstallera automatiquement le ou les logiciels de lancienne vocation et installera le ou les logiciels de la nouvelle. Cette approche offre une gestion de licences et un modle de dploiement de logiciel assez puissante puisquil est souvent plus facile denseigner un oprateur comment changer lappartenance dun poste de travail un groupe que de leur apprendre comment utiliser une console de distribution de logiciels (voir figure 9).

8 April 2013

Livre Technique

Page 20

Figure 9. Grer le dploiement de logiciels par lentremise des associations aux groupes. La gestion des logiciels devient trs simple lorsque la stratgie de dploiement automatise est mise en place. Il faut noter que pour que ce processus fonctionne, il faut inclure des instructions de dsinstallation dans chaque trousse logicielle. Si vous ne les incluez pas, le logiciel dploy ne sera pas retir automatiquement lorsque le poste de travail est retir dun groupe. Dans Active Directory, vous navez qu cocher loption Uninstall this application when it falls out of the scope of management dans les proprits du logiciel dploy (voir figure 10). Puisque les fichiers relis au service Windows Installer se dsinstallent proprement, ce processus devrait toujours fonctionner.

Figure 10. Assigner la dsinstallation dun logiciel dans AD.

8 April 2013

Livre Technique

Page 21

Simplifier le modle de gestion des logiciels Voil, cest simple; une gestion simple des logiciels par lentremise des associations dans le service de rpertoire AD. Ce nest pas seulement la meilleure stratgie de gestion de logiciels, mais elle offre aussi une conformit automatique au niveau des licences logicielles, associant lutilisation des licences avec les installations actuelles. Aujourdhui, peu dorganisations peuvent dclarer quelles ont cette capacit. Si vous voulez profiter de cette stratgie, suivez les tapes suivantes : 1. valuez la conception de votre Active Directory. Utilisez le chapitre gratuit propos la page 8 pour vrifier la structure de votre service de rpertoire. 2. Effectuez un inventaire complet des logiciels dploys. Specops Inventory peut assister cette tche. 3. Modifiez votre stratgie de construction de systmes en vous associant aux objectifs du modle PASS. 4. Groupez tous les logiciels hors noyau dans des configurations bases sur des profiles de tches ou vocations. 5. Troussez toutes vos applications pour le service Windows Installer. 6. Crez une base de donnes reliant les noms des utilisateurs leur poste de travail principal et associez-les aux configurations vocationnelles que vous avez cres. 7. Mettez votre systme de dploiement de logiciels en place. Par exemple, installez Specops Deploy et crez des points de distribution de logiciels bass sur DFS. 8. Dployez tous les logiciels bass sur des groupes globaux de scurit ne contenant que des comptes de postes de travail. De plus, assurez-vous dactiver le retrait automatique des logiciels. 9. Conservez les consoles de dploiement de logiciels pour lquipe spcialise en gestion des logiciels. 10. Enseignez votre quipe technique comment contrler les dploiements par lentremise de la gestion des associations de groupe. Assurez-vous quils ont accs aux bonnes consoles de dlgation. Voil, vous pouvez maintenant vous librer pour dautres tches car tous les logiciels de votre rseau sont maintenant grs proprement.

8 April 2013

Livre Technique

Page 22