Winpe-Wds-Mdt Publié

WinPE – WDS - MDT
Les bases du déploiement Windows
Cet ouvrage explique les fondamentaux des

technologies de déploiement Windows 7.
Chaque composant et concept majeur est traité
en détail avec une mise en pratique associée.
contact@cnf1g.com
16/02/2012
Table des matières
AVANT-PROPOS ..........................................................................................................................5
1. INTRODUCTION ..................................................................................................................5
2. LA PLATEFORME DE TEST ....................................................................................................5
3. LA VIRTUALISATION : TOUT UN PROGRAMME ! ..................................................................7
3.1. 1 - LES RESSOURCES ET SUPPORTS DE STOCKAGE ......................................................................... 8
3.2. LES RESEAUX VIRTUELS ........................................................................................................... 8
3.3. PRECISIONS SUR LES VERSIONS DE WINDOWS ............................................................................. 9
CHAPITRE 1 - LE POSTE DU TECHNICIEN DE DEPLOIEMENT ........................................................ 12
1. AVANT DE COMMENCER ................................................................................................... 12
2. INSTALLATION DE LA PLATEFORME TECHNIQUE ............................................................... 16
2.1. PRESENTATION................................................................................................................... 16
2.2. AVERTISSEMENT ................................................................................................................. 16
2.3. INSTALLATION DE L'ORDINATEUR PHYSIQUE .............................................................................. 17
2.3.1. Phase initiale d'installation ................................................................................... 17
2.3.2. Phase finale d'installation ..................................................................................... 24
2.3.3. Installation du rôle Hyper-V .................................................................................. 27
3. L'ENVIRONNEMENT DE MAQUETTAGE HYPER-V ............................................................... 31
3.1. PRESENTATION................................................................................................................... 31
3.2. CONFIGURATION DES RESEAUX VIRTUELS ................................................................................. 32
3.3. CONFIGURATION DU SERVEUR DHCP INTERNE ......................................................................... 33
3.4. FACULTATIF : CONFIGURATION DU ROUTEUR NAT .................................................................... 36
3.5. CONFIGURATION DES STOCKAGES HYPER-V ............................................................................. 39
4. QUELQUES PRECISIONS SUR LES LICENCES ........................................................................ 40
CHAPITRE 2 : DECOUVERTE DE WINPE ET DES IMAGES WIM .................................................... 45
1. INTRODUCTION ................................................................................................................ 45
2. HISTORIQUE DE WINPE ..................................................................................................... 45
3. COMPRENDRE LA STRUCTURE DU DVD ET LES FICHIERS .WIM .......................................... 47
3.1. INTRODUCTION .................................................................................................................. 47
3.2. LES FICHIERS .WIM ............................................................................................................ 50
3.3. DETAILS / PERSONNALISATION DU NOYAU WINPE .................................................................... 54
CHAPITRE 3 : PREPARATION DU POSTE DE REFERENCE ............................................................. 68
1. INTRODUCTION ................................................................................................................ 68
2. INSTALLATION DU POSTE DE REFERENCE .......................................................................... 71
2.1. LA PROCEDURE D'AMORÇAGE - LES PARTITIONS ........................................................................ 72
2.1.1. Gestion de l'amorçage .......................................................................................... 72
2.1.2. Démarrage sur disque virtuel ................................................................................ 73
2.2. INSTALLER SANS UTILISER LE PROGRAMME SETUP PAR DEFAUT ..................................................... 75
2.2.1. Scénario 1 : Peuplement d'un disque virtuel (x86) ................................................ 75
2.2.2. Scénario 2 : A partir du DVD original et d'un partage en réseau (x64) ................. 81
2.3. CONFIGURATION DU POSTE DE REFERENCE ............................................................................... 91
2.3.1. Préparation initiale. .............................................................................................. 91
2.3.2. Installation des mises à jour et du service pack 1 ................................................. 94
2.3.3. Installation d'un pack de langue ......................................................................... 100
2.3.4. Configuration des fonctionnalités ....................................................................... 102
2.3.5. Les pilotes de périphériques ................................................................................ 108
Page 1 / 409
2.3.6. Installation des applications ............................................................................... 116
3. PREPARATION DU POSTE MAITRE (SYSPREP) .................................................................. 124
3.1. LE POSTE DE REFERENCE : TOUTE INSTALLATION PASSE PAR "SYSPREP" ........................................ 124
3.1.1. Utilisation de l'outil de préparation SYSPREP...................................................... 126
3.1.2. A propos de Windows XP (Sysprep)..................................................................... 129
4. CAPTURE DE L'IMAGE ..................................................................................................... 130
4.1. PRESENTATION................................................................................................................. 130
4.2. REALISATION DE L'IMAGE WIM ........................................................................................... 130
4.2.1. Précautions à prendre avant l'exécution de "sysprep" : ..................................... 130
4.2.2. Exécution de "sysprep" et génération de l'image WIM....................................... 133
CHAPITRE 4 : L'AUTOMATISATION DES INSTALLATIONS .......................................................... 144
1. INTRODUCTION .............................................................................................................. 144
2. LE KIT DE DEPLOIEMENT AUTOMATISE WAIK ................................................................. 144
2.1. PRESENTATION GENERALE .................................................................................................. 144
2.1.1. Installation du kit ................................................................................................ 145
2.1.2. Principes de l'outil IMAGEX ................................................................................. 149
2.1.3. Gestionnaire d'image système Windows (WSIM) ............................................... 151
2.2. GESTION DES FICHIERS DE REPONSE ...................................................................................... 153
2.2.1. Le potentiel du fichier de réponse XML ............................................................... 153
2.2.2. Les phases de configuration ................................................................................ 153
2.2.3. Création du fichier de réponse (Setup) ................................................................ 156
2.2.4. La post-installation ............................................................................................. 174
2.2.5. Particularités du fichier de réponse (Sysprep) ..................................................... 176
2.3. MISE EN ŒUVRE DU FICHIER DE REPONSE .............................................................................. 181
3. PERSONNALISATION AUTOMATIQUE WINPE 3.0 AVEC WAIK ......................................... 186
3.1. PRESENTATION DES OBJECTIFS DE CET ATELIER FACULTATIF ........................................................ 186
3.1.1. La structure de personnalisation......................................................................... 187
3.1.2. Est-ce que tous les périphériques sont nativement reconnus par WinPE ? ......... 188
3.1.3. Où dois-je installer mes outils ? .......................................................................... 188
3.1.4. Est-ce que qu'un ou plusieurs outils doivent démarrer automatiquement ? ...... 193
3.2. LE SCRIPT DE CREATION "MAKEPE3.CMD" ........................................................................... 195
3.2.1. Préparation de la structure de travail ................................................................. 195
3.2.2. Ajout des fonctionnalités dans le noyau ............................................................. 195
3.2.3. Modification du registre WinPE .......................................................................... 198
3.2.4. Finalisation .......................................................................................................... 198
CHAPITRE 5 : SERVICES DE DEPLOIEMENT WINDOWS (WINDOWS DEPLOYMENT SERVICES)... 203
1. INTRODUCTION .............................................................................................................. 203
2. PREPARATION DE LA MAQUETTE .................................................................................... 205
2.1. INSTALLATION ET CONFIGURATION DES PREREQUIS .................................................................. 206
2.1.1. (1°) Création du disque VHD............................................................................... 206
2.1.2. (2°) Extraction de l'iso Windows server 2008R2 vers le VHD ............................. 208
2.1.3. (3°) Création des machines virtuelles .................................................................. 210
2.1.4. (4°) Configuration initiale commune aux 2 machines virtuelles ......................... 211
2.1.5. (5°) Configuration du domaine Active Directory ................................................. 214
2.1.6. (6°) Configuration du DHCP................................................................................. 219
2.1.7. Configuration d'amorçage "affinée" d'un serveur WDS/PXE ............................. 226
2.2. INSTALLATION DU ROLE "SERVICES DE DEPLOIEMENT WINDOWS" (WDS) ................................... 233
2.2.1. Installation du rôle WDS ..................................................................................... 233
2.2.2. Configuration initiale du rôle WDS...................................................................... 236
2.3. CONFIGURATION DETAILLEE DE WDS ................................................................................... 240
Page 2 / 409
2.3.1. Ajout d'une image de démarrage ....................................................................... 241
2.3.2. Ajout d'images d'installation .............................................................................. 245
2.3.3. Réponse aux clients PXE ...................................................................................... 248
2.4. VALIDATION ET TESTS FONCTIONNELS ................................................................................... 259
2.4.1. Tests d'installation .............................................................................................. 259
2.4.2. Association d'un fichier de réponse..................................................................... 269
2.4.3. Exemple de capture d'un poste Windows XP ...................................................... 275
2.5. AMENAGEMENTS ET EXTENSIONS LIES A LA GESTION WDS ........................................................ 281
2.5.1. Gestion des autorisations ................................................................................... 281
2.5.2. Gestion des pilotes .............................................................................................. 289
2.5.3. Mise en œuvre de la multidiffusion ..................................................................... 294
2.5.4. Facultatif : Ajout d'un choix dépannage WinRE .................................................. 297
CHAPITRE 6 : MDT (MICROSOFT DEPLOYMENT TOOLKIT) ........................................................ 301
1. INTRODUCTION .............................................................................................................. 301
2. INSTALLATION ET CONFIGURATION DU MDT .................................................................. 303
3. DECOUVERTE DE L'ATELIER DE DEPLOIEMENT (DEPLOYMENT WORKBENCH) ................. 308
3.1. AJOUT D'UN SYSTEME D'EXPLOITATION ................................................................................. 314
3.2. AJOUT DES PILOTES ........................................................................................................... 316
3.3. AJOUT DE PACKAGES ......................................................................................................... 319
3.4. AJOUT D'APPLICATION ....................................................................................................... 324
3.5. CREATION D'UN SCENARIO (TASK SEQUENCE) ......................................................................... 328
3.6. CONFIGURATION DETAILLEE DU CLIENT "LITETOUCH" .............................................................. 340
3.6.1. Préparation du client .......................................................................................... 340
3.6.2. Génération du client "LiteTouch" ........................................................................ 343
3.7. VALIDATION DETAILLEE DES ETAPES DE MISE EN ŒUVRE ............................................................ 344
4. CONFIGURATION AFFINEE DU MDT (FACULTATIF) .......................................................... 362
4.1. COMPLEMENTARITE WDS ET MDT ..................................................................................... 362
4.1.1. Intégration des clients LiteTouch dans WDS ....................................................... 364
4.1.2. Intégration des mages WDS dans MDT .............................................................. 366
4.1.3. Multidiffusion WDS ............................................................................................. 368
4.2. LES RUBRIQUES DE CONFIGURATION AVANCEES ....................................................................... 370
4.2.1. Profils de sélection (Selection Profiles) ................................................................ 370
4.2.2. Partages de déploiement liés (Linked Deployment Shares) ................................ 372
4.2.3. Média (Media) .................................................................................................... 373
4.2.4. La base de données (Database) .......................................................................... 374
4.2.5. Gérer la base de données MDT via Powershell (Optionnel) ................................ 388
4.3. SURVEILLANCE (MONITORING) ............................................................................................ 392
4.4. LES STRATEGIES DE GROUPE LOCALES (LGPO) ........................................................................ 395
4.5. DEPANNAGE ET DIAGNOSTICS MDT..................................................................................... 396
ANNEXES ................................................................................................................................. 398
1. TELECHARGEMENTS ........................................................................................................ 398
2. MIEUX MAITRISER VOTRE PLATEFORME DE TEST HYPER-V ............................................. 401
2.1. ASSOCIER DYNAMIQUEMENT UN DISQUE USB DANS UNE MACHINE VIRTUELLE ............................. 401
3. LE CONTROLE DE COMPTE D'UTILISATEUR (UAC) ............................................................ 403
3.1. COMPLEMENTS DU CHAPITRE 3 ........................................................................................... 403
3.1.1. Identifier les comptes d'administrateurs ............................................................ 404
3.2. LES EFFETS DU "VIRTUALSTORE" .......................................................................................... 404
3.2.1. Principes du "virtualstore" .................................................................................. 404
3.2.2. Identifier les processus soumis au contrôle UAC ................................................. 405
3.3. MODIFIER LE COMPORTEMENT DU CONTROLE UAC ................................................................. 407
Page 3 / 409
3.3.1. Réglages simplifiés .............................................................................................. 407
3.3.2. Réglages avancés ................................................................................................ 408
Page 4 / 409
Avant-propos
Avant-propos
1. Introduction
Ce livre a pour but de focaliser le lecteur sur l'essentiel des outils Microsoft
nécessaires aux installations automatisées de Windows NT6 - Autrement dit,
le périmètre de cette étude est applicable de Vista à Windows Server 2008R2
en passant par le désormais célèbre Windows 7.
Les présentations sont essentiellement axées autour de ces derniers, mais
restent pleinement applicables aux prochaines évolutions des produits. En
l'occurrence, la sortie imminente de Windows 8 ne remet aucunement en
cause les principes fondamentaux traités dans cet ouvrage. En effet, la future
version de Windows a pour principal objectif, la convergence des plateformes
PC, téléphones mobiles et tablettes tout en offrant de nouvelles perspectives.
Ces particularités étant susceptibles d'évoluer, nous les mentionnerons très
ponctuellement en fonction de la pertinence contextuelle, et reporterons
l'essentiel en annexe afin de ne pas alourdir inutilement la lecture.
En matière de déploiement, il est naturel de s'interroger sur le gain d'efficacité

opposé au temps consacré à sa mise en œuvre. Il est évident que le nombre
de machines concernées à une incidence sur cette rentabilité mais ce ne doit
pas être votre seul critère de choix. En fait, l'ampleur du sujet engendre
inévitablement un sentiment de découragement ou de confusion face aux
nombreux outils, et techniques d'installations proposées, et la divergence des
besoins, des moyens humains ou matériels ou tout simplement financiers,
peuvent influencer votre décision.
L'objectif de cet ouvrage est donc de comprendre les principes fondamentaux
des technologies de déploiement et de réparation Windows dans un cadre
pratique. Après l'acquisition de ces principes essentiels, vous serez à même
de poursuivre avec des solutions complémentaires ou spécialisées.
2. La plateforme de test
Avant d'entamer une lecture efficace de ce document, nous vous conseillons
de vous procurer un ordinateur PC relativement puissant et procéder au
téléchargement d'un certain nombre de logiciels volumineux. En fait, ce que
nous dénommerons la plateforme de test sera composée d'un système
d'exploitation enrichi d'un environnement de virtualisation de machine
(couramment appelé "bac à sable" de l'anglicisme "sandbox"). En matière de
virtualisation de machines, il existe plusieurs solutions gratuites ou payantes,
soit optimisées pour des besoins de production (type "serveur"), soit orientées
test et maquettage (type "poste"). Ces dernières offrent généralement une
plus grande interaction et souplesse entre les environnements physiques et
virtuels.
Cependant, nous devions opter pour une solution accessible au plus grand
nombre sans promouvoir, ni discriminer tel ou tel produit.
Page 5 / 409
Avant-propos
Bien ne soit pas le cœur de cible du produit, nous avons retenu la solution
Hyper-V de Windows Server 2008 R2 pour constituer notre plateforme de
maquettage. Afin de pallier certaines contraintes liées à cet environnement
"cloisonné', une configuration préalable sera expliquée dans le premier
chapitre.
Sous réserve d'acquérir les licences idoines, cette étude permettra de
transposer aisément vos travaux vers une solution de production basée sur
Hyper-V
Note : Pour cette étude, nous n'avons pas retenu Windows 7 avec l'option
Windows Virtual PC, du fait d'une limitation des machines virtuelles au mode
32 bits et donc l'impossibilité d'installer Windows Server 2008 R2
(uniquement 64bits) en tant que système "invité"
Le matériel PC nécessaire :
 Processeur >1Ghz d’architecture x64 avec assistance matérielle à la

virtualisation (Intel-VT ou AMD-V)
 Un minimum de 2 Go de mémoire
 Disque dur de 80Go au minimum
Les principaux logiciels à télécharger
Bien que cet ouvrage s'adresse à des professionnels de l'informatique, tous

les logiciels référencés dans ce document sont disponibles en téléchargement
public afin de garantir une certaine autonomie des manipulations.
Afin de préparer une lecture efficace de ce livre, nous vous proposons un
tableau indicatif afin de recenser les principaux téléchargements; une
description succincte ainsi que la taille approximative et le chapitre s'y
rapportant. Il est évident que vous pouvez vous affranchir de certains
téléchargements si vous disposer déjà de vos propres sources ou
distributions.
Téléchargements Objectif / Utilité [Chap.]
Taille
Version d'évaluation de Nécessaire à l'installation de la [Ch 1]
Windows Server 2008 plateforme physique de test ainsi
~3,2Go
R2 SP1 que pour les machines virtuelles
(Contrôleur de domaine, DNS,
DHCP et WDS)
Windows7-USB-DVD- Outil graphique de transformation [Ch 1]
tool d'un fichier .ISO ou distribution
~2,7Mo
DVD Windows7 vers un support de
type clé USB
Version d'évaluation de Nécessaire pour les machines [Ch 3]

Windows 7 Entreprise 32 virtuelles de démonstration -
~2,3Go
bits Versions 32 et/ou 64 bits selon vos
préférences
Page 6 / 409
Avant-propos
windows6.1-KB976932- Installe SP1 sur un ordinateur 32 [Ch 3]

X86.exe bits équipé de Windows 7
~3,0Go
Version d'évaluation de Nécessaire pour les machines [Ch 3]
Windows 7 Entreprise 64 virtuelles de démonstration -
~2,3Go
bits Versions 32 et/ou 64 bits selon vos
préférences
windows6.1-KB976932- Installe SP1 sur un ordinateur 64 [Ch 3]
X64.exe bits équipé de Windows 7 ou ou
~3,0Go
Windows Server 2008 R2
Windows Automated Kit des outils et documents relatifs [Ch 4]

Installation Kit (WAIK) aux techniques de déploiement
~1,7Go
Microsoft.
WAIK sp1 Mise à jour facultative du kit [Ch 4]
~1,3Go
RSAT_Windows_7_SP1- Outils d'administration de serveur à
x86_Fr_(KB958830) distance pour Windows 7 32 bits ~240Mo
RSAT_Windows_7_SP1- Outils d'administration de serveur à ~250Mo
x64_Fr_(KB958830) distance pour Windows 7 64 bits
VirtualCloneDrive Pour le montage des fichiers .ISO ~1,5Ko

au sein de la machine physique.
GImageX Outil graphique pour la gestion des ~2Mo
fichiers .WIM (Voir aussi DISM en
Et/ou 7-Zip
ligne de commande inclus dans
Windows 7 et/ou le WAIK)
WinImage Outil graphique pour la gestion ~0,7Ko
graphique des fichiers de
disquettes virtuelles (.IMG, .IMA ou
.VFD)
ImgBurn Outil graphique pour la création ~1,8Ko
des fichiers .ISO (Voir aussi
OSCDIMG en ligne de commande
inclus dans le WAIK)
Manipulation des fichiers Les fichiers de disques virtuels N/A
.VHD .VHD sont pris en charge
nativement par les versions
Windows 7 / 2008R2 et ultérieures
Les indications et directives détaillées sur l'implémentation de ces logiciels et

les liens de téléchargement seront précisées tout au long de ce document.
(Rappelés en annexe ou lien complémentaire)
3. La virtualisation : tout un programme !
Page 7 / 409
Avant-propos
Nous n'avons pas la prétention de faire l'apologie de la virtualisation dans cet

ouvrage, mais dans ce genre d'environnement, le lecteur devra faire
abstraction de certains éléments traditionnellement physiques: Autrement dit,
la plateforme de test (physique) implémentera des machines virtuelles comme
autant d'ordinateurs "dématérialisés" ayant accès à leur propres ressources
virtuelles tels que des disques (.VHD, .VDI, .VMDK, .HDD), des disquettes
(.VFD, .IMA, .IMG) ou encore des CD/DVD (.ISO) mais également des
interfaces et commutateurs de réseaux virtuels. Source potentielle de
confusion, la plateforme de test pourra exploiter directement les disques
virtuels et les images .ISO au même titre que des ressources physiques, ou
inversement les machines virtuelles accéderont aux ressources physiques.
Dans la mesure du possible, nous apposerons quelques illustrations et
précisions pédagogiques, lors des passages techniquement délicats afin
d'aider les néophytes en matière de virtualisation.
3.1. 1 - Les ressources et supports de stockage

Ce schéma montre la "visibilité" des ressources d'une machine virtuelle
(invité) vis à vis de son hébergeur (hôte). Celle-ci peut donc accéder à des
ressources virtuelles (des fichiers) et/ou physiques selon vos préférences et
vos besoins.
Attention aux accès concurrents - Un environnement "virtualisé" ne vous

affranchit pas de toutes les contraintes physiques. Autrement dit,
contrairement à une image .ISO, un lecteur de CD/DVD physique, ne pourra
être utilisé simultanément par plusieurs machines, au même titre qu'un
disque physique ou virtuel. De la même manière, l'ajout de mémoire, de
processeur, de carte réseau ou toute autre modification de configuration
d'une machine virtuelle, nécessite l'arrêt complet de cette dernière.
3.2. Les réseaux virtuels

Ce schéma simpliste a pour but de montrer les types de communications
possibles entre les machines virtuelles, l'hébergeur physique et le "reste du
Page 8 / 409
Avant-propos
monde"… Là encore, il ne s'agit pas de présenter les concepts des réseaux

mais plus de comprendre les fondamentaux d'un environnement virtualisé.
Selon la solution de virtualisation retenue, les services réseau agissent au

minimum au niveau de la commutation ("Switches" niveau 2) mais prennent
généralement en compte les niveaux 3 et supérieurs, pour le routage. Un
service DHCP local peut assurer le plan d'adressage interne dans le cadre
d'un NAT.
De fait, en raison de ces contextes d'exécution parallèles, la virtualisation de
machine "cloisonne" les communications et les échanges de fichier entre les
machines virtuelles et l'hébergeur. Selon la solution de virtualisation retenue,
ces contraintes peuvent être assouplies par des compléments qui offrent des
services de partage de fichier, de presse-papier ou encore d'accès plus direct
aux périphériques physiques.
Par exemple, dans l'environnement Hyper-V, l'échange de fichier entre les
machines virtuelles et le monde extérieur ne peut se faire que via un accès
réseau, connexion de lecteur ou bureau à distance. Il est également possible
de générer un fichier .ISO (CD/DVD virtuel) mais cette procédure
unidirectionnelle est relativement lourde et rigide.
Support USB : Bien que des solutions d'encapsulation USB sur TCP/IP
existent pour pallier cette contrainte, le support des périphériques USB au
sein des machines virtuelles est très souvent limité. De toute façon aucun
environnement de virtualisation n'offre de support natif USB (démarrage).
Pour cette raison, nous utiliserons le démarrage sur CD/DVD (ou fichier
.ISO) ou sur PXE via le réseau.
3.3. Précisions sur les versions de Windows
Page 9 / 409
Avant-propos
Cet ouvrage traite des évolutions en matière de déploiement disponibles

depuis la nouvelle génération de systèmes d'exploitation Microsoft. Autrement
dit, la version technique NT6.1.760x induit indifféremment les désignations
"commerciales" Windows 7 et Windows Server 2008 R2. Il convient donc de
préciser que les principales évolutions présentées sont apparues avec les
versions techniques majeures (pallier technique), ainsi que les binômes client
/ serveur qui partagent ces caractéristiques.
Le schéma suivant symbolise grossièrement cette évolution et ces relations :
Nous évoquerons donc fréquemment une génération telle que NT6, incluant
Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 par
opposition à la génération NT5 se référant à Windows 2000, Windows XP et
Windows Server 2003 / R2.
Précisions: Contrairement à Windows Server 2008 R2, Windows Server

2003 R2 était une mise à jour et non une version en tant que tel. Cette
distribution suit donc les mêmes évolutions que Windows Server 2003 +sp1.
Ensuite, il convient de rappeler que Windows Server 2008 a été mis sur le
marché avec le service pack 1 intégré ainsi qu'une version préliminaire de
Hyper-V (Beta). Dans la même logique, c'est le client Vista SP1, soit NT
6.0.6001 qui lui correspond. Depuis le service pack 2, (NT6.0.6002) les
évolutions client / serveur sont liées.
L'évolution des postes de travail, n'étant pas systématiquement

"synchronisée" sur l'évolution des serveurs, un décalage peut exister et la
cohabitation sera pleinement supportée. Toutefois, si la version des postes de
travail est en avance de phase sur celle des serveurs, particulièrement en
présence d'un domaine Active Directory, il conviendra d'installer les
composants d'administration de serveur à distance sur un poste, afin de gérer
pleinement les paramètres de cette version. (Remote Server Administration
Tool for Windows 7)
L'administration des serveurs est généralement réalisée au travers des
bureaux à distance, toutefois, au même titre que "Adminpak.msi" pour
Windows XP, il est également intéressant d'installer ce complément RSAT sur
un poste de travail, afin d'accéder aux ressources locales de ce dernier, tels
Page 10 / 409
Avant-propos
que les groupes locaux, les systèmes de fichier, le registre, les services, qui
ne seraient pas présentes sur le serveur.
Le complément RSAT pour Windows 7 (32 et 64 bits) peut être téléchargé
gratuitement à partir de l'adresse suivante :
http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=7d2f6ad7-
656b-4313-a005-4e344e43997d
Nous n'entrerons pas dans les détails des fonctionnalités propres aux
différentes versions de Windows 7 (les déclinaisons familiales étant exclues
de notre périmètre d'étude). Toutefois, à titre indicatif, nous préciserons
simplement que la version professionnelle couvre la plupart des besoins de
base pour les postes fixes demeurants à l'intérieur de l'entreprise alors que les
versions Entreprise ou Intégrale sont manifestement plus orientées "sécurité"
et donc destinées à un parc d'ordinateurs itinérants.
Page 11 / 409
Chapitre 1 - Le poste du technicien de déploiement
Chapitre 1 - Le poste du technicien de

déploiement
1. Avant de commencer
A partir d'un ordinateur ayant accès à Internet, et muni de votre identifiant
"Windows Live ID", vous devrez télécharger la version d'évaluation 180j de
Windows Server 2008R2 à partir de l'adresse suivante :
http://technet.microsoft.com/fr-fr/evalcenter/dd459137 .
puis le bouton "Commencer dès maintenant >>"
Pour de plus amples informations sur cette procédure, reportez-vous à la
rubrique "Téléchargements" du chapitre "Annexes"
Nous considérons que vous êtes en mesure de graver le fichier .ISO
téléchargé vers un support de DVD. (Cette opération est simplissime et ne
requiert aucun produit additionnel à partir d'un ordinateur sous Windows 7
équipé d'un graveur de DVD)
Facultatif :
Si à l'instar d'un "Netbook", votre ordinateur est dépourvu de lecteur DVD,

mais autorise l'amorçage sur média USB, vous pouvez télécharger l'outil
Microsoft :
http://images2.store.microsoft.com/prod/clustera/framework/w7udt/1.0/en-
us/Windows7-USB-DVD-tool.exe
Cet utilitaire, a pour but de convertir très facilement, le fichier .ISO original
d'installation de Windows 7 (ou Windows 2008R2) vers une clé USB d'au
moins 4Go ou un graveur de DVD.
A partir d'un poste (Vista sp1 ou ultérieur), ouvrez une invite de commande en
tant qu'Administrateur puis exécutez les commandes suivantes:
 DISKPART
 LIST DISK

C:\WINDOWS\SYSTEM32> DISKPART
Microsoft DiskPart version 6.1.7600
Copyright (C) 1999-2008 Microsoft Corporation.
Sur l’ordinateur : WIN7-PC
DISKPART>LIST DISK
N° disque Statut Taille Libre Dyn GPT
--------- ------------- ------- ------- --- ---
Disque 0 En ligne 232 G octets 102 M octets
Disque 1 En ligne 3768 M octets 0 octets
DISKPART>
Repérez le lecteur USB : "Disque 1" dans notre cas

 SELECT DISK 1
 CLEAN
 CREATE PARTITION PRIMARY
Page 12 / 409
 SELECT PARTITION 1
 FORMAT QUICK FS=FAT32 LABEL=W2K8R2
 ASSIGN LETTER=K
 EXIT
 EXIT
DISKPART> SELECT DISK 1

Le disque 1 est maintenant le disque sélectionné.
DISKPART>CLEAN
DiskPart a réussi à nettoyer le disque.
DISKPART>CREATE PARTITION PRIMARY
DiskPart a réussi à créer la partition spécifiée.
DISKPART>SELECT PARTITION 1
La partition 1 est maintenant la partition sélectionnée.
DISKPART>ACTIVE
DiskPart a indiqué la partition actuelle comme étant active.
DISKPART>FORMAT QUICK FS=FAT32 LABEL=W2K8R2
100 pour cent effectués
DiskPart a formaté le volume.
DISKPART>ASSIGN LETTER=K
DiskPart a correctement assigné la lettre de lecteur ou le point
de montage.
DISKPART>EXIT
C:\WINDOWS\SYSTEM32>EXIT
Dans notre exemple, la lettre d'unité affectée à la clé USB est "K:"
 Installez ensuite l'outil "Windows7-USB-DVD-Download tool"
 Cliquez sur les boutons "Next", "Install" puis "Finish". Une fois l'outil installé,
lancez-le à partir du menu "Démarrer". Cliquez sur le bouton "Browse" afin de
sélectionner le fichier .ISO de Windows Serveur 2008R2 puis cliquez sur le
bouton "Next"
Page 13 / 409
 Cliquez sur le bouton "USB Device". Si votre clé est correctement détectée, la
lettre d'unité devrait apparaitre dans la liste déroulante.
 Cliquer sur le bouton "Begin copying".
Page 14 / 409
Après avoir vérifié la taille du support USB, l'outil entame la conversion du

fichier .ISO vers la clé USB (Noter que la clé sera formatée, et la durée du
processus de copie est variable, voire très long, en fonction des performances
du support utilisé).
 Une fois l'opération terminée, cliquez sur la croix de fermeture de la fenêtre.
Page 15 / 409
2. Installation de la plateforme technique

2.1. Présentation
A ce stade, vous devez disposer d'un ordinateur compatible (cf Avant-propos)
et du DVD d'installation (ou clé USB) précédemment préparés.
Schématiquement, nous allons cibler cette architecture:
2.2. Avertissement
Afin de ne pas vous égarer dès le début, nous allons considérer cette phase
comme une introduction à l'installation d'un poste ordinaire sous Windows 7 (Il
s'agira en fait d'une installation de Windows Server 2008R2, mais très
similaire sur cette procédure). Nous profiterons de cette phase pour découvrir
quelques points clés en matière d'installation de ces systèmes d'exploitation.
Pour des raisons de simplicité, nous installerons la plateforme avec amorçage
unique avec les valeurs par défaut.
En fait, il convient peut être de préciser que Windows Server 2008R2 ainsi
que Windows 7 Entreprise et Intégrale sont en mesure de démarrer
nativement un ordinateur physique sur des disques virtuels .VHD au même
titre que sur une partition classique. De plus, le processus d'installation
(Windows7 et 2008R2) créé par défaut 2 partitions dans l'hypothèse d'utiliser
le chiffrement intégral de partition Bitlocker™…
Structure de partition par défaut
Pour rappel, surtout si vous n'avez jamais dissocié la partition d'amorçage de

celle utilisée par le système Windows vous serez probablement surpris par les
Page 16 / 409
indicateurs utilisé par Microsoft au niveau du gestionnaire de disques. En

effet, vous observerez que la partition de démarrage (principale et active)
contenant les fichiers d'amorçage est marquée "système" alors que la partition
hébergeant le système "Windows" est estampillée "Démarrer". (cqfd)
2.3. Installation de l'ordinateur physique
2.3.1. Phase initiale d'installation
Après avoir inséré le DVD ou la clé USB préparés par vos soins sur
l'ordinateur destiné à la future plateforme de test, démarrez ce dernier à partir
de ce support. (Selon le modèle de l'ordinateur, cette opération peut
nécessiter l'appui d'une touche de fonction ou dépend également de l'ordre de
démarrage défini au niveau des réglages BIOS - Il est probable (si un système
d'exploitation est déjà présent) qu'il faille appuyer sur une touche quelconque
pour confirmer le démarrage sur le support amovible.
L'initialisation de l'installation commence par une animation visuelle signifiant
le chargement du noyau système - en l'occurrence WinPE (Windows
PreInstallation Environnement), que nous détaillerons tout au long de cet
ouvrage.
Page 17 / 409
Au niveau de l'écran d'accueil "Installer Windows", sélectionnez "Français

(France)" dans la liste déroulante "Format de l'heure et de la monnaie". La
liste déroulante suivante, relative au clavier "AZERTY" devrait
automatiquement basculer sur "Français". Du fait qu'il n'existe qu'une seule la
langue sur cette distribution d'évaluation, la première liste déroulante n'offre
aucun autre choix que "Français"
 Cliquez sur le bouton "Suivant"
 Cliquez sur le bouton "Installer maintenant"
Page 18 / 409
 Dans la liste, sélectionnez "Windows Server 2008 R2 Entreprise

(Installation complète)" et cliquez sur le bouton "Suivant"
 Cochez la case "J'accepte les termes du contrat de licence " et cliquez sur
le bouton "Suivant"
Page 19 / 409
 Cliquez sur "Personnalisée (Option avancée)"
Page 20 / 409
Selon que votre ordinateur contient ou non , un système Windows déjà

installé, le choix de la partition d'installation engendre l'une des actions
suivantes
Exemple de message d'avertissement pour un système Windows existant.
Dans ce cas, le système précédent est préservé dans un répertoire

"Windows.old". L'opération d'installation n'est pas destructive par défaut d'un
contenu existant.
Dans ce second exemple, le disque est vierge de toute partition. Vous pouvez
également décider de détruire les éventuelles partitions existantes en utilisant
le lien "Options de lecteurs (avancées)". En cliquant sur le bouton "Suivant"
(de l'écran ci-après) le processus d'installation (Windows7 et 2008R2) va
créer 2 partitions dans l'hypothèse d'utiliser le chiffrement intégral de disque
Bitlocker™, même si vous utilisez le choix "Disk options (advanced)" pour
créer une partition unique.
Voici la boite de dialogue affichée par le processus d'installation par défaut
Page 21 / 409
Facultatif : 1er contact avec WinPE
Nous reviendrons en détail sur ces outils à bien d'autres occasions, mais cette
opération facultative peut constituer une bonne entrée en matière.
Pour installer sur une partition unique (démarrage et système), vous pouvez à
ce stade, (avant d'appuyer sur le bouton "Suivant" de l'écran précédent,
appuyez sur les touches [Maj] + [F10] afin d'invoquer l'invite de commande
WinPE. Utilisez ensuite les commandes suivantes:
 DISKPART
 SELECT DISK 0
 CREATE PARTITION PRIMARY SIZE=80000
 FORMAT QUICK FS=NTFS LABEL=W2008R2
 EXIT
 EXIT
Microsoft Windows [Version 6.1.7600]
X:\Sources>DISKPART
On computer: MINWINPC
DISKPART>SELECT DISK 0
Disk 0 is now the selected disk.
DISKPART>CREATE PARTITION PRIMARY SIZE=80000
DiskPart succeeded in creating the specified partition.
DISKPART>FORMAT QUICK FS=NTFS LABEL=W2008R2
100 percent completed
DiskPart successfully formatted the volume.
DISKPART>EXIT
X:\Sources>EXIT
De retour dans l'interface graphique, utilisez le bouton "Actualiser" pour

actualiser l'affichage. Une partition NTFS de 80Go devrait dorénavant être
affichée et sélectionnée.
Page 22 / 409
 L'installation reprend son cours en cliquant sur le bouton "Suivant"
Après l'extraction des fichiers vers le disque de destination, le système

redémarrage automatiquement et poursuit son processus d'installation puis
l'ordinateur redémarre une seconde et dernière fois.
Page 23 / 409
2.3.2. Phase finale d'installation
Cette phase finale d'installation, dénommée OOBE (Out Of Box Experience)

est différente entre un serveur et un poste de travail et avant de revenir en
détail sur cette étape particulièrement importante, il convient d'apporter d'ores
et déjà quelques précisions :
Sur une distribution "Poste de travail NT6", le compte d'administration intégré
est désactivé et la phase finale OOBE invite l'installateur à créer un compte
d'administrateur équivalent. La saisie d'un mot de passe associé à ce dernier
est proposée mais n'est pas obligatoire.
L'interface graphique d'installation conseille la saisie d'un mot de passe pour
ce compte "sensible". Cependant en fonction du cadre d'exploitation, il faudra
opter pour une politique de sécurité des comptes d'administration. Cette
approche doit considérer les éléments suivants :
 Le compte administrateur intégré n'a aucun mot de passe et n'est protégé que
par sa désactivation. Contrairement aux versions antérieures telles que
Windows XP, où ce compte était opérationnel et protégé un mot de passe
saisi durant la phase d'installation.
 Notez également que la protection par un mot de passe au niveau du système
d'exploitation est insuffisante si l'accès physique à l'ordinateur n'est pas
contrôlé et qu'un amorçage alternatif au disque système est possible (clé
USB, CD, etc.) - Certains ordinateurs permettent de verrouiller l'accès à ces
unité d'amorçage au niveau du BIOS, mais le mot de passe limitant l'accès à
cette configuration peut être réinitialisé. La seule protection dans ce genre de
cas (typiquement d'ordinateur portable) est de recourir à un système de
chiffrement intégral des disques, tel que Bitlocker™
 L'assistant d'installation impose la saisie d'une indication de mot de passe si ce
dernier n'est pas vide - Cette option est principalement destiné aux usages
personnels, au sein d'une structure de type groupe de travail. En effet,
l'indication de mot de passe n'est visible qu'au niveau de l'écran d'accueil
initial, hors ce dernier est modifié lors de l'adhésion à un domaine, et n'affiche
plus d'information sur les comptes locaux. De plus, lorsqu'un ordinateur est
membre d'un domaine Active Directory, la stratégie de groupe "Default Domain
Policy" applique entre autres réglages, des contraintes de mot de passe.
(Requis à l'activation du compte)
 Sur une distribution "Serveur", le compte d'administration intégré est le seul
compte d'utilisateur disponible à la fin d'une installation et un mot de passe
complexe (1) est requis pour achever cette phase. De plus, depuis Windows
Server 2008, ce mot de passe est par défaut soumis à l'expiration
 Bien que cette remarque soit plutôt destinée à l'utilisation en groupe de travail,
on pourrait considérer qu'un mot de passe vide est préférable à un mot de
passe simpliste. En effet, depuis Windows XP, la stratégie de sécurité locale
restreint les mots de passe vierges à l'utilisation de la console - Autrement dit,
aucun accès distant n'est autorisé.
Notez enfin que lorsque que les comptes locaux intégrés sont activés,
désactivés ou bien renommés, ces modifications sont en fait stockées dans
ces mêmes stratégies de sécurité. Nous reviendrons sur l'intérêt de centraliser
ces réglages au sein d'une structure Active Directory.
Page 24 / 409
Pourquoi tant d'insistance sur le compte "administrateur intégré" ?
Dans notre cas, du fait que nous sommes sur une distribution "serveur", nous
utilisons le seul compte disponible pat défaut, qui n'est autre que
l'administrateur intégré. Contrairement aux autres comptes membres du
groupe local "Administrateurs", le compte intégré n'est pas soumis aux
contraintes d'élévation de privilèges et est donc particulièrement exposé aux
attaques potentielles.
Pour plus d'information sur ce sujet, nous vous invitons à vous référer à
l'annexe sur le contrôle de compte d'utilisateur (UAC).
Notez que dans une distribution officielle nom des comptes et groupes
prédéfinis sont initialement en anglais "Administrator", "Guest" et qu'ils sont
renommés via la stratégie de sécurité locale associée à la langue
d'installation. En matière de déploiement, particulièrement pour les phases
de "pré-installation" (Avant OOBE), il conviendra donc de prendre en
considération ces éléments en anglais. Ainsi la réactivation de ce compte
peut être réalisée via la commande suivante :
CMD /C NET USER ADMINISTRATOR /ACTIVE:YES
Si vous effectuez les téléchargements à partir de cette plateforme de test, et à

défaut d'un logiciel anti-virus, nous saurions trop vous conseiller d'utiliser un
compte "équivalent administrateur".
 Reprenons maintenant, notre installation en attente et cliquez sur le bouton

"OK"
Saisissez et confirmez un mot de passe fort, conforme aux règles de

complexité:
Page 25 / 409
Rappels des exigences de complexité de mot de passe:

 comprend au moins six caractères ;
 contient une combinaison d’au moins trois des caractères suivants : lettres
en majuscules, lettres en minuscules, chiffres et symboles (signes de
ponctuation) ;
 ne contient ni le nom du compte, ni le nom affiché de l’utilisateur.
 Entrez par exemple "Pa$$w0rd" puis cliquez sur la flèche pour valider.
 Après affichage du message "Votre mot de passe a été changé", cliquez sur
le bouton "OK"
Sur une distribution "serveur" en mode "installation complète", la première
ouverture de session est ponctuée par l'écran des taches de configuration
initiales.
Page 26 / 409
Cet assistant simplifié permet de définir rapidement les principaux réglages de

l'ordinateur, tel que le nom de ce dernier, les paramètres réseau, l'ajout de
rôle, etc. Vous pouvez cocher la case en bas à gauche "Ne pas afficher cette
fenêtre à l'ouverture de session" et cliquez sur le bouton "Fermer". Cet
assistant pourra être rappelé à tout moment via la commande "OOBE.exe".
Propre aux installations de type "serveur", vous pourrez remarquer le nom

cabalistique affecté automatiquement à l'ordinateur. Cliquez simplement sur
le lien si vous souhaitez le changer
De la même manière, l'ouverture de session avec un compte d'administration,
lance automatiquement le programme "Gestionnaire de serveur". Vous
pouvez cocher la case " Ne pas afficher cette console à l'ouverture de
session" au niveau de la fenêtre de détails.
Sur les distributions "serveur" cette console remplace la console "Gestion de
l'ordinateur" dans le menu contextuel "Ordinateur" et est accessible via un
raccourci dans la barre des tâches.
Vous pouvez cependant continuer à utiliser la console "Gestion de

l'ordinateur" via les outils d'administration du panneau de configuration ou le
menu "Démarrer" ou bien saisir "compmgmt.msc" dans la zone de recherche
ou une invite de commande.
2.3.3. Installation du rôle Hyper-V
L'installation du rôle Hyper-V requiert un processeur compatible avec

l'assistance matériel à la virtualisation (Intel-VT ou AMD-V), le support du jeu
Page 27 / 409
d'instruction 64 bits ainsi que la prévention d'exécution de données (DEP) -

Ces réglages sont parfois désactivés au niveau du BIOS.
Pour vous en assurer, vous pouvez télécharger l'utilitaire générique gratuit

"securable" à l'adresse suivante:
http://www.grc.com/files/securable.exe
Il suffit ensuite d'exécuter ce programme
Vous pouvez également recourir aux outils respectifs des constructeurs Intel
ou AMD dont les références de téléchargement sont précisées en annexe.
 Pour installer le rôle Hyper-V, vous pouvez utiliser la console "Gestionnaire
de serveur" ou l'assistant de configuration des taches initiales "OOBE.exe".
Cliquez ensuite sur "Ajouter des rôles"
 Dans la fenêtre "Assistant Ajout de rôle", cliquez sur le bouton "Suivant"

puis cochez la case "Hyper-V"
Page 28 / 409
 Puis cliquez sur le bouton "Suivant"
 Cliquez de nouveau sur le bouton "Suivant"

L'écran suivant est particulièrement important si vous ne maitrisez pas le
fonctionnement des réseaux au sein d'Hyper-V. En fait, cette fenêtre propose
d'affecter (ou non) une ou plusieurs interfaces réseau physiques à un
commutateur virtuel dit "Externe". Ainsi les machines virtuelles peuvent être
reliées directement à l'extérieur. Ce réglage peut être assimilé à un mode
Page 29 / 409
partagé, offrant l'accès réseau aux machines virtuelles connectées à ce

commutateur virtuel, au même titre que la machine physique. (C'est la raison
pour laquelle, en sélectionnant une interface, vous apercevriez une nouvelle
carte réseau correspondant au port de connexion de l'hôte sur ce
commutateur virtuel externe. (A moins de dédié l'interface physique au
machines virtuelles, mais c'est un autre sujet). Cette configuration peut être
modifiée ultérieurement en cas de besoin.
 En conséquence, afin d'éviter tout risque d'interaction malencontreuse lors du
maquettage, ne cochez aucune case "Connexion au réseau local …" et
cliquez sur le bouton "Suivant". Dans la fenêtre "Confirmer les sélections
pour l'installation", cliquez sur le bouton "Installer"
 Une fenêtre d'information indique qu'un redémarrage est en attente. Cliquez

sur le bouton "Fermer" puis confirmez le redémarrage en cliquant sur le
bouton "Oui".
 Après le redémarrage, ouvrez de nouveau la session avec le compte

"Administrateur".
Page 30 / 409
3. L'environnement de maquettage Hyper-V

3.1. Présentation
La découverte et prise en mains de l'environnement Hyper-V ne présente pas
de difficulté majeure dans notre environnement de test. En effet, nous allons
nous contenter de définir 2 réseaux virtuels indépendants et revenir
rapidement sur les fondamentaux de gestion.
Le Gestionnaire Hyper-V
En premier lieu, l'outil d'administration "Gestionnaire Hyper-V" constitue le

programme principal et il conviendra selon vos préférences, d'ajouter le
raccourci sur votre bureau.
Les machines virtuelles peuvent être contrôlées à partir de cette interface.

Utilisez un double clic ou le menu contextuel sur une machine virtuelle pour
ouvrir la console associée.
 Vous pouvez également utiliser le programme "C:\Program Files\Hyper-
V\vmconnect.exe" pour accéder directement à la console de chaque machine
virtuelle.
Gestion de l'état des machines virtuelles
Ce contrôle s'effectue au niveau global via de "Gestionnaire Hyper-V" ou par

l'ouverture d'une fenêtre console de chaque machine virtuelle.
Les différentes opérations sont disponibles à partir du menu "Action" ou plus
simplement à partir du ruban d'icônes suivant:
Page 31 / 409
Dans le cas où le curseur de la souris serait "capturé" dans la console de

l'ordinateur virtuel, vous devrez utiliser la combinaison suivante pour le libérer
[Ctrl] + [Alt] + [Flèche gauche]
+ +

3.2. Configuration des réseaux virtuels

Pour nos besoins de test, nous allons créer un réseau virtuel "interne" que l'on
nommera :
 INTERNE HOTE : Pour la communication entre la plateforme physique et
les machines virtuelles
 Pour cela, à partir du "Gestionnaire Hyper-V", sélectionnez le nom du
serveur puis dans le volet "Action", cliquez sur le lien "Gestionnaire de
réseaux virtuels"
 Sélectionnez le choix "Nouveau Réseau virtuel" dans le cadre de gauche.
Puis sélectionnez le type de réseau "Interne" dans le cadre de droite et
cliquez sur le bouton "Ajouter". Dans le champ "Nom", entrez un label tel que
"INTERNE HOTE" pour désigner ce réseau virtuel, vérifiez que l'option
"Interne uniquement" est bien sélectionnée, puis cliquez sur le bouton "OK"
pour rendre cette configuration effective.
Page 32 / 409
Ce réseau virtuel interne a pour conséquence de créer une nouvelle carte

réseau "virtuelle" sur la machine physique. Dans cet exemple, le nom attribué
par défaut est "Connexion au réseau local 4"
 Afin d'éviter toute confusion, nous vous conseillons de renommer cette

interface via le "centre de réseau et de partage". Utilisez un nom explicite tel
que "Interface Interne Hôte". De la même manière, renommez l'interface
physique connectée au réseau physique tel que "Interface Externe"

3.3. Configuration du serveur DHCP interne

Dans le cadre de cette plateforme de test, nous aurons besoin d'une
infrastructure réseau. Celle-ci pourrait être entièrement assurée par les
machines virtuelles. Toutefois, pour des raisons de convivialité de
communication entre ces dernières et le système hébergeur, nous allons
implémenter un service DHCP sur la machine hôte afin de distribuer
dynamiquement des adresses IP sur le réseau virtuel "Interne Hôte".
 En premier lieu, il est nécessaire d'affecter une adresse IP statique sur cette
interface. A partir du "Centre de réseau et de partage", cliquez sur le lien
"Interface Interne Hôte" puis accédez aux "Propriétés". Dans la liste des
éléments, sélectionnez la ligne "Protocole Internet version 4 (TCP/IPv4)"
puis cliquez sur le bouton "Propriétés". Dans la fenêtre de propriétés, entrez
les valeurs suivantes:
 Adresse IP : 192.168.255.254
 Masque de sous-réseau : 255.255.255.0
 Laissez les autres champs vides et cliquez 2 fois sur le bouton "OK" puis le
bouton "Fermer".
 Pour installer le rôle DHCP, vous pouvez utiliser la console "Gestionnaire de
serveur" ou l'assistant de configuration des taches initiales "OOBE.exe".
Cliquez ensuite sur "Ajouter des rôles"
Page 33 / 409

puis cochez la case "DHCP"
 Cliquez sur le bouton "Suivant", puis passez l'écran d'introduction à DHCP en

cliquant de nouveau sur le bouton "Suivant".
Important : Lors de la sélection des liaisons de connexion réseau, seules les
interfaces connectées et disposant d'une adresse IP statique sont affichées.
De ce fait, si vous avez affecté une adresse statique à une interface réseau
physique, vous devez décocher la liaison DHCP sur celle-ci, sous peine de
perturber le réseau auquel votre plateforme est connectée. De plus, si vous
affectez ultérieurement une adresse IP statique sur une interface physique,
assurez-vous de suspendre le service DHCP et modifiez les liaisons via la
console DHCP. (Au niveau de la rubrique "IPv4 … Propriétés ")
 Ne conservez cochée que la case correspondant à l'interface interne que

vous avez configuré précédemment, soit "192.168.255.254" puis cliquez sur le
bouton "Suivant".
Page 34 / 409
 Au niveau des paramètres de serveur DNS IPv4, supprimez le contenu de

tous les champs y compris l'adresses éventuellement présentes dans les
champs serveur DNS préféré et secondaire, puis cliquez sur le bouton
"Suivant".
 Passez l'écran "WINS n'est pas requis …" en cliquant de nouveau sur le
bouton "Suivant".
Page 35 / 409
 Sur l'écran "Ajouter ou modifier des étendues DHCP", cliquez sur le bouton
"Ajouter" et entrez les valeurs suivantes dans la boite de dialogue "Ajouter
une étendue ":
 Nom de l'étendue : INTERNE HOTE

 Adresse IP de départ : 192.168.255.10
 Adresse IP de fin : 192.168.255.99
 Type de sous-réseau : Câblé (Bail de 8 jours)
 Masque de sous-réseau: 255.255.255.0
 Passerelle par défaut : 192.168.255.254
 Cliquez sur "OK" pour valider puis sur le bouton "Suivant"
 Sur l''écran "Configurer le mode DHCPv6 sans état", sélectionnez l'option
"Désactiver le mode sans état DHCPv6 pour ce serveur" puis cliquez sur le
bouton "Suivant".
 Cliquez enfin sur le bouton "Installer" pour confirmer vos sélections. Une fois
le processus d'installation du rôle achevé, aucun redémarrage n'est demandé,
cliquez sur le bouton "Fermer".
3.4. Facultatif : Configuration du routeur NAT

A ce stade, il est possible d'établir des communications réseau entre la
machine physique et les machines virtuelles. Toutefois, si vous souhaitez offrir
un accès externe aux machines virtuelles tel que l'accès à Internet, il est
nécessaire d'installer et configurer les services de routeur sur la machine
physique en procédant comme suit.
 Pour installer les services de routage et d'accès distant, vous pouvez utiliser la
console "Gestionnaire de serveur" ou l'assistant de configuration des taches
initiales "OOBE.exe". Cliquez ensuite sur "Ajouter des rôles"
Page 36 / 409

puis cochez la case "Services de stratégie et d'accès réseau"
 Cliquez sur le bouton "Suivant", puis passez l'écran d'introduction en cliquant

de nouveau sur le bouton "Suivant". Cochez la case "Services Routage et
accès distant" puis cliquez sur le bouton "Suivant" et enfin sur le bouton
"Installer"
 Une fois le rôle installé, cliquez sur le bouton "Fermer". Utilisez le menu
"Démarrer … Outils d'administration … Routage et accès distant" puis
sélectionnez le nom du serveur au niveau de la console et utilisez le menu
"Action … Configurer et activer le routage et l'accès à distance" ou le
menu contextuel. Cliquez sur le bouton "Suivant" pour passer l'écran de
bienvenue de l'assistant.
Page 37 / 409
 Sélectionnez l'option "NAT (Network address translation" puis cliquez sur le

bouton "Suivant".
 Sélectionnez la ligne correspondante à l'interface connectée au réseau

externe. Dans notre exemple "Interface Externe" puis cliquez sur le bouton
"Suivant".
Page 38 / 409
 Sélectionnez la ligne correspondante à l'interface connectée au réseau virtuel

interne. Dans notre exemple "Interface Interne Hôte" puis cliquez sur le
bouton "Suivant" et le bouton "Terminer".
 Vous pouvez fermer la console de "Routage et d'accès distant"
Dans le cas où vous souhaiteriez offrir un accès Internet aux machines

virtuelles connectée sur le réseau interne, vous devrez récupérer l'adresse
DNS du fournisseur d'accès et la renseigner au niveau des options de
l''étendue "INTERNE HOTE" du DHCP Hôte.
3.5. Configuration des stockages Hyper-V

Bien que cette opération ne soit pas impérative, nous allons modifier
l'emplacement par défaut pour le stockage de disques durs virtuels et la
configuration des ordinateurs virtuels.
 Pour cela, à partir du "Gestionnaire Hyper-V", sélectionner le nom du serveur
puis dans le volet "Action", cliquez sur le lien "Paramètres Hyper-V".
 Dans le cadre de gauche, sélectionnez "Ordinateurs virtuels" puis utilisez le
bouton "Parcourir" afin d'accéder au disque physique "C:" dans lequel vous
créerez un nouveau dossier "C:\Hyper-V" puis cliquez sur le bouton
"Sélectionner un dossier" (Le nouveau chemin devrait apparaitre en gras)
 Renouvelez l'opération en sélectionnant "Disques durs virtuels" puis utilisez
le bouton "Parcourir" afin d'accéder au disque "C:" dans lequel vous créerez
un nouveau dossier "C:\Hyper-V\VHDs" et cliquez sur le bouton
"Sélectionner un dossier"
Page 39 / 409
 Cliquez sur le bouton "OK" de la fenêtre "Paramètres Hyper-V" pour valider

les modifications.
4. Quelques précisions sur les licences

Maintenant que l'installation du socle de base est pratiquement achevée, nous
vous proposons de présenter ou rappeler le mécanisme de licences
appliquées à cette nouvelle génération de système Windows. En effet, dans
un cadre de déploiement, la gestion des numéros de licence et l'activation
associée constituent un choix stratégique pour l'entreprise.
Les principaux types de licence :
La gestion des licences est un sujet compliqué influencé par de nombreux

facteurs et surtout lié à un contrat d'utilisation avec Microsoft. Dans les
grandes lignes on pourra distinguer 4 grandes familles de licence:
Type Utilisation / Cible
 RETAIL Contexte : Licence unitaire indépendante pouvant être

installée sur le matériel compatible de votre choix.
 (Vente au
détail) Durée : Définitive sauf si changement de matériel)
Activation en ligne ou par téléphone
 OEM Contexte : Licence unitaire liée au matériel avec lequel elle
est offerte (donc liée)
(Original
Equipment Pré activée par le fabriquant
Manufactur Durée : Définitive sauf changement de matériel  utiliser la
er) clé mentionnée sur l'étiquette apposée sur le boitier de
l'ordinateur
Dans un cadre contractuel, une clé globale propre au
matériel peut être délivrée par le fabriquant
 MAK Contexte : Licence en volume permettant l’activation de
Page 40 / 409
plusieurs machines en quantité limitée.

(Multiple
Activation Durée : Définitive sauf changement de matériel
Key)
Activation en ligne ou par téléphone
 KMS Contexte : Licence en volume (numéro unique pour
l'entreprise) permettant l’activation de toutes les machines
(Volume
 Délivrées dans le cadre d'un contrat Microsoft.
License
Key 2.0) Activation par l'hôte KMS « Key Management Server »
Par opposition à VLK 1.0, l’activation KMS n’est jamais
définitive et doit être renouvelée dans un délai maximum de
6 mois.
Le mécanisme d'activation des clés KMS repose sur l'utilisation d'un service
(sppsvc) s'exécutant sur une machine (non dédiée) Vista ou ultérieur ayant
une clé KMS installée et activée, ainsi qu'un accès à Internet. Cette machine
centralise ensuite les demandes d'activation KMS (port 1688), puis soumet
une requête globale d'activation chez Microsoft (toutes les 25 demandes pour
les postes de travail et 5 pour les serveurs). Un serveur Windows 2003sp1 ou
ultérieur peut également remplir cette fonction grâce à un service additionnel
téléchargeable gratuitement sur le site de Microsoft. La localisation d'un
serveur KMS peut être automatisée en créant un enregistrement de type
service "_VLMCS" sur un serveur DNS compatible et accessible par les
clients. (cf http://technet.microsoft.com/en-us/library/ff793405.aspx - en
anglais)
Dans le cadre d’un déploiement de masse, vous devez utiliser une clé de
licence OEM associée à un contrat avec le fabriquant – En effet, les
numéros des clés apposées sur le boitier sont liées unitairement au matériel
sur lequel le système est installé. Pour les mêmes raisons, l’utilisation de ce
type de" licence dans un environnement virtuel est proscrite.
De la même manière, les licences "d'instances virtuelles" sont liées à la
licence du matériel physique sur lequel cette dernière est installée. Elles ne
sont pas cessibles à une autre machine, qu'elle soit physique ou virtuelle.
Afin d'assurer un suivi centralisé des licences, Microsoft propose l'outil VAMT
(Volume Activation Management Tool) en téléchargement gratuit. Pour un
inventaire efficace du parc via cet outil, les ordinateurs sollicités doivent
accepter le traitement des requêtes WMI au travers leur pare-feu.
Les clés par défaut : Ces clés de licence sont pré renseignées dans la
distribution, ou contenues dans le fichier "Sources\Product.ini" du DVD
d'installation, et sont utilisées pour définir le mode de licence par défaut tant
qu'aucune clé valide n'a été renseignée. Par exemple, les versions «
Entreprise » sont destinées par défaut à utiliser des licences KMS alors que
les versions Professionnelles utilisent par défaut des licences MAK. Il est
cependant possible de changer le type de licence pour ces 2 versions.
Page 41 / 409
Note : Du fait que le numéro de licence est la clé qui détermine la version du
système, la présence du fichier "Sources\EI.cfg" du DVD d'installation permet
de définir la distribution installée par défaut si aucune clé n'est renseignée
durant le processus d'installation initial. Dans le cadre d'une distribution
d'images multiples, la suppression de ce fichier entrainera l'affichage des
images disponibles dans la distribution.
Principes de l'activation de licence:
Lors d'une nouvelle installation, sans renseigner la clé de licence, le système

est en période grâce initiale (généralement 30 jours pour les postes de travail
et 60 jours pour les serveurs). A l'issue de cette période, le système passe en
mode notification et indique régulièrement à l'utilisateur qu'il peut être en
présence d'un logiciel contrefait, et engendre des redémarrages intempestifs
sur les versions serveurs. Cette période de grâce peut être réinitialisée un
certain nombre de fois (généralement 3) en attendant la saisie de la clé
définitive.
Bien que nous reviendrons plus tard sur cette particularité, mais il convient de
noter que ce compteur de réinitialisation est, par défaut décrémenté de 1, à
chaque exécution de la commande "sysprep".
Pour connaitre l'état de licence d'un système Windows appuyez sur les
touches [Win] + [Pause] ou utilisez le menu contextuel "Propriétés" sur
l'icône "Ordinateur".
Pour connaitre et gérer pleinement les licences, utilisez le script "SLMGR.vbs"

à partir d'une invite de commande Administrateur. Utilisez le commutateur "/?"
pour connaitre toutes les options possibles.
Tableau des principaux commutateurs :
Commande Objectif
SLMGR –DLI Permet d’afficher les informations de
licence
SLMGR –DLV Permet d’afficher les informations
détaillées de licence
SLMGR –XPR Permet d’afficher la date d’expiration de
la licence
SLMGR –IPK N°Licence Permet d’affecter un nouveau numéro
de licence
SLMGR –SKMS AdresseIP* Permet de demander l’activation auprès
du serveur KMS dont l’adresse IP ou le
nom est stipulé.
Page 42 / 409
SLMGR –ATO Déclenche le processus d’activation

SLMGR –CPKY Efface la clé produit du registre (évite
sa divulgation en cas d’attaque)
SLMGR –REARM Réinitialise la période de grâce
(nombre limité)
Dans un processus d'installation automatisé, la clé de licence peut être

renseignée et activée au sein du fichier de réponse. Toutefois, l'utilisation de
l'outil SLMGR permet de dissocier la gestion licences de l'installation.
En effet, lorsqu'une licence (sauf MAK ou KMS) est installée puis activée sur
un ordinateur, celle-ci demeure stockée dans le registre sous une forme
encodée. Des outils spécialisés, ou logiciels malveillants permettent de
retrouver aisément cette clé et l'afficher sous sa forme initiale. (ie
http://www.magicaljellybean.com/downloads/keyfinder.zip )
Il est donc recommandé de s'assurer, une fois les processus d'installation et
d'activation achevés, que cette clé n'est plus présente dans le registre, et le
cas échéant supprimer celle-ci avec la commande :
 SLMGR -CPKY
Vous trouverez des formations complémentaires sur les licences à l'adresse
suivante :
http://download.microsoft.com/download/0/C/1/0C121216-E523-49FA-AACB-
DEB645717D99/Volume_Activation_Technical_Reference_Guide.docx
A titre d'information, vous pouvez examiner le cas particulier de cette version

d'évaluation :
 SLMGR -DLI
Remarquez particulièrement les lignes :

Description "… EVAL_channel …"
Période de grâce : 14400 minutes (soit 10 jours)
Page 43 / 409
Notez qu'une fois la période de grâce expirée, vous serez informé par une
boite de dialogue vous invitant à procéder à l'activation, sans que toutefois le
système soit bloqué.
Quant au commutateur -DLV, vous obtiendrez entre autres détails, le nombre

de réinitialisations restantes, initialement égal à 5 pour cette version.
Vous pouvez réinitialiser le compteur via la commande suivante :
 SLMGR -REARM
Vous pouvez ensuite redémarrer l'ordinateur normalement ou via commande

suivante :
 SHUTDOWN -R -F -T 0
Page 44 / 409
Chapitre 2 : Découverte de WinPE et des images WIM
Chapitre 2 : Découverte de WinPE et des

images WIM
1. Introduction
Afin de manipuler aisément les fichiers .ISO au même titre que des supports
CD/DVD, nous vous recommandons d'installer un lecteur virtuel
Téléchargez le logiciel "(Freeware) Virtual CloneDrive" à l'adresse suivante :
http://www.slysoft.com/fr/download.html et installez-le sur la plateforme de test
(en tant qu'Administrateur).
Une icône représentant ce lecteur de CD/DVD virtuel devrait apparaitre

dans la zone de notification (en bas à droite). Vous pouvez effectuer un clic
droit sur cette icône afin de repérer la lettre d'unité affectée à ce lecteur (ie
Drive F: ) - Le triangle donne accès au sous-menu permettant de "monter"
un fichier .ISO ainsi qu'à l'historique des montages. Sinon, vous pouvez
également utiliser l'explorateur Windows afin de sélectionner le fichier .ISO
précédemment téléchargé puis utiliser le menu contextuel "Monter (Virtual
CloneDrive F:)".
Fermez la fenêtre d'exécution automatique.
2. Historique de WinPE
Depuis Windows XP, Microsoft fournit un système d'exploitation minimaliste et
autonome (ne nécessitant pas d'installation) pouvant être exécuté à partir de
différents média tels qu'un CDROM, un disque/clé USB ou encore au travers
d'un démarrage PXE.
A l'origine, ce système nommé WinPE (Windows Preinstallation Environment)
était distribué, dans un cadre contractuel, aux fabricants et intégrateurs
(OEM), ainsi qu'aux Grands Comptes titulaires d'un accord d'utilisation
Microsoft.
Depuis Windows Vista, Microsoft fournit WinPE "gratuitement" - Toutefois, il
est important de souligner que cette gratuité d'induit pas de licence
d'exploitation utilisateur. Entre d'autres termes, Microsoft autorise l'utilisation
de WinPE dans un cadre d'installation ou de maintenance mais aucunement
en tant que système d'exploitation utilisateur (comme le sous-entend
l'anglicisme "Live-CD" ou des adaptations telles Bart-PE/PE-Builder ou
WinBuilder)
Digne remplaçant des disquettes de démarrage MS-DOS  , ce système offre
de nombreux atouts, tel que la prise en charge des systèmes de fichiers
NTFS, la prise en charge native du réseau et sous certaines conditions
détaillées plus tard, le support de MDAC, HTA, WMI et scripts WSH.
Important : WinPE ne propose aucun bureau ni de session utilisateur.

Toutefois, ce système n'exclut pas les programmes et interfaces graphiques
pour peu que celles-ci soient autonomes (ne requiert de dépendances avec
le "Framework .NET" non supporté dans cet environnement)
Page 45 / 409
Historique succinct des versions
Les versions WinPE indiquées sont purement informatives. En effet, ce

système minimaliste correspond en fait à un assemblage particulier réalisé à
partir des binaires composants un système d'exploitation original. En effet,
l'utilisation de la commande "ver" dans une invite de commande WinPE vous
renverra un numéro de version technique. Voici un petit tableau récapitulatif.
Version Base / Remarques Version
WinPE "technique"
WinPE 1.0 Basé sur Windows XP NT 5.1.2600
WinPE 1.1 Basé sur Windows XP SP1 NT 5.1.2600- sp1
WinPE 1.2 Basé sur Windows Server 2003 NT 5.2.3790
WinPE 1.5 Basé sur Windows XP SP2 - NT 5.12600 - sp2
WinPE 2004 (Support de WMI et
périphériques Plug & Play)
WinPE 1.6 Basé sur Windows Serveur 2003 NT 5.2.3790 ≥ sp1
SP1 - WinPE 2002 (Support du
boot sur USB et du RAMDRIVE)
WinPE 2.0 Basé sur Vista NT 6.0.6000
WinPE 2.1 Basé sur Vista sp1 / Windows NT 6.0.6001
Serveur 2008
WinPE 3.0 Basé sur Windows 7 / Windows NT 6.1.7600
Serveur 2008 R2
WinPE 3.1 Basé sur Windows 7 / Windows NT 6.1.7601
Serveur 2008 R2 sp1
WinPE 4.0 Sera basé sur Windows 8 NT 6.2.x
Remarque La première génération de WinPE était exclusivement 32 bits.
Limitations et remarques :
Vous ne pouvez pas accéder aux fichiers ou dossiers d'un ordinateur

exécutant WinPE à partir d'un autre ordinateur. Autrement dit, le service
Serveur SMB ainsi que le bureau à distance ne sont pas disponibles sous
WinPE.
WinPE prend en charge à la fois IPv4 et IPv6, mais il ne prend pas en charge
d'autres protocoles, tels qu’IPX/SPX.
WinPE ne prend pas en charge le "Framework .NET". (donc pas de
PowerShell) Cette limitation devrait être levée à partir de la version 4.
Dans la mesure où le sous-système "Windows on Windows" (WOW) n'est pas
pris en charge, les processus 16 bits ne peuvent s'exécuter sur les versions
32 bits de WinPE, de même que les processus 32 bits ne s'exécuteront pas
sur les versions 64 bits de WinPE.
Les affectations de lettre d'unité ne sont pas persistantes d'un démarrage à
l'autre. Après le chargement de WinPE, les affectations de lettres d'unité sont
Page 46 / 409
affectées dans l'ordre par défaut. En l'absence d'autre technique, utilisez les
commandes suivantes :
Pour obtenir la liste des lecteurs
 MOUNTVOL
Pour obtenir les lettres et description des unités (support WMI requis)
 WMIC LOGICALDISK GET NAME,DESCRIPTION
Noter que les modifications apportées au registre de WinPE sont également
perdues au redémarrage. En cas de besoin, il faut modifier le registre en
mode hors ligne.
Pour perturber une éventuelle utilisation frauduleuse en tant que système
d'exploitation "serveur", WinPE redémarre 24 à 72 heures après son
démarrage initial.
Comparativement à la première génération de WinPE où il fallait insérer les
supports USB durant le démarrage, les versions 2 et suivantes supportent
dynamiquement l'USB ainsi qu'un grand nombre d'avantages que vous
découvrirez plus tard.
Pour information, le noyau WinPE (BOOT.WIM) est chargé en mémoire

(RAMDRIVE) et s'affectera toujours la même lettre "X:". Par défaut, il faut
environ un minimum de 300Mo de mémoire vive pour démarrer WinPE 3.
3. Comprendre la structure du DVD et les fichiers .WIM

3.1. Introduction
Le schéma ci-après expose les principaux fichiers et dossiers d'une structure
DVD originale. Pour explorer cette structure, vous pouvez utiliser le lecteur
virtuel précédemment installé et monter le fichier .ISO ayant servi à
l'installation de cette plateforme.
On considère que l'unité F: correspond au lecteur virtuel du DVD
Les DVD originaux de Windows NT6 contiennent de nombreux fichiers et
répertoires mais nous attirerons votre attention sur les principaux :
L'amorce, est composée de 2 fichiers primordiaux (sans extension):
 F:\BOOTMGR
 F:\BOOT\BCD
La distribution (ou fichiers sources) Windows est contenue dans un fichier
.WIM (contenant 1 ou plusieurs déclinaisons) :
 F:\SOURCES\INSTALL.WIM
Le noyau WinPE (système d'exploitation qui est chargé en mémoire)
 F:\SOURCES\BOOT.WIM
Page 47 / 409
La structure DVD simplifiée
Attention, ne confondrez pas le répertoire "\Boot" contenant l'amorce (dont le

fichier BCD…) avec le fichier "\Sources\Boot.wim" qui contient le noyau
WinPE
Une confusion courante est également possible entre le programme
"\Setup.exe" contenant l'écran d'accueil général avec le programme
"\Sources\Setup.exe" chargé de l'installation.
La structure de WinPE est un assemblage d'éléments qui pourrait être

schématisée comme suit :
Page 48 / 409
Ce schéma met en avant l'imbrication des composants, où chaque élément

est géré par une commande en ligne ou un outil spécialisé.
Certains de ces programmes ne sont pas installés sur Windows 7 ou Windows
Server 2008 R2, mais restent disponibles sur le DVD ou au travers du kit de
déploiement WAIK (Windows Automated Installation Kit) que nous détaillerons
plus tard.
Dans un premier temps, nous allons nous attarder sur le noyau WinPE. En
effet, en fonction de sa provenance, DVD original ou WAIK, son contenu et
possibilités divergent.
On peut considérer que le noyau WinPE est une dérivée opérationnelle d'un
système d'exploitation connu (type Windows 7) et d'un certain nombre de
programmes externes, tels que diskpart, netsh, etc. (principalement en ligne
de commande, donc moins connus des utilisateurs Windows)
Depuis la deuxième génération, le système WinPE utilise un RAMDRIVE
(disque en mémoire vive) auquel la lettre "X:" est toujours affectée. Cette
approche offre d'avantage de performances et lève les contraintes d'écriture
mais cet environnement est volatile- Il convient donc de distinguer ce qui est
intégré dans le "noyau WinPE" (ce qui alourdi potentiellement le RAMDRIVE)
de ce qui demeure sur le "Media WinPE".
Le schéma ci-après symbolise quelques possibilités de personnalisation du
noyau WinPE.
Page 49 / 409
3.2. Les fichiers .WIM

Comme vous avez pu le remarquer, les fichiers .WIM sont au cœur des
nouvelles technologies de déploiement Windows et la maitrise de ces derniers
est une clé essentielle en la matière. Les fichiers .WIM sont des "conteneurs
d'images", non au sens photographique, ni autres dessins d'artistes en herbe,
mais une structure de fichiers et de dossiers (un peu comme un fichier .ZIP).
A l'instar de ces fichiers d'archive, ils peuvent également bénéficier d'un
mécanisme de compression mais offrent d'autres d'avantages tels que
l'instanciation unique des fichiers redondants, des métadonnées XML …
L'extension des fichiers WIM n'est pas prise en compte dans les interfaces
graphiques Windows. Vous pouvez cependant recourir à l'utilitaire gratuit "7-
Zip" pour visualiser le contenu de ces fichiers. Dans le cas d'images
multiples, chacune d'entre-elle apparait sous forme d'un dossier représentant
le numéro d'index alors que le fichier .xml à la racine contient les
métadonnées.
Page 50 / 409
Exemple d'ouverture d'un fichier .WIM avec 7-Zip

Ces fichiers peuvent donc contenir une ou plusieurs "images". Il est
intéressant de relever que cette structure de fichier gère la redondance des
fichiers communs entre plusieurs images, via un mécanisme différentiel. De
ce fait, on constate un gain de place important en y intégrant plusieurs images
similaires, telles que différentes éditions de Windows 7 et/ou plusieurs
déclinaisons d'installation pour les serveurs (installation minimale versus
installation complète). Attention, cette caractéristique exploitée dans les
fichiers WIM de Microsoft est délicate à maintenir et constitue une source
potentielle de confusion. En effet, des éventuelles mises à jour ou ajout de
pilotes n'affecte qu'une seule image et qui seraient donc à réitérer pour
chaque image en cas de besoin.
Page 51 / 409
Un autre avantage des fichiers .WIM, est qu'il est possible de "monter" une
image, en lecture seule ou en lecture/écriture, dans un répertoire afin d'en
visualiser ou modifier le contenu. Il est également possible d'interroger les
métadonnées d'un fichier .WIM afin d'obtenir les informations sur les images
qu'il contient. (Nom, Description des images, Nombre d'images, Nombre de
fichiers, Taille, etc.)
Dans un 1er temps, pour manipuler des fichiers WIM existants, nous allons
nous contenter de l'outil DISM déjà intégré à Windows 7 et Windows Server
2008 R2, afin de ne pas recourir systématiquement aux outils du kit de
déploiement (WAIK) tel que "ImageX"
Nous allons donc créer une petite structure de travail pour nos manipulations
via une invite de commande.
Conseil : Modifier les propriétés de l'invite de commande, en cochant la case

"Mode d'édition rapide" ainsi que l'affichage des dossiers cachés, des fichiers
protégés et les extensions dans les options d'affichage de l'explorateur.
Ouvrez une invite de commande en mode Administrateur et tapez les
commandes suivantes:
 MD DEPLOY
 CD DEPLOY
 MD DVD
 MD MNT
 MD DRV
 XCOPY F:\*.* .\DVD /S

C:> MD DEPLOY
C:> CD DEPLOY
C:\DEPLOY> MD DVD
C:\DEPLOY> MD MNT
C:\DEPLOY> MD DRV
C:\DEPLOY> XCOPY F:\*.* .\DVD /S
…
993 fichier(s) copié(s)
Pour rappel, nous travaillerons sur l'image d'évaluation Windows Server 2008
R2, très similaire à Windows 7 sur le principe.
Examinons le fichier BOOT.WIM d'un peu plus près grâce à la commande
suivante:
 DISM /Get-WimInfo /WimFile:.\DVD\Sources\boot.wim

C:\DEPLOY> DISM /Get-WimInfo /WimFile:.\DVD\Sources\boot.wim
Outil Gestion et maintenance des images de déploiement

Version : 6.1.7600.16385
Détails pour l’image : .\DVD\Sources\boot.wim
Index : 1
Nom : Microsoft Windows PE (x64)
Description : Microsoft Windows PE (x64)
Taille : 974 874 943 octets
Page 52 / 409
Index : 2
Nom : Microsoft Windows Setup (x64)
Description : Microsoft Windows Setup (x64)
Taille : 1 090 888 843 octets
L’opération a réussi.
Nous pouvons constater que le noyau WinPE est composé de 2 images

(index). La première est un noyau de base (qui s'arrêterait sur un simple invite
de commande - cmd.exe / winpeshl.exe) et la seconde démarre
automatiquement le programme d'initialisation SETUP.exe.
Procédons de la même manière à l'étude du fichier de distribution grâce à la

commande suivante:
 DISM /Get-WimInfo /WimFile:.\DVD\Sources\install.wim
C:\DEPLOY> DISM /Get-WimInfo /WimFile:.\DVD\Sources\install.wim

Version : 6.1.7600.16385
Détails pour l’image : .\DVD\Sources\install.wim
Index : 1
Nom : Windows Server 2008 R2 SERVERSTANDARD
Description : Windows Server 2008 R2 SERVERSTANDARD
Index : 2
Nom : Windows Server 2008 R2 SERVERSTANDARDCORE
Description : Windows Server 2008 R2 SERVERSTANDARDCORE
Index : 3
Nom : Windows Server 2008 R2 SERVERENTERPRISE
Description : Windows Server 2008 R2 SERVERENTERPRISE
Index : 4
Nom : Windows Server 2008 R2 SERVERENTERPRISECORE
Description : Windows Server 2008 R2 SERVERENTERPRISECORE
Index : 5
Nom : Windows Server 2008 R2 SERVERDATACENTER
Description : Windows Server 2008 R2 SERVERDATACENTER
Index : 6
Nom : Windows Server 2008 R2 SERVERDATACENTERCORE
Description : Windows Server 2008 R2 SERVERDATACENTERCORE
Index : 7
Nom : Windows Server 2008 R2 SERVERWEB
Description : Windows Server 2008 R2 SERVERWEB
Index : 8
Nom : Windows Server 2008 R2 SERVERWEBCORE
Description : Windows Server 2008 R2 SERVERWEBCORE
Page 53 / 409
Nous constatons, dans cet exemple, que le fichier "install.wim" contient

plusieurs images (8) correspondant à priori aux versions "Windows Server
2008 R2 WEB" à "DATACENTER" et dont les tailles respectives
"décompressées" varient approximativement entre 3,4 et 10 Go.
Note : Les versions notées "..CORE" correspondent aux installations

minimales. Ces choix ne sont disponibles que pour les versions "Serveur".
Même si ces installations minimales (core) présentent des similitudes
apparentes avec WinPE se sont cependant des systèmes complets
simplement dépourvus de bureau et d'interface utilisateur.
3.3. Détails / Personnalisation du noyau WinPE

Montage d'un fichier .WIM
Pour analyser en détail le contenu de ces fichiers WIM, nous allons procéder
au "montage" de ces derniers dans notre structure de travail. En premier lieu,
WinPE Setup, donc l'image N°2 de boot.wim, veuillez tapez la commande
suivante :
 DISM /Mount-Wim /WimFile:.\DVD\Sources\boot.wim /index:2
/MountDir:.\MNT
C:\DEPLOY> DISM /Mount-Wim /WimFile:.\DVD\Sources\boot.wim

/index:2 /MountDir:.\MNT
Version : 6.1.7600.16385
Montage de l’image
[==========================100.0%==========================]
Remarque : Il est possible, via l'outil "ImageX" du kit de déploiement (WAIK),

d'extraire une image d'un fichier .WIM vers un nouveau fichier .WIM via la
commande suivante :
 IMAGEX /EXPORT BOOT.WIM 1 NEWFILE.WIM "Description"
A ce stade, vous pouvez utiliser l'explorateur Windows ou une invite de

commande afin de parcourir le dossier C:\DEPLOY\MNT (Dans cet exemple,
la structure de ce dossier permet d'accéder à l'ensemble des fichiers de la
2ème image du fichier boot.wim)
WinPE contient un certain nombre de fonctionnalités (packages) qui peuvent

être activées (ou non) ainsi que les pilotes Windows 7 de Microsoft. Nous
allons voir comment procéder pour analyser, modifier, arranger tout cela selon
vos besoins.
Page 54 / 409
Obtenir la liste des packages
Pour obtenir la liste des packages présents dans l'image actuellement

montée, utilisez la commande suivante:
 DISM /Image:.\MNT /Get-Packages
C:\DEPLOY> DISM /Image:.\MNT /Get-Packages
La liste peut être longue, et le tableau ci-après indique le détail des packages
courants;
Nom du package Type Description succincte
Microsoft-Windows- Foundation Noyau de WinPE
WinPE-Package
Microsoft-Windows- Language Pack de langue général
WinPE-LanguagePack Pack
WinPE-Scripting- Feature Pack Ajout du support des scripts
Package WSH (wsf, vbs, js…)
WinPE-Scripting- Language Pack de langue du package
Package Pack
WinPE-Setup-Package Feature Pack Binaires d'installation
(Principalement Setup.exe)
WinPE-Setup-Package Language Pack de langue du package
Pack
WinPE-Setup-Server- Feature Pack Compléments d'installation
Package propres aux versions "serveur"
(versus "Client" pour Windows
7)
WinPE-Setup-Server- Language Pack de langue du package
Package Pack
WinPE-SRT-Package Feature Pack Outils de réparation (Service
Repair Tools) ~WinRE
WinPE-SRT- Package Language Pack de langue du package
Pack
WinPE-WDS-Tools- Feature Pack Outils relatifs aux services de
Package déploiement (dont
"WDScapture" dont nous
reparlerons plus tard)
WinPE-WDS-Tools- Language Pack de langue du package
Package Pack
WinPE-WMI-Package Feature Pack Ajout du support WMI (dont
WMIC, très pratique sous
réserve de connaitre les classes
disponibles (WMIC /?)
WinPE-WMI -Package Language Pack de langue du package
Pack
Page 55 / 409
Note : La liste complète des packages est disponible dans l'aide fournit avec
le WAIK. Vous y trouverez également la procédure pour ajouter des
packages. Pour chaque pack de fonctionnalité, il faut ajouter le pack de
langue associé. Les packages sont fournis sous forme de fichiers .CAB
situés dans C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs
Dans notre cas d'étude, (soit le DVD original), tous les packages essentiels
sont déjà présents : WSH, WMI, SETUP, WDS, RECENV (SRT)
Obtenir la liste des pilotes
Un autre élément clé est la maitrise des pilotes de périphériques. En effet,

selon l'image et le fichier .WIM concerné, il est fondamental de pouvoir
énumérer, voire injecter des pilotes en cas de besoin. Dans un cadre
d'utilisation préliminaire, tel que WinPE, les classes de pilotes particulièrement
cruciaux sont :
 Les pilotes de stockage - contrôleur disque dur (Mass Storage)
 Les pilotes de composants intégrés (Chipsets)
 Les pilotes de carte réseau
 Les pilotes de carte vidéo
Pour obtenir la liste des pilotes présents dans l'image actuellement montée,
utilisez la commande suivante:
 DISM /Image:.\MNT /Get-Drivers
C:\DEPLOY> DISM /Image:.\MNT /Get-Drivers
Version : 6.1.7600.16385
Version de l’image : 6.1.7600.16385
Obtention d’une liste de pilotes tiers à partir du magasin de

pilotes...
Liste des packages de pilotes :
(Aucun pilote n’a été trouvé dans l’image correspondant aux

critères)
Comme vous pouvez le constater, aucun pilote tiers (NON Microsoft) n'est
présent. Dans la pratique, il sera probablement nécessaire d'injecter des
pilotes pour support des contrôleurs de disque, cartes réseau, vidéo et autres
chipset spécifiques.
Important : Les pilotes à ajouter doivent être au format .inf (ie: un dossier
contenant les binaires du pilote et le fichier .inf associé) - Les programmes
d'installation au format exécutable ne sont pas pris en charge.
Astuce: Si le fabricant du matériel ne fournit pas les pilotes sous ce format,

vous pouvez recourir à un outil tiers, tel que le logiciel libre
Page 56 / 409
"DriverBackup" afin d'extraire les pilotes installés par le constructeur ou par

le programme d'installation du périphérique.
Injecter des pilotes supplémentaires dans le noyau WinPE
Dans notre cas, il n'est pas nécessaire d'ajouter des pilotes, mais afin
d’illustrer un cas d'étude, nous allons ajouter les pilotes de carte réseau "AMD
PCNET" utilisées par certains environnements de virtualisation.
En premier lieu, vous devez télécharger les fichiers du pilote à l'adresse
suivante : http://www.findthatfile.com/search-3875049-hZIP/winrar-winzip-
download-amd4-51-zip.htm
Ce pilote NDIS5 est initialement prévu pour un système Windows XP ou

Windows 2003 Server et n'est donc pas supporté officiellement par Windows
7 ou WinPE. Bien que fonctionnel dans une architecture 32 bits (x86) ce
pilote ne sera pas opérationnel en 64 bits mais suffira à illustrer cette
démonstration factice.
Nous considérons que le contenu du fichier .ZIP a été extrait dans un dossier
"C:\DEPLOY\DRV\AMD4.51".
Les pilotes peuvent être injectés dans le noyau WinPE actuellement montée
par la commande suivante :
 DISM /Image:.\MNT /Add-Driver /Driver:Chemin\Pilote.inf

C:\DEPLOY> DISM /Image:.\MNT /Add-Driver
/Driver:.\DRV\AMD4.51\WinXP_SignedDriver\netamd.inf
Vous pouvez également utiliser l'option "/Recurse" pour injecter plusieurs

pilotes située dans une arborescence de dossiers.
Vous pouvez vérifier la présence du pilote dans le noyau en rappelant la
commande précédemment citée:
 DISM /Image:.\MNT /Get-Drivers
Version : 6.1.7600.16385
Version de l’image : 6.1.7600.16385
Obtention d’une liste de pilotes tiers à partir du magasin de

pilotes...
Nom publié : oem0.inf

Nom du fichier d’origine : netamd.inf
Boîte de réception : Non
Nom de la classe : Net
Nom du fournisseur : AMD Inc.
Date : 07/07/2004
Version : 4.51.0.0
Page 57 / 409
Quelques outils WinPE à connaitre :

Outil / Commande Description
- STARTNET.cmd Initialisation des couches réseaux
(sous réserve de détection du pilote
- WPEINIT
adéquat)
- WPEUTIL INITIALIZENETWORK
- DRVLOAD Chemin\Pilote.inf Chargement à chaud d'un pilote (.inf)
- Très utile pour tester un pilote ou
en cas d'oubli au sein de WinPE.
Pour rappel, depuis WinPE 2, la détection des disques USB est dynamique. A
défaut d'explorateur de fichier graphique, utilisez les commandes suivantes
pour repérer les lecteurs.
 MOUNTVOL
 WMIC LOGICALDISK GET NAME,DESCRIPTION
 Pour connaitre l'architecture de processeur, utilisée par le noyau système (32
ou 64 bits), tapez l'une des commandes suivantes :
 SET PROC
PROCESSOR_ARCHITECTURE=AMD64
PROCESSOR_IDENTIFIER=Intel64 Family 6 Model 23 Stepping 6,
GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=1706
 ECHO %PROCESSOR_ARCHITECTURE%
AMD64
Contrairement à cet exemple factice, veillez à respecter l'adéquation des

pilotes avec l'architecture du noyau système. Certains pilotes sont
multiplateformes mais à défaut d'un gestionnaire de pilotes spécialisé, vous
pouvez vérifier cette information au sein des fichiers .inf associés.
Nous reviendrons sur cette gestion des pilotes dans le chapitre 3 " Préparation
du poste de référence"
Injecter des outils supplémentaires dans le noyau WinPE
Cette étape facultative à pour but de démontrer la possibilité d'ajouter

quelques outils graphiques, sans lesquels nous sommes un peu perdus, tout
en restant dans le cadre légal d'utilisation de WinPE.
Nous ne retiendrons que l'outil "GImageX v2.017" (Alternative graphique
gratuite à l'outil en ligne de commande "ImageX" fournit avec le WAIK de
Microsoft), ainsi que "Explorer++" en tant qu'explorateur de fichier autonome.
Ces logiciels gratuits sont respectivement disponibles aux adresses suivantes
:
http://www.autoitscript.com/cgi-bin/getfile.pl?gimagex/gimagex.zip
http://www.explorerplusplus.com/software/explorer++_1.2_x64.zip
Page 58 / 409
Des produits tels que "Nu2Menu" ou "BSExplorer" permettent de simuler un

menu de démarrage convivial mais la rédaction des fichiers de configuration
reste fastidieuse…). - Conseil : Utiliser un fichier WINPESHL.ini pour le
démarrage automatique de ce genre d'outil mais l'initialisation du réseau ne
sera plus démarrée automatiquement. (cf processus de démarrage WinPE ci-
après)
Pour des raisons de simplicité, nous nous contenterons de créer un répertoire
".\MNT\Tools" dans le noyau WinPE (ce qui correspondra à X:\Tools) et d'y
copier les 2 binaires 64 bits.
(Pour notre exemple, nous considérons que ces outils ont été téléchargés et
décompressés dans le dossier "C:\DEPLOY\DL ")
C:\DEPLOY> MD .\MNT\Tools
C:\DEPLOY> COPY ".\DL\Explorer++_x64\Explorer++.exe" .\MNT\Tools

C:\DEPLOY> COPY ".\DL\GImageX\install\x64\gimagex.exe"

.\MNT\TOOLS
L'avantage d'ajouter des programmes au sein du noyau est de connaitre la

lettre (X:) pour une sollicitation automatisée. En effet, la lettre d'unité du média
WinPE est variable selon la configuration matérielle du PC. Toutefois, il faut
également éviter de trop "charger" le noyau WinPE afin de ne pas alourdir le
"RamDrive" et donc les pré-requis en mémoire vive.
Astuce : Les explorateurs graphiques (Explorer++, A43…) n'affichent pas les

"fichiers et dossiers protégés du système" sous WinPE car ils s'appuient sur
des clés de registre ("SuperHidden") absentes dans le noyau WinPE. Pour
pallier cette particularité, il suffit de modifier le registre par défaut de WinPE
comme suit::
 REG LOAD HKLM\WinPE MNT\Windows\System32\config\DEFAULT
 REG ADD
HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Expl
orer\Advanced
 REG ADD
orer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1
 REG ADD
orer\Advanced /v SuperHidden /t REG_DWORD /d 0
 REG UNLOAD HKLM\WinPE
C:\DEPLOY>
C:\DEPLOY> REG LOAD HKLM\WinPE
MNT\Windows\System32\config\DEFAULT
C:\DEPLOY> REG ADD

HKLM\WinPE\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv
anced
Page 59 / 409
C:\DEPLOY> REG ADD

anced /v ShowSuperHidden /t REG_DWORD /d 1
C:\DEPLOY> REG ADD

anced /v SuperHidden /t REG_DWORD /d 0
C:\DEPLOY> REG UNLOAD HKLM\WinPE

Modification de la procédure d'initialisation WinPE du DVD original:
Du fait que nous avons travaillé sur la 2ème image "Windows Setup", la
procédure d'initialisation de WinPE restera inchangée et il faudra donc
démarrer une invite de commande afin d'accéder aux outils. (Soit directement
via [Maj] + [F10] soit via l'option "Réparer l'ordinateur" puis "Invite de
commande".)
Lors d'un démarrage à partir du DVD original, l'initialisation de WinPE suit
approximativement le cheminement suivant :
Comme le montre le schéma ci-dessus, les processus d'initialisation de

WinPE offre de nombreux points d'entrée et nous opterons pour un menu de
type "batch" lancé via le fichier "STARTNET.cmd"
Dans notre exemple, nous allons donc renommer le fichier
".\MNT\SETUP.exe" en ".\MNT\SETUP.old.exe". Ceci aura pour conséquence
de terminer l'initialisation de WinPE sur une invite de commande. (Le
Page 60 / 409
"véritable" programme d'installation étant situé dans le dossier "\Sources"

sera toujours disponible au besoin)
C:\DEPLOY> REN .\MNT\Setup.exe Setup.old.exe
Nous allons ensuite modifier le fichier "STARTNET.cmd" afin d'appeler un

menu de démarrage en procédant comme suit :
C:\DEPLOY> NOTEPAD MNT\Windows\System32\startnet.cmd
Vous pourrez constater que ce fichier contient par défaut une seule
commande "WPEINIT" qui a pour but principal d'initialiser les couches
réseaux. A l'aide du bloc-notes, modifiez le contenu comme suit:
@ECHO OFF
REM Initialisation du clavier Français
WPEUTIL SetKeyboardLayout 040C:0000040C
WPEUTIL SetUserLocale fr-FR
ECHO Voulez-vous initialiser les couches reseaux ?

CHOICE /C ON /T 3 /D n /M "Appuyez sur O pour Oui, N pour Non"
IF ERRORLEVEL ==1 GOTO BEGIN
ECHO -- Initialisation des couches reseaux - Patienter SVP
wpeinit
:BEGIN
REM Localisation du media PE
FOR %%i IN (A B C D E F G H I J K L M N O P Q R S T U V W Y Z) DO
IF EXIST %%i:\SOURCES\Boot.wim SET MEDIAPE=%%i
CLS
ECHO *********************************************
ECHO * MENU DE DEMARRAGE WINPE (MediaPE = %MEDIAPE%:) *
ECHO *********************************************
ECHO .
ECHO 1 - Installation (Setup)
ECHO 2 - Capture (WDSCapture)
ECHO 3 - DISKPART
ECHO 4 - Reparer l'ordinateur
ECHO 5 - Gestion WIM (GImageX)
ECHO 6 - Connexion lecteur reseau
ECHO 7 - Intialisation reseau
ECHO 8 - Explorateur de fichiers
ECHO 9 - Quitter
ECHO .
CHOICE /C:123456789 /M "Taper le numero de votre choix "
IF ERRORLEVEL ==9 GOTO CHOIX9
GOTO END
:CHOIX9
ECHO Vous avez choisi Quitter
GOTO END
Page 61 / 409
:CHOIX8
ECHO Vous avez choisi Explorateur
X:\Tools\Explorer++.exe
GOTO BEGIN
:CHOIX7
ECHO Vous avez choisi Intialisation reseau
WPEUTIL INITIALIZENETWORK
IPCONFIG /ALL
PAUSE
GOTO BEGIN
:CHOIX6
ECHO Vous avez choisi Connexion lecteur reseau
ECHO .
SET /p IP=Entrer le nom ou l'adresse IP du serveur :
SET /p Partage=Entrer le nom du partage :
SET /p User=Entrer le nom d'utilisateur (Domain\Username) :
NET USE Z: \\%IP%\%Partage% /user:%User%
PAUSE
GOTO BEGIN
:CHOIX5
ECHO Vous avez choisi Gestion WIM (GImageX)
X:\Tools\GImageX.exe
PAUSE
GOTO BEGIN
:CHOIX4
CLS
ECHO Vous avez choisi Reparer l'ordinateur
\SOURCES\RECOVERY\RecEnv.exe
GOTO BEGIN
:CHOIX3
ECHO Vous avez choisi Diskpart
DISKPART
GOTO BEGIN
:CHOIX2
ECHO Vous avez choisi Capture
WDSCAPTURE.exe
GOTO BEGIN
:CHOIX1
ECHO Vous avez choisi Installation
\SOURCES\SETUP.exe
GOTO BEGIN
:END
Enregistrez ces modifications puis quittez le bloc-notes.

(Ce fichier fait partie de Fichiers_Complémentaires)
Du fait que ce menu utilise la commande "choice.exe", non incluse dans le
noyau WinPE , afin de réaliser ce petit menu de démarrage, il est nécessaire
d'en faire une copie
C:\DEPLOY> COPY C:\Windows\System32\choice.exe

MNT\Windows\System32\*.*
1 fichier(s) copié(s).
Page 62 / 409
Attention aux pièges : Nous sommes en présence d'un WinPE 64 bits et

notre modification est également réalisée sur un système 64 bits. Si le
WinPE/DVD modifié avait été "32 bits" vous auriez dû utiliser le binaire 32
bits situé dans "SysWOW64"
Valider les modifications du noyau WinPE
Sans cette opération, toutes vos modifications risquent d'être perdues 

Afin d'assurer un démontage correcte de l'image, vérifiez qu'aucun autre
explorateur ou invite de commande n'est ouvert sur les répertoires de
montage.
C:\DEPLOY> DISM /Unmount-Wim /MountDir:.\MNT /commit

Version : 6.1.7600.16385
Fichier image : C:\DEPLOY\DVD\Sources\boot.wim

Index de l’image : 2
Enregistrement de l’image
[==========================100.0%==========================]
Démontage de l’image
[==========================100.0%==========================]
A ce stade, le noyau WinPE (.\DVD\Sources\BOOT.wim) est modifié mais il

nous reste encore à l'injecter dans une "structure amorçable" sur CD/DVD,
USB ou encore WDS/PXE.
Optionnel : tester vos modifications
Pour tester si nos modifications sont opérationnelles, nous allons créer une
machine virtuelle de test dans l'environnement Hyper-V et lui affecter un
disque virtuel .VHD en guise de "pseudo disque USB"
Pour créer ce disque virtuel, nous nous appuierons sur la prise en charge
native des fichiers VHD par Windows 7 / 2008 R2. Pour cela, ouvrez une
invite de commande puis entrez les directives suivantes:
 MD VDisks
 DISKPART
 CREATE VDISK FILE="C:\VDisks\WINPEx64.vhd" MAXIMUM=4000
TYPE=EXPANDABLE
 ATTACH VDISK
 CLEAN
 CREATE PARTITION PRIMARY
 FORMAT FS=NTFS QUICK LABEL=USB
 ACTIVE
 ASSIGN LETTER=U
Page 63 / 409
 EXIT
 XCOPY C:\DEPLOY\DVD\*.* U:\ /S
 DISKPART
 SELECT VDISK FILE="C:\VDisks\WINPEx64.vhd"
 DETACH VDISK
 EXIT
 EXIT
C:\> MD VDisks
C:\> DISKPART

Sur l’ordinateur : WIN-UNE19OKICO3
DISKPART> CREATE VDISK FILE="C:\VDisks\WINPEx64.vhd" MAXIMUM=4000

TYPE=EXPANDABLE
DiskPart a correctement créé le fichier de disque virtuel.
DISKPART> ATTACH VDISK
DiskPart a correctement attaché le fichier de disque virtuel.
DISKPART> CLEAN
DISKPART> CREATE PARTITION PRIMARY
DISKPART> FORMAT FS=NTFS QUICK LABEL=USB
DISKPART> ACTIVE
DISKPART> ASSIGN LETTER=U

de montage.
DISKPART> EXIT
C:\> XCOPY C:\DEPLOY\DVD\*.* U:\ /S

….
993 fichier(s) copié(s
C:\> DISKPART
DISKPART> SELECT VDISK FILE="C:\VDisks\WINPEx64.vhd"
Page 64 / 409
DiskPart a correctement sélectionné le fichier de disque virtuel.
DISKPART> DETACH VDISK
DiskPart a correctement détaché le fichier de disque virtuel.
DISKPART> EXIT
Quitte DiskPart...
C:\> EXIT
 Créez une nouvelle machine virtuelle "Test_WPE" via le "Gestionnaire

Hyper-V" à partir du menu "Action … Nouveau … Ordinateur virtuel"
 Affectez "512" Mo de mémoire puis connectez le réseau virtuel "Interne

Hôte". Au niveau de l'écran de connexion du disque dur, cochez l'option
"Utiliser un disque dur existant" puis cliquez sur le bouton "Parcourir" afin de
sélectionner le fichier précédemment créé "C:\VDsiks\WINPEx64.vhd"
Page 65 / 409
 Cliquez sur le bouton "Terminer".

 Cliquez sur le bouton (vert) de démarrage de la machine virtuelle ou utilisez le
menu "Action".
N'ayant aucun autre périphérique d'amorçage, vous deviez voir
successivement les écrans d'initialisation de WinPE, puis le menu
(startbet.cmd) personnalisé précédemment.
Page 66 / 409
Cette machine virtuelle ayant été créée pour nos besoins de test, ne dispose
d'aucun disque dur pour l'installation du système, et nous nous contenterons
d'essayer les choix du menu sans achever les opérations. Utilisez les boutons
"Annuler" ou la croix de fermeture des fenêtres. Le système WinPE redémarre
lorsque vous fermerez le premier programme lancé, c’est-à-dire la fenêtre du
menu personnalisé.
La carte réseau utilise un pilote "VM Bus" intégré par défaut et non le pilote
ajouté durant la phase de personnalisation.
 Après avoir testé les différentes options, vous pourrez éteindre la machine
virtuelle via le bouton (carré noir) ou le menu "Action"
Page 67 / 409
Chapitre 3 : Préparation du poste de référence
Chapitre 3 : Préparation du poste de

référence
1. Introduction
Maintenant que vous avez découvert les mécanismes WinPE et les images
WIM, au travers Windows Server 2008 R2, nous allons analyser les
possibilités de personnalisation de Windows 7 en fonction de vos préférences
et besoins des postes de votre société.
L'approche pragmatique de cet ouvrage ne s'inscrit pas implicitement dans
une démarche globale de projet, ni de gestion du cycle de vie du poste de
travail. Ce chapitre n'a donc pour but avoué que de survoler les axes majeurs
de la personnalisation en amont et/ou en aval, tout en vous laissant libre de
vos choix.
En parcourant les processus d'installation et les dérivées possibles, nous

allons mettre en exergue plusieurs points stratégiques en matière de
déploiement, parmi lesquels nous pourrions citer sans exhaustivité :
 Les mécanismes d'amorçage / Les partitions
 Le choix d'un système 32 et/ou 64 bits, et de l'édition Professionnelle,
Entreprise ou Intégrale.
 La configuration des fonctionnalités et paramétrages du poste
 L'outil de préparation SYSPREP
Page 68 / 409
 L'intégration des pilotes du constructeur (Original Equipment Manufacturer)

 Le choix d'un type de licence et le mécanisme d'activation associé
 L'intégration des applications et leur compatibilité
 L'éventuel recours au "mode XP"
 Le média de déploiement (DVD / USB / PXE)
 L'emplacement des profils d'utilisateur
Tous ces exemples démontrent la complexité d'une telle étude. De nombreux
exemples et scénarios sont détaillés dans la documentation du kit de
déploiement WAIK, qui constitue une pièce fondamentale du projet de
déploiement. Plusieurs outils complémentaires y sont également référencés :
Cet ouvrage n'a pas pour vocation de traiter l'ensemble de ce puzzle

technique, mais à ce stade, il est souhaitable d'avoir réfléchi sur plusieurs
éléments clés tels que le nombre et la taille des partitions, les comptes locaux,
la politique d'installation des licences, la disponibilité des pilotes ainsi que les
applications à intégrer dans le poste de référence.
Bien que le contenu des images WIM soit techniquement modifiable, le
recours à une image de distribution personnalisée doit être opposé à sa
"maintenabilité". En effet, l'intégration des applications peut présenter un
avantage au début mais alourdir les processus de déploiement lorsque
celles-ci doivent être mise à jour. Il faut également prendre conscience que
lors de l'exécution de SYSPREP, que nous détaillerons plus loin dans ce
chapitre, un certain nombre d'éléments sont modifiés, tels que la désactivation
du compte local d'administrateur, la suppression de la licence et des pilotes
tiers ainsi que la réinitialisation du profil d'utilisateur par défaut.
Page 69 / 409
Le tableau suivant, non exhaustif, peut vous aider dans ces réflexions :
Eléments "Offline" ou Setup ou "Online" ou Post-

fichier .WIM sysprep installation
Clé de licence Injection via DISM Fichier de réponse SLMGR.vbs
Partitions N/A Opération Diskpart /
manuelle ou Diskmgmt.msc
Fichier de réponse
Applications Enumération N/A Installation via
possible via DISM .MSIEXEC ou
programmes
"Setup"
(Idéalement
automatisés)
Pilotes Injection via DISM Fichier de réponse PNPUtil
ou WDS
Packages Installation via Fichier de réponse WSAU.exe (.MSU)
DISM
Mises à jour Serveur WSUS
Profil Implique une Fichier de réponse GPO Préférences

d'utilisateur par régénération du (CopyProfile)
défaut fichier .WIM
Emplacement N/A Fichier de réponse N/A
des profils
d'utilisateurs
Emplacement N/A N/A GPO Classiques
des dossiers (Redirections)
d'utilisateurs
Sécurité Modifications N/A GPO (Stratégies
limitées via un de sécurité et/ou
montage .WIM Préférences)
Ou
Modification
"Defltbase.inf"
Ou régénération
du fichier .WIM
Gestion des Implique une Fichier de réponse GPO (Stratégies
comptes locaux régénération du de sécurité et/ou
fichier .WIM Préférences)
Depuis Vista, toutes les installations sont basées sur l'outil "SYSPREP" que
nous détaillerons plus loin dans ce chapitre. En fait le processus de
déploiement des versions précédentes de Windows était basé sur les
Page 70 / 409
programmes d'installation WINNT ou WINNT32, et les solutions utilisant l'outil

SYSPREP rendait la distribution dépendante du matériel.
L'installation et la préparation d'un poste de référence NT6 peut donc être

réalisée dans un environnement virtuel quelle que soit la plateforme de
destination, y compris physique..
Les processus de déploiement doivent prendre en considération de nombreux

facteurs, de l'existant à la cible. Nous rappellerons simplement que les outils
et moyens retenus doivent s'inscrire dans une méthodologie globale relative
au cycle de vie du poste travail dans l'entreprise.
2. Installation du poste de référence

Avant de poursuivre, assurez-vous de disposer d'une distribution Windows 7
ou d'avoir téléchargé la version d'évaluation de Windows 7 Entreprise (32 bits
et/ou 64 bits) à l'adresse suivante :
http://technet.microsoft.com/fr-fr/evalcenter/cc442495.aspx
A l'heure de la rédaction de ces lignes, la version d'évaluation de Windows

entreprise, disponible en téléchargement, n'intègre pas le service pack 1, ce
qui nous donnera l'occasion d'aborder un cas pratique sur l'intégration de
cette mise à jour particulière.
Vous pouvez télécharger le service pack 1 (KB976932), à l'adresse suivante
Page 71 / 409
http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=c3202ce6-
4056-4059-8a1b-3a9b77cdfdda
Vue la taille considérable de ces fichiers, vous pouvez ne récupérer que les
fichiers nécessaires:
windows6.1-KB976932-X86.exe - installe SP1 sur un ordinateur 32 bits
équipé de Windows 7.
windows6.1-KB976932-X64.exe - installe SP1 sur un ordinateur 64 bits
équipé de Windows 7 ou Windows Server 2008 R2.
2.1. La procédure d'amorçage - Les partitions
2.1.1. Gestion de l'amorçage
Pour rappel, depuis NT6, la procédure d'amorçage a complètement changé et

est principalement composée de
\bootmgr. : Le chargeur d'amorçage (approximativement ~ NTLDR. / NT5)
\Boot\BCD. : Le magasin de configuration (approximativement ~ boot.ini
/ NT5)
Les principaux outils de gestion de l'amorçage sont les suivants :
Outil / Commande Description Emplacement
BCDEDIT.exe Configurateur du Windows 7
magasin BCD
C:\Windows\System32\)
BCDBOOT.exe Régénère les fichiers Windows 7
d'amorçage
C:\Windows\System32\)
BOOTSECT.exe Régénère le secteur DVD:\Boot ou WAIK
d'amorçage
("/NT52" ou "/NT60")
Notez que si vous laissez la procédure d'installation gérer automatiquement

les disques, vous obtiendrez une partition d'amorçage (100 Mo) et le reste du
disque pour le système (généralement C:). Cette particularité de configuration
est en prévision d'un éventuel chiffrement intégral du disque système via
Bitlocker (Au demeurant, non supporté par les versions Professionnelles -
cqfd)
Cette configuration aura donc un impact sur les processus de "capture" et de
restauration des images que nous détaillerons plus tard.
Pour éviter ce type de configuration assistée, vous êtes contraint de créer les
partitions préalablement soit via un fichier de réponse XML pilotant le
programme "Setup" ou bien de recourir au noyau WinPE via [Maj]+[F10] puis
DISKPART
Rappel : Windows 7 ne peut être installé que sur une partition NTFS disposant
d'au moins 12 Go d'espace libre - Un minimum de 30Go est toutefois
préférable.
Page 72 / 409
Notez que sans évoquer les applications et données qui seront stockées dans
la partition système, les sources et les correctifs augmenteront
inexorablement l'espace utilisé par le système. (cf "\Windows\WinSxS")
Sachant que depuis Vista, les partitions peuvent être réduites ou étendues
dynamiquement (sous réserve de disposer d'un espace non alloué contigu à
la partition), il sera plus simple de réduire une partition que de libérer un
espace utilisé par une partition adjacente.
2.1.2. Démarrage sur disque virtuel
Les techniques d'amorçage à partitions multiples ne sont pas propres à

Windows 7. En revanche, la faculté de démarrer Windows 7 (version Intégrale
ou Entreprise) ou Windows Server 2008R2, directement sur un disque virtuel
est une réelle nouveauté. Pour cela il est nécessaire d'installer une amorce
NT6 sur un disque physique. Pour la création et l'installation du système sur le
disque virtuel, vous pouvez vous inspirer des techniques ci-après. L'utilisation
d'un disque virtuel pour le système peut simplifier la gestion des partitions
mais impliquera également quelques limitations, telles l'absence de fichier
d'échange et de mise en veille prolongée (hibernation).
Pour transformer un disque ou partition physique en disque virtuel, vous
pouvez recourir au logiciel gratuit "DISK2VHD", téléchargeable à l'adresse
suivante :
http://technet.microsoft.com/en-us/sysinternals/ee656415
Page 73 / 409
Le fichier .VHD obtenu, stocké dans une partition locale quelconque, pourra
ensuite être référencé dans le magasin d'amorçage de la partition système,
via BCDEDIT.
Exemple d'ajout d'une entrée VHD dans un magasin NT6 existant:
A partir d'une invite de commande en mode Administrateur, entrez les

 bcdedit /copy {default} /d "Windows 7 - VHD boot"
Copiez le numéro d'identification renvoyé et remplacez le champ {guid} des
commandes suivantes par cette valeur en incluant les accolades.
 bcdedit /set {guid} device vhd=[C:]\VDisks\WIN7.vhd
 bcdedit /set {guid} osdevice vhd=[C:]\VDisks\WIN7.vhd
Pour certains systèmes 32 bits, il est parfois nécessaire de forcer la détection
du matériel via la commande suivante :
 bcdedit /set {guid} detecthal on
Pour changer le système de démarrage par défaut, utilisez la commande
suivante :
 bcdedit /default {guid}

C:\bcdedit /copy {default} /d "Windows 7 - VHD boot"
L’entrée a été correctement copiée dans {79f52145-69a4-11e0-8258-
0024e84416b3}.
C:\bcdedit /set {79f52145-69a4-11e0-8258-0024e84416b3} device

vhd=[C:]\VDisks\WIN7.vhd
L’opération a réussi
C:\bcdedit /set {79f52145-69a4-11e0-8258-0024e84416b3} osdevice

vhd=[C:] \VDisks\WIN7.vhd
L’opération a réussi
Page 74 / 409
Rappel : Dans le cas de partitions multiples, il faut donc distinguer la partition

d'amorçage de la partition qui contient le système. Pour un disque à secteur
de démarrage principal (MBR), la partition "principale active" contient les
fichiers d'amorçage (BOOTMGR, BCD…) et est identifiée "Système" alors
que l'autre partition (Principale ou étendue) contient le système (Windows) et
est notée "Démarrer" !!...
2.2. Installer sans utiliser le programme Setup par défaut

La simplicité de la procédure d'installation via le DVD original ne nécessite
pas d'explications mais pour varier quelque peu les plaisirs, et ouvrir de
nouveaux horizons, nous vous proposons d'installer Windows 7 en mode
manuel. Autrement dit, en s'appuyant sur les trois étapes préliminaires de
l'installation :
 Création et formatage des partitions (via Diskpart ou Diskmgmt.msc)
 Extraction de la distribution "Install.wim" (via GImageX)
 Génération des fichiers d'amorçage (via Bcdboot)
Pour cela, vous devez disposer d'une distribution INSTALL.wim (Par exemple,
l'image ISO d'un DVD original fera l'affaire) ainsi que d'un noyau WinPE, et de
l'outil GimageX. Noter que contrairement à la procédure standard, cette
méthode permet d'installer n'importe quelle image comme bon vous semble, y
compris l'image d'un système 64 bits à partir d'un WinPE x86, pour peu que la
destination soit correctement préparée (Format NTFS et chargeur d'amorce).
2.2.1. Scénario 1 : Peuplement d'un disque virtuel (x86)
Pour cette procédure, nous allons préparer un disque virtuel .VHD qui sera
ensuite affecté à la machine virtuelle de référence. (Ce disque virtuel pourrait
également être affecté à une plateforme physique, conformément à la
méthode de démarrage évoquée précédemment)
1°/ Création du disque .VHD
Ouvrez une invite de commande en tant qu'administrateur, puis entrez les

commandes suivantes
 DISKPART
 CREATE VDISK FILE="C:\Hyper-V\VHDs\W7x86-REF.vhd"
MAXIMUM=80000 TYPE=EXPANDABLE
 ATTACH VDISK
 CLEAN
 FORMAT FS=NTFS QUICK LABEL=W7x86-REF
 ACTIVE
 ASSIGN LETTER=S
 EXIT
Page 75 / 409

C:\> DISKPART

DISKPART> CREATE VDISK FILE=" C:\Hyper-V\VHDs\W7x86-REF.vhd"

MAXIMUM=80000 TYPE=EXPANDABLE
DiskPart a correctement créé le fichier de disque virtuel.
DISKPART> ATTACH VDISK
DiskPart a correctement attaché le fichier de disque virtuel.
DISKPART> CLEAN
DISKPART> CREATE PARTITION PRIMARY SIZE=40000
DISKPART> FORMAT FS=NTFS QUICK LABEL= W7x86-REF
DISKPART> ACTIVE
DISKPART> ASSIGN LETTER=S

de montage.
DISKPART> EXIT
2°/ Extraction de la distribution
A partir de l'explorateur Windows, sélectionnez le le fichier .iso de la

distribution Windows 7 téléchargée puis montez-le via VirtualCloneDrive.
 Exécutez ensuite le programme
"C:\DEPLOY\DL\GImageX\install\x64\gimagex.exe", puis sélectionnez l'onglet
"Apply". Utilisez les boutons "Browse" pour sélectionner respectivement la
source "F:\Sources\install.wim" (correspondant à l'image ISO actuellement
montée dans VirtualCloneDrive) puis la destination "S:" (Lettre arbitraire
affectée provisoirement au disque dur virtuel)
Page 76 / 409
 Vous pouvez utiliser le bouton "Select" pour vérifier le contenu du fichier WIM.
(Cette distribution ne contient qu'une seule image). La valeur du champ
"Image" est donc "1".
 Cliquez sur le bouton "Apply" pour débuter le processus d'extraction de
l'image.
Page 77 / 409
Le processus dure quelques minutes puis s'achève par le message suivant
 Cliquez sur le bouton "Close" puis fermez l'outil GImageX.
Page 78 / 409
3°/ Ajout des fichiers d'amorçage
Ouvrez une invite de commande en tant qu'Administrateur, puis entrez la

commande suivante
 BCDBOOT S:\windows /s S: /l fr-fr

C:\> BCDBOOT S:\windows /s s: /l fr-fr
Les fichiers de démarrage ont bien été créés.
4°/ Création de la machine virtuelle
Détachez le disque virtuel via les commandes suivantes

 DISKPART
 SELECT VDISK FILE="C:\Hyper-V\VHDs\W7x86-REF.vhd"
 DETACH VDISK
 EXIT

C:\> DISKPART

DISKPART> SELECT VDISK FILE=" C:\Hyper-V\VHDs\W7x86-REF.vhd"
DiskPart a correctement sélectionné le fichier de disque virtuel.
DISKPART> DETACH VDISK
DiskPart a correctement détaché le fichier de disque virtuel.
DISKPART> EXIT
 A partir du "Gestionnaire Hyper-V", créez un nouvel ordinateur virtuel nommé

"W7x86-Ref". Affectez-lui un minimum de "512 Mo" de mémoire, connectez-le
au réseau virtuel "INTERNE HOTE".
 Au niveau de la fenêtre "Connecter du disque dur virtuel", sélectionnez
l'option "Utiliser un disque virtuel existant" et utilisez le bouton "Parcourir"
afin de sélectionner le disque virtuel précédemment créé "C:\Hyper-
V\VHDs\W7x86-REF.vhd". Cliquer sur le bouton "Terminer"
Page 79 / 409
 Utilisez ensuite le bouton (vert) de démarrage de la machine virtuelle.

L'ordinateur virtuel devrait démarrer directement la seconde phase
d'installation
Puis affiche ensuite la phase finale de configuration OOBE
Page 80 / 409
Cette phase finale d'installation reste à votre discrétion. Nous reviendrons sur
l'automatisation de ces phases d'installation dans le prochain chapitre.
2.2.2. Scénario 2 : A partir du DVD original et d'un partage en réseau

(x64)
Dans ce cas d'étude, nous envisageons de démarrer la machine virtuelle à

partir de l'image ISO du DVD original Windows 7 - 64 bits. Ne disposant pas
de l'outil GimageX, nous utiliserons le réseau virtuel "Interne hôte" pour y
accéder. Cette approche montre qu'un noyau générique de WinPE à besoin
des pilotes essentiels, tel que le support réseau. A partir de là, les outils
annexes et les distributions peuvent être repris à partir d'une ressource
partagée sur le réseau.
1°/ Disponibilité des outils dans un répertoire partagé.
Si vous avez effectué l'atelier du deuxième chapitre, l'outil GimageX a déjà

été extrait dans le répertoire "C:\Deploy\DL\GimageX". Il ne vous reste donc
plus qu'à partager ce répertoire via l'explorateur, la console de partage ou
encore via une invite de commande comme suit :
 NET SHARE DEPLOY=C:\DEPLOY
C:\> NET SHARE DEPLOY=C:\DEPLOY

DEPLOY a été partagé.
Page 81 / 409
2°/ Création de la machine virtuelle
 A partir du "Gestionnaire Hyper-V", créez un nouvel ordinateur virtuel nommé

"W7x64-Ref". Affectez-lui un minimum de "512 Mo" de mémoire, connectez-le
au réseau virtuel "INTERNE HOTE".
 Au niveau de la fenêtre "Connecter du disque dur virtuel", conservez
l'option "Créer un disque dur virtuel" et le nom proposé par défaut "W7x64-
Ref.vhd" et utilisez éventuellement le bouton "Parcourir" pour définir le
dossier de stockage du disque virtuel "C:\Hyper-V\VHDs\". Entrez une taille
d'au moins "40 Go" puis cliquez sur le bouton "Suivant".
 Au niveau de la fenêtre "Option d'installation", choisissez "Installer un

système d'exploitation à partir d'un CD/DVD-ROM de démarrage", puis
sélectionnez l'option "Fichier image (.iso)" et utilisez le bouton "Parcourir"
afin de localiser le fichier .iso correspondant à la version d'évaluation de
Windows 7 x64 Entreprise, téléchargé précédemment.
Page 82 / 409
 Cliquez sur le bouton "Terminer".

 Ouvrez ensuite une console sur cette machine virtuelle et démarrez cette
dernière. (Le disque dur virtuel étant vierge, la machine n'aura d'autre choix
que de démarrer sur l'image .iso que vous avez inséré via l'assistant de
création)
Suite au démarrage du noyau WinPE, le processus initial débute par
l'initialisation de la langue et clavier d'installation. (Correspond au programme
"\Setup.exe" situé à la racine - Au besoin, reportez-vous au schéma du
chapitre précédent décrivant la structure du DVD original)
Page 83 / 409
 Vérifiez les valeurs puis cliquez sur le bouton "Suivant"

Ayant démarré à partir d'un DVD original de Windows 7, le processus se
poursuit donc par l'écran d'installation et/ou de réparation.
Page 84 / 409
Ne fermez pas cette fenêtre initiale sous peine de déclencher un redémarrage

de la machine.
3°/ Créer la partition de destination du système Windows 7.
Pour cela, après avoir sollicité l'invite de commande WinPE via la combinaison
des touches [MAJ] + [F10], exécutez les instructions suivantes:
 DISKPART
 LIST DISK
 SELECT DISK 0
 CLEAN
 ACTIVE
 FORMAT FS=NTFS LABEL=W7-SYS QUICK
 ASSIGN LETTER=C
 EXIT
X:\Sources> DISKPART

Sur l’ordinateur : MININT-LC7NFAP
DISKPART> LIST DISK
N° disque Statut Taille Libre Dyn GPT

--------- ------------- ------- ------- --- ---
Disque 0 En ligne 39 G octets 39 M octets
DISKPART> SELECT DISK 0
Le disque 0 est maintenant sélectionné.
DISKPART> CLEAN
Diskpart a réussi à nettoyer le disque.
DISKPART> CREATE PARTITION PRIMARY SIZE=40000
Diskpart a réussi à créer la partition spécifiée.
DISKPART> ACTIVE
Diskpart a indiqué la partition actuelle comme étant active.
DISKPART> FORMAT FS=NTFS LABEL=W7-SYS QUICK
DISKPART> ASSIGN LETTER=C

de montage.
Page 85 / 409
DISKPART> EXIT
X:\Sources>
Nous allons ensuite initialiser la couche réseau afin de connecter le lecteur

réseau contenant les ressources nécessaires en procédant comme suit:
 STARTNET
 IPCONFIG
 NET USE Z: \\192.168.255.254\DEPLOY /USER:Administrateur
Pa$$w0rd
X:\Sources> STARNET
X:\Sources> wpeinit
X:\Sources> IPCONFIG
Configuration IP de Windows
Carte Ethernet Connexion au réseau local :
Suffixe DNS propre à la connexion. . . :

Adresse IPv6 de liaison locale. . . . .:
fe80::f058:5077:b2d6:80f8%2
Adresse IPv4. . . . . . . . . . . . . .: 192.168.255.10
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
X:\Sources> NET USE Z: \\192.168.255.254\DEPLOY

/USER:Administrateur Pa$$w0rd
La commande s'est terminée correctement.
X:\Sources>
4°/ Extraction de l'image .WIM vers la partition de destination.
Exécutez ensuite le programme (x64) suivant:

 Z:\DL\GImageX\install\x64\gimagex.exe
 Sélectionnez l'onglet "Apply". Utilisez les boutons "Browse" pour sélectionner

respectivement la source "D:\Sources\install.wim" (correspondant à l'image
ISO actuellement montée dans le lecteur CD de la machine virtuelle) puis la
destination "C:" (Lettre arbitraire affectée provisoirement au disque dur virtuel)
Page 86 / 409
Notez que dans notre exemple, nous laisserons le numéro d'index "Image"
sur la valeur "1". Cela n’implique pas que le fichier de distribution "install.wim"
ne contient qu'une seule image (mais il y en toujours au moins une) : Vous
pouvez utiliser le bouton "Select..." ou l'onglet "Info" puis le bouton "Get info"
pour vous assurer du contenu et le cas échéant choisir une autre Image en
indiquant simplement le numéro.
 Cliquez sur le bouton "Apply" pour débuter le processus d'extraction de
l'image.
Notez également que nous avons supprimé toutes les données du disque
(CLEAN - FORMAT) car contrairement au programme d'installation original
"setup", l'extraction WIM via Imagex/GImageX ne préserve pas un éventuel
système existant dans "Windows.old".
 Après quelques minutes un message vous indique que le processus est
terminé. Utilisez le bouton "Close" pour fermer la fenêtre puis quittez le
programme GImageX
Page 87 / 409
5°/ configurer l'amorçage
La dernière étape consiste à configurer l'amorçage du système fraichement

pré-installé. En effet, contrairement au programme initial d'installation "Setup",
l'extraction du fichier WIM ne se charge pas de configurer les fichiers
nécessaires à l'amorçage du système.
Depuis WinPE 3, cette opération peut être est réalisée simplement par la
commande suivante :
 BCDBOOT C:\Windows /L fr-FR
X:\Sources> BCDBOOT C:\Windows /S C: /L fr-FR

Si le paramètre "/S" est omis, le secteur d'amorçage est défini sur la partition
active
Le paramètre /L permet de préciser la langue lors du démarrage. Par défaut
"en-us" affichera "Starting Windows" alors que la valeur "fr-fr" indiquera
"Démarrage de Windows"
Vous pouvez vérifier la présence et le contenu du magasin d'amorçage via les
 DIR C:\BOOT\BCD /A
 BCDEDIT /enum
Page 88 / 409
X:\Sources> DIR C:\BOOT\BCD /A

Le volume dans le lecteur C s'appelle W7-SYS
Le numéro de série du volume est 10ED-AF26
Répertoire de C:\boot
27/04/2011 15:37 24 576 BCD

1 fichier(s) 24 576 octets
0 Rép(s) 34 574 503 936 octets libres
X:\Sources> BCDEDIT /enum
Gestionnaire de d‚marrage Windows

---------------------------------
identificateur {bootmgr}
device partition=C:
description Windows Boot Manager
locale fr-FR
inherit {globalsettings}
default {default}
resumeobject {7f03516e-70db-11e0-bd3b-00155d001a04}
displayorder {default}
toolsdisplayorder {memdiag}
timeout 30
Chargeur de d‚marrage Windows

-----------------------------
identificateur {default}
device partition=C:
path \Windows\system32\winload.exe
description Windows 7
locale fr-FR
inherit {bootloadersettings}
osdevice partition=C:
systemroot \Windows
resumeobject {7f03516e-70db-11e0-bd3b-00155d001a04}
nx OptIn
detecthal Yes
X:\Sources>
Note : Le processus de préparation de la partition ayant été réalisé à partir

de DISKPART sous WinPE (NT6), il n'est pas nécessaire d'inscrire le secteur
d'amorçage principal (cf BOOTSECT)
Fermez toutes les fenêtres, y compris la boite de dialogue vous demandant

d'annuler l'installation de Windows, ce qui devrait avoir pour effet de
redémarrer la machine virtuelle. N'appuyez sur aucune touche afin de laisser
la machine virtuelle démarrer normalement et poursuivre son processus
d'installation …
Un second redémarrage aura lieu automatiquement après cette première

phase d'initialisation des services et périphériques.
Page 89 / 409
La phase finale d'installation reste à votre discrétion. Nous reviendrons sur

l'automatisation de ces phases d'installation dans le prochain chapitre.
Page 90 / 409
2.3. Configuration du poste de référence

Ces actions sont à réaliser dans l'une ou l'autre des machines virtuelles
précédemment installées:
 W7x86-REF
 W7x64-REF
Toutefois, avant d'aborder ces procédures de personnalisation, il convient de
rappeler que le choix d'une personnalisation en amont engendre des
contraintes de maintenabilité de l'image. Vous devez donc en exclure les
réglages susceptibles d'évoluer rapidement, tels que les choix propres à la
sécurité du poste ou à l'environnement utilisateur.
Dans le cadre d'un déploiement au sein d'une architecture de domaine Active
Directory, il est recommandé de privilégier les réglages via les stratégies de
groupe. Sans vous développer plus avant ce sujet très vaste, notez que les
"préférences de stratégies", apparues avec Windows Serveur 2008, sont de
précieux alliés pour la configuration aval et dynamique des postes et
utilisateurs. La précision des réglages et le ciblage graphique de paramètres
peut pratiquement éviter le recours à des scripts complexes s'appuyant sur la
technologie WMI.
De plus, au cas où vous l'ignoreriez, sachez que les préférences sont
rétroactivement supportées par Windows XPsp2 et Vista quel que soit le
mode fonctionnel de ce dernier, sous réserve d'appliquer le correctif
KB943729 sur ces postes. Pour gérer ces nouvelles options, il suffira d'un
simple poste membre du domaine, Vista ou Windows 7 sur lequel la
fonctionnalité "Gestion des stratégies de groupe" aura été installé. (Cf "Détail
de la fonctionnalité additionnelle RSAT" de chapitre)
Pour découvrir cette nouvelle capacité des stratégies de groupe, nous vous
invitons à consulter "Présentation des GPO préférences" à l'adresse suivante :
http://www.mslive.fr/dossiers-1-Presentation-des-GPO-preferences-sous-
Windows-Server-2008.aspx
Les manipulations suivantes sont donc indiquées à titre d'exemple, et restent

à votre appréciation.
2.3.1. Préparation initiale.
Idéalement, il est souhaitable que la préparation du poste de référence soit

réalisée sur un ordinateur membre d'un groupe de travail. L'appartenance à
un domaine peut apporter des contraintes de sécurité et l'adhésion sera
rompue lors de l'exécution de la commande "sysprep"
Les comptes locaux
Afin d'éviter les contraintes de sécurité liées au contrôle de compte utilisateur

(UAC), il conviendra de réactiver le compte "Administrateur intégré" sur le
poste maitre.
Ce compte sera de nouveau désactivé lors de l'exécution de la commande
"sysprep".
Page 91 / 409
Une fois le compte "Administrateur intégré" réactivé, nous procéderons à la

suppression du compte utilisé durant l''installation (Administrateur équivalent).
En fait, à moins de renseigner un fichier de réponse, le processus
d'installation redemandera la création de ce compte.
Précisions sur les SID
Ouvrez une invite de commande en tant qu'administrateur, en acceptant

l'élévation de privilège.
Puis entrez la commande suivante :

 WMIC USERACCOUNT GET DISABLED,NAME,SID
C:\windows\system32> WMIC USERACCOUNT GET DISABLED,NAME,SID

Disabled Name SID
TRUE Administrateur S-1-5-21-1540217749-2647765598-
542249010-500
TRUE Invité S-1-5-21-1540217749-2647765598-
542249010-501
FALSE Root S-1-5-21-1540217749-2647765598-
542249010-1000
Cette commande permet d'obtenir des informations sur l'identifiant de sécurité

unique SID de chaque utilisateur. Le compte dont l'identifiant se termine par
"500" est le compte d'administration intégré et l'on peut constater que son état
actuel est "désactivé" (Disabled=True). Le compte dont l'identifiant se termine
par "1000" est le premier compte d'utilisateur créé (normalement durant la
phase d'installation initiale). Le préfixe "S-1-5-21" indique qu'il s'agit d'un
compte d'utilisateur. Les 30 chiffres (3x10) situés entre le quatrième et le
dernier tiret sont liés à l'identifiant unique de la base de compte, soit une
machine, soit un domaine. Cet identifiant est régénéré aléatoirement lors de
l'exécution de la commande "sysprep /generalize". (C'est pour cette raison
que la commande "sysprep" est strictement interdite sur un contrôleur de
domaine)
Vous pouvez également recourir à la commande "WHOAMI" afin d'obtenir des
informations intéressantes, sur votre compte actuel ainsi que ces groupes
d'appartenance et de nombreux renseignements sur vos identifiants en cours.
WHOAMI
WHOAMI /GROUPS
WHOAMI /?
Page 92 / 409
C:\windows\system32> WHOAMI
W7x86-REF\Root
C:\windows\system32> WHOAMI /GROUPS

Informations de groupe
----------------------
Nom du groupe Type

SID Attributs
============================================== =================
Tout le monde Groupe bien connu
BUILTIN\Administrateurs Alias
BUILTIN\Utilisateurs Alias
AUTORITE NT\INTERACTIF Groupe bien connu
OUVERTURE DE SESSION DE CONSOLE Groupe bien connu
AUTORITE NT\Utilisateurs authentifiés Groupe bien connu
AUTORITE NT\Cette organisation Groupe bien connu
LOCAL Groupe bien connu
AUTORITE NT\Authentifications NTLM Groupe bien connu
Etiquette obligatoire\Niveau obligatoire élevé Nom
Remarquez que la dernière ligne de cette commande indique "Niveau

obligatoire élevé". Cela signifie que ce processus d'invite de commande est
en mode "administrateur". Si ce n'était pas le cas, la ligne contiendrait
"Niveau obligatoire moyen", indiquant que le processus s'exécute avec un
niveau de privilège "d'utilisateur standard"
Vous pouvez procéder aux opérations requises sur ces comptes via l'interface
graphique de "Gestion de l'ordinateur" ou plus directement via la console
"LUSRMGR.msc".
Ces opérations peuvent aussi être réalisées en ligne de commande :

Enumérer les comptes d'utilisateur
NET USER
Affecter un mot de passe à compte d'utilisateur donné

NET USER Administrateur Pa$$w0rd
Afficher les détails d'un compte d'utilisateur donné

NET USER Administrateur
Réactiver un compte d'utilisateur donné

NET USER Administrateur /ACTIVE:YES
 Supprimer un compte d'utilisateur donné
Page 93 / 409
 NET USER Root /DELETE

Fermer la session active
LOGOFF
La commande de réactivation du compte d'administration peut être exécutée

lors du traitement d'un fichier de réponse en la faisant précéder de
l'interpréteur "CMD /C ". Dans ce cas, le compte est encore en anglais
CMD /C NET USER ADMINISTRATOR
Une fois que vous aurez ouvert une nouvelle session avec le compte
"Administrateur intégré", nous procéderons, une fois n'est pas coutume, à une
modification du registre.
Cette opération facultative permet de lever les contraintes liées au contrôle de
compte utilisateur (UAC). Vous pouvez utiliser l'outil graphique REGEDIT.exe
ou ouvrir une invite de commande (implicitement Administrateur) et exécuter
la commande suivante :
REG ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Polici
es\System /v FilterAdministratorToken /t REG_DWORD /d
0 /f
De la même manière que précédemment, cette commande peut être intégrée

dans un fichier de réponse en la faisant précéder de l'interpréteur "CMD /C ".
cmd /c reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Polici
es\System /v FilterAdministratorToken /t REG_DWORD /d
0 /f
2.3.2. Installation des mises à jour et du service pack 1
Pour les systèmes NT6, la technique d'intégration d'un service pack au sein
des sources originales (technique du "slipstreaming" employé sur les versions
précédentes de Windows) n'est plus supportée.
Installation du service pack 1 (Online)
Le service pack 1 pour Windows 7 / 2008R2 est référencé dans le document

technique KB976932.
N'étant distribué que sous forme d'exécutable, nous allons donc procéder à
son installation sur le poste de référence.
Pour cela, connectez un lecteur réseau vers votre machine physique afin
d'accéder aux fichiers du service pack précédemment téléchargés et déposés
par exemple dans le dossier "C:\Deploy\DL". (Le dossier DEPLOY est déjà
partagé si vous avez effectué l'atelier du scénario 2)
Page 94 / 409
NET USE Z: \\192.168.255.254\DEPLOY

Exécutez le programme d'installation du service pack, selon l'architecture de

machine virtuelle retenue, 32 ou 64 bits:
Z:\DL\windows6.1-KB976932-X86.exe
ou
Z:\DL\windows6.1-KB976932-X64.exe
 Cliquez sur le bouton "Suivant", laissez la case "Redémarrer

automatiquement l'ordinateur" cochée puis cliquez le bouton "Installer"
pour procéder à l'installation. Ce processus est particulièrement long
Notez qu'il est également possible d'automatiser cette mise à jour en

stipulant des commutateurs à la suite du programme d'installation du service
pack. (Utilisez "/?" pour afficher ces options)
Page 95 / 409
Le commutateur "-X" non documenté, permet d'extraire l'ensemble des fichiers

du service pack dans un dossier de votre choix.
En théorie, l'intégration du service pack aurait pu se faire ainsi:
DISM /Mount-Wim
/WimFile:C:\DEPLOY\DVD\sources\install.wim /index:1
/MountDir:C:\DEPLOY\MNT
DISM /image:C:\DEPLOY\MNT /Add-Package

/PackagePath:C:\SP1
DISM /unmount-wim /mountdir:C:\DEPLOY\MNT /commit
Malheureusement, cette procédure ne fonctionne pas pour ce service pack.

En fait, en analysant le contenu de quelques fichiers, on pourrait constater
que certaines directives, telles que "allowedOffline=”false”", semblent
interdire formellement l'intégration au sein d'un fichier WIM "Offline". A ce
jour, aucun document technique de Microsoft ne commente précisément les
raisons de cette contrainte.
Installation du service pack 1 (Offline)
Une alternative officieuse, non supportée par Microsoft, consiste à utiliser le

produit gratuit RT7Lite. (Certains d'entre vous connaissaient peut être déjà
son équivalent pour Windows XP dénommé "NLite" ou "VLite" pour Vista) -
Ces outils permettent de personnaliser les sources de distribution Windows
via une interface graphique (Gestion des pilotes, intégration des mises à jour,
service pack, composants Windows, génération de l'ISO…)
Page 96 / 409
Cet outil est disponible à l'adresse suivante :

http://www.rt7lite.com/
Version 32 bits : http://www.pub.rt7lite.com/7lite-rc-beta-1726-dec6-10-
stable/rt_7_lite_win7_Vista_x86_sp1.exe
L'utilisation de cet outil requiert l'installation préalable du kit de déploiement

WAIK
La version RT7Lite Beta Build 2.6.0 propose un mécanisme d'intégration du
service pack au sein du fichier WIM à partir du fichier de mise à jour
"Windows6.1-KB976932-xx.EXE".
Page 97 / 409
Bien que très conviviale, cette procédure étant sans garantie Microsoft, nous
ne détaillerons pas sa mise en œuvre et nous laisserons le choix de son
éventuelle utilisation à votre discrétion.
Installation des mises à jour
Comme mentionné précédemment, les mises à jour d'un système

opérationnel, peuvent être réalisées automatiquement via les services
Windows Update et/ou à la demande à partir des packages correspondants.
Un package peut être un correctif généralement délivré au format .CAB en
mode autonome ou une extension des fonctionnalités du système
généralement délivré au format .MSU. Par défaut cette extension de fichier est
associée à l'outil le "WUSA.exe" dénommé "Programme d'installation
Windows Update en mode autonome".
La nomenclature de noms indique le système concerné (Windows6.x), la
référence document technique (KB…) et la plateforme concernée (x86 ou x64)
Voici quelques exemples d'extensions des fonctionnalités pour Windows 7
 "Windows6.1-KB958559-x86.msu" correspond à "Windows Virtual PC"
Windows 7 32 bits
 " Windows6.1-KB958830-x64-RefeshPkg.msu" correspond aux "Outils
d’administration de serveur distant" (RSAT) pour Windows 7 64 bits. La
mention "RefeshPkg" précise la prise en charge du Service Pack 1"
La commande suivante ne renvoie que les correctifs propres au système :

WMIC QFE LIST BRIEF
La liste complète des packages installés peut être obtenue via la commande :
DISM /Online /Get-Packages
Vous pouvez obtenir le détail d'un package via la commande :

dism /online /Get-PackageInfo
/PackagePath:NomDuPackage.cab
ou
dism /online /Get-PackageInfo
/PackageName:IdentitéDuPackage
L'identité du package est le nom complet de ce dernier renvoyé par l'option

"Get-Package"
Page 98 / 409
L'inconvénient majeur de cette technique de gestion en ligne de commande

est la quantité des détails renvoyés et les noms complexes affecté aux
identités des packages. En effet, un même package peut être constitué de
plusieurs "sous-packages" associés ou dépendances.
Notez que la désinstallation d'un package donné via l'option "Remove-
Package" engendre la désinstallation des packages associés.
La liste "simplifiée" des packages "maitres" installés est également disponible
dans le panneau de configuration, sous le lien "Mise à jours installées" dans
la rubrique "Programmes et fonctionnalités".
Vous pouvez également utiliser cette fenêtre pour désinstaller une mise à jour.
La gestion des packages au format .CAB ou .MSU peut être réalisée en ligne
de commande :
 Online
Ajouter un package de mise à jour sur le système en cours
DISM /Online /Add-package
/PackagePath:C:\DEPLOY\PACKS\fichier.CAB
ou
DISM /Online /Add-package /PackageName
Supprimer un package de mise à jour sur le système en cours
Page 99 / 409
DISM /Online /Remove-package

/PackagePath:C:\DEPLOY\PACKS\fichier.CAB
 Offline :
Effectuez le montage de l'image
DISM /Mount-Wim
Ajouter le package de mise à jour

/PackagePath:C:\DEPLOY\PACKS
Validez les changements

Attention, cette opération est à renouveler au besoin pour chaque index

d'image contenu dans le fichier .WIM.
 Setup
L'ajout des packages peut également être réalisé via le fichier de réponse du
programme d'installation durant la phase "OfflineServicing"
Notez que du fait que les installations automatisées imposent le format .CAB
uniquement, il est possible d'extraire le contenu d'un fichier .MSU via la
commande :
EXPAND -f:* NomDuFichier.msu DossierDestination
L'installation d'un package additionnel par ce mécanisme nécessite que ce

dernier soit disponible sur le média de distribution (local ou partage réseau) ou
intégré dans l'image .WIM
2.3.3. Installation d'un pack de langue
La génération Windows NT6 a été développée dans un cadre d'indépendance

du langage d'utilisation. Autrement dit, les références aux noms (fichiers,
dossiers, compte) sont par défaut en anglais et sont ensuite traduits dans la
languie d'utilisation du système (localisation).
Windows 7 / 2008R2 propose 35 langues
On distinguera 2 niveaux de traduction :
Page 100 / 409

 La langue du système : Définie lors de l'installation - Un pack de langue peut

être ajouté à n'importe quelle distribution - Elle s'applique à l'ensemble des
utilisateurs de l'ordinateur.
 La langue d'utilisateur : Ce réglage n'est applicable qu'aux versions
Windows 7 Entreprise et Intégrale, ainsi qu'aux versions "Serveur".
Quelques identifiants linguistiques :
Langue - Pays Référence ID ID Hexa
Décimal
French - France Fr-FR 1036 40C
English - United States En-US 1033 409
German Germany De-DE 1031 407
Spanish Spain Es-ES 3082 C0A
L'ajout d'un pack linguistique peut être réalisé selon 2 techniques suivantes
 Online :
Consiste à installer le pack de langue sur via le panneau de configuration
"Installer ou désinstaller des langues d'affichage". Sélectionnez ensuite le
support ou le dossier contenant les fichiers "lp.cab"
En ligne de commande via DISM à l'instar d'un package.

DISM /Online /Add-Package
/PackagePath:C:\LangPacks\en-US\lp.cab
Page 101 / 409

 Offline : Consiste à Installer le pack de langue (lp.cab) dans l'image WIM via
DISM
Effectuez le montage de l'image
DISM /Mount-Wim
Ajouter le pack de langue

/PackagePath:C:\LangPacks\en-US\lp.cab
Il est également possible de définir la langue par défaut utilisée durant

l'installation via la commande
DISM /image:C:\DEPLOY\MNT /Set-SetupUILang:en-US
Attention, ces opérations sont à renouveler au besoin pour chaque index

Validez les changements

Le téléchargement des packs des linguistiques peut s'effectuer de plusieurs

manières :
 via les mises à jour automatiques facultatives sur un système opérationnel,
uniquement pour les versions Entreprise, Intégrale ou "Serveur" dont la
licence est activée (Authentique).
 Au format .ISO (~2,7Go) à partir du site d'abonné Microsoft Technet ou
Contrat de licence. Le site public "Microsoft Download Center" ne permet
pas d'obtenir ces packs pour Windows 7 mais propose celui de Windows
Server 2008 R2 SP1 à l'adresse suivante :
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=4a7c3bfb-
61bd-4a59-aa9d-7a91448f82a8
Le pack linguistique doit être en version égale ou supérieure à la version
technique du système (NT 6.x.y).
2.3.4. Configuration des fonctionnalités
Dans la même logique que les opérations précédentes, il peut être intéressant
de personnaliser les fonctionnalités Windows mises par défaut à disposition
des utilisateurs.
Page 102 / 409

Nous devrons cependant distinguer les fonctionnalités disponibles dans la

distribution originale de celles apportées par l'ajout d'un package
complémentaire.
Notez qu'à l'instar d'un service système, une fonctionnalité originale ne peut
être supprimée mais uniquement désactivé. Pour désinstaller une
fonctionnalité additionnelle vous devrez supprimer le package correspondant
via la commande DISM. Attention aux dépendances.
Remarque : La notion de "rôle" utilisée par les versions "serveur" est gérée
de la même manière que les fonctionnalités (Feature).
L'activation ou désactivation des fonctionnalités peut être réalisée aux niveaux
suivants :
 Online Activer / Désactiver les fonctionnalités (ou rôles) sur un système
opérationnel,
 via l'interface graphique du panneau de configuration
Page 103 / 409

 via la ligne de commande :

Pour énumérer la liste des fonctionnalités disponibles sur le système actuel
DISM /Online /Get-Features
Pour activer ou désactiver une fonctionnalité (précisez le nom exact de la

fonctionnalité)
DISM /Online /Enable-Feature /FeatureName:Nom
DISM /Online /Disable-Feature /FeatureName:Nom
 Offline Activer / Désactiver les fonctionnalités dans l'image WIM via DISM
Effectuez le montage de l'image
DISM /Mount-Wim
Enumérez la liste des fonctionnalités disponibles dans l'image montée

DISM /image:C:\DEPLOY\MNT /Get-Features
Activez ou désactivez une fonctionnalité (précisez le nom exact de la

fonctionnalité)
DISM /image:C:\DEPLOY\MNT /Enable-Feature
/FeatureName:Nom
DISM /image:C:\DEPLOY\MNT /Disable-Feature

/FeatureName:Nom
Validez les changements

 Setup : Activer / Désactiver les fonctionnalités via le fichier de réponse

Pour utiliser cette technique, il est fondamental de distinguer les
fonctionnalités intrinsèques "Windows Foundation" toujours présentes dans
l'image de base, des fonctionnalités apportées par un package additionnel.
En effet, celui-ci doit être intégré dans l'image .WIM ou disponible sur un
point de distribution accessible durant les processus d'installation afin qu'il
soit configurable via le fichier de réponse.
Page 104 / 409

Détail des fonctionnalités intégrées
Sans vouloir détailler chacune des fonctionnalités intégrées, nous souhaitions

attirer votre attention sur la pertinence des choix retenus par défaut dans la
distribution originale. Ces remarques arbitraires sont purement indicatives et
restent à votre appréciation, sachant qu'un administrateur peut à tout moment
modifier ces choix une fois le système installé
Fonctionnalité Commentaires
Client Telnet Désactivé par défaut, cet outil est pourtant très utile
pour les diagnostics réseau
Composants Activé par défaut, ce composant n'est généralement
Tablet-PC indispensable qu'aux ordinateurs disposant d'une dalle
tactile.
Compression Utilisée par les processus de synchronisation des
différentielle à fichiers hors connexion (Basée sur l'intégrité de bloc
distance élémentaire plutôt que sur l'intégrité du fichier)
Fonctionnalités Plusieurs sous-ensembles tels que
multimédia le lecteur Windows Media Player, le Media Center ou
encore la création de DVD vidéo
Internet Le navigateur peut être entièrement désactivé.
Explorer Attention cependant aux effets de bord liés à l'absence
de navigateur web et/ou au support des contrôles
Active-X et formats dérivés
Jeux L'activation de ces fonctionnalités soulève toujours une
certaine ambiguïté dans un cadre professionnel …
Plateforme Activé par défaut, ce composant offre la possibilité
Windows pour un utilisateur de disposer d'un ensemble de mini-
Gadget applications sur son bureau. N'ayant nullement
l'intention de dénigrer cette fonctionnalité, pensez à
évaluer les incidences sur le contrôle administratif et
les éventuelles surcharges d'affichage et/ou les flux
réseaux engendrés.
Services XPS Activé par défaut, ce composant offre la possibilité
d'ouvrir, de gérer et d'imprimer des fichiers au format
XPS (XML Paper Specification). Imprimante "Microsoft
XPS Document Writer"
Service Désactivé par défaut, ce composant assure
d'indexation l'indexation des fichiers NTFS selon la technique
utilisée par les versions antérieures de Windows. Ne
confondez pas avec la fonctionnalité d'indexation
exploitée dans les champs de recherche et les
bibliothèques, qui dépendent du service "Windows
Search"
Visionneuse Ce composant permet d'afficher le contenu des fichiers
XPS XPS - Internet explorer est le lecteur par défaut de ce
format dont cette fonction est dérivée.
Page 105 / 409

Windows Activé par défaut, ce composant assure l'indexation

Search des fichiers dans les interfaces d'utilisateur telles que
l'explorateur, les bibliothèques et autres champs de
recherche. Allié redoutable pour localiser rapidement
des outils ou des documents noyés dans la masse, et
sachant que le périmètre d'indexation ainsi que le
service d'arrière-plan qu'il engendre peuvent être
maitrisés et contrôlés, la conservation de cette option
est généralement souhaitable sur la plupart des
ordinateurs.
Détail de la fonctionnalité additionnelle RSAT
Nous avons déjà évoqué l'intérêt d'installer les outils d'administration de

serveur à distance (également dénommée RSAT), sur un des postes d'un
domaine Active Directory et particulièrement lorsque les serveurs utilisent des
versions antérieures. Contrairement à son prédécesseur ADMINPAK.msi
pour les systèmes antérieurs, l'installation de la fonctionnalité RSAT n'induit
aucune disponibilité des composants ajoutés. Autrement dit, aucun raccourci
supplémentaire n'est ajouté par défaut dans les outils d'administration.
Pour les néophytes sur ce sujet, nous ouvrons donc ce petit aparté afin
d'indiquer la procédure à suivre pour bénéficier des outils de gestion Active
Directory
1°/ Télécharger RSAT
Le complément RSAT pour Windows 7 peut être téléchargé gratuitement à
partir de l'adresse suivante :
http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=7d2f6ad7-
656b-4313-a005-4e344e43997d
Version 64 bits : Windows6.1-KB958830-x64-RefreshPkg.msu
Version 32 bits : Windows6.1-KB958830-x86-RefreshPkg.msu
2°/ Installer RSAT

Procédez à l'installation du package approprié à l'architecture processeur du
système.
 Acceptez le contrat de licence puis fermez la fenêtre d'aide à la fin du

processus d'installation.
3°/ Activer les outils
Page 106 / 409

 A partir de menu "Démarrer", utiliser le champ de recherche ou exécutez la

commande "APPWIZ.cpl", puis cliquez sur le lien "Activer ou désactiver les
fonctionnalités Windows" du panneau de configuration
 Recherchez l'entrée "Outils d'administration de serveur distant"
Développez l'arborescence afin de cocher les cases suivantes :

 "Outils de gestion des stratégies de groupe" (GPMC.msc)
 "Composants logiciels enfichables et outils de ligne de commande AD
DS"
 Cliquer sur le bouton "OK" pour procéder à l'activation. Un redémarrage de
l'ordinateur peut être requis.
Remarque : Le classement des outils et les noms utilisés ne sont pas

rigoureusement identiques entre ces fonctionnalités intégrées sur Windows
Server 2008 R2 et la configuration de RSAT sur un poste de travail.
Ces outils sont dorénavant disponibles dans les outils d'administration du
panneau de configuration. Vous pourrez les solliciter (dans le cadre d'un
domaine) à partir du champ recherche ou en modifiant vos préférences du
menu "Démarrer" afin d'y afficher l'entrée "Outils d'administration"
Page 107 / 409

Astuce : Pour exécuter un programme ou une console d'administration avec

un compte différent de votre session principale, utiliser la combinaison "MAJ"
+ "clic droit", puis "Exécuter en tant qu'autre utilisateur"
2.3.5. Les pilotes de périphériques
La gestion des pilotes de périphérique est un point majeur du déploiement

directement lié aux matériels composants votre parc informatique.
Précisions sur la définition d'un pilote
Ce que nous entendons par "pilote de périphérique" est en fait une structure
de fichier composée à minima d'un fichier .INF. Le contenu est ensuite très
variable en fonction du périphérique, et inclure des fichiers .SYS, .PNF, .DLL,
etc. Il convient également de préciser qu'une distribution de pilote constructeur
peut être mixte ou liée à une plateforme 32 ou 64 bits. Les distributions de
pilotes au format exécutable incluent parfois des outils complémentaires, et ne
seront pris en charge par les techniques que nous allons évoquer. Toutefois,
de manière générale, ce genre d'exécutable est en réalité un packaging de
fichier pouvant être extrait dans un répertoire temporaire exploitable.
Page 108 / 409

La signature des pilotes
Depuis longtemps, Microsoft encourage l'utilisation de pilotes signés

numériquement. La validation des tests fonctionnels par le centre de
qualification fonctionnelle des pilotes Windows (Windows Hardware Quality
Lab) ne constitue pas l'unique intérêt, et la présence d'une signature
numérique garantit implicitement que le pilote n’a subi aucune altération,
depuis son émission sur le marché.
Depuis Vista, Microsoft impose la signature des pilotes sur les versions 64 bits
de ses systèmes. La signature d'un pilote doit provenir d'un certificat Microsoft
ou d’une autorité de certification participant au programme SPC (Software
Publishing Certificate). Cette stratégie légitime permet de préserver l'intégrité
du noyau d'un système
Bien que déconseillé, et peu pratique, il existe une méthode permettant
d'inhiber ponctuellement cette protection. Pour cela, vous devez ouvrir une
invite de commande en mode Administrateur puis tapez la commande
suivante :
 Bcdedit /set nointegritychecks on
C:\Windows\system32> Bcdedit /set nointegritychecks on

Redémarrez ensuite l'ordinateur puis sollicitez le mode diagnostic en appuyant

sur la touche [F8]. Dans le menu affiché, sélectionnez "Désactiver la
vérification de la signature des pilotes"
Cette action est à effectuer à chaque démarrage du système.

Pour plus d'information à ce sujet, reportez-vous au guide fournit sur le site
Technet de Microsoft.: "Guide pas à pas d’installation et de gestion des
Page 109 / 409

périphériques : Signature et copie intermédiaire de pilotes de périphériques

dans Windows 7 et Windows Server 2008 R2" à l'adresse suivante:
http://technet.microsoft.com/fr-fr/library/dd919230(WS.10).aspx
Le mécanisme de gestion des pilotes
Depuis Windows NT6, l'intégralité des pilotes est stockée dans un "magasin
de confiance" situé dans le dossier "%windir%\ system32\DriverStore". Ces
pilotes sont référencés dans le fichier "drvindex.dat" mais les fichiers
composants chaque pilote sont rangés au sein d'un sous-dossier qui leur est
propre, dans le sous-dossier "FileRepository".
Vous pourriez énumérer l'ensemble des pilotes par la commande suivante et
constater la quantité impressionnante de pilotes disponibles
 DIR %windir%\system32\DriverStore\FileRepository /S
Pour énumérer fichiers composants un pilote donné, vous pourriez afficher le
contenu du dossier correspondant via la commande suivante :
C:\>dir
%windir%\Windows\System32\DriverStore\FileRepository\1394.inf_a
md64_neutral_0b11366838152a76 /b
1394.inf
1394.PNF
1394bus.sys
1394ohci.sys
ohci1394.sys
C:\>
Bien que le nom du sous-dossier débute par le nom du fichier .INF la

complexité du nom complet reste délicate à gérer.
Pour identifier les pilotes additionnels, sur un système installé, utilisez l'une
des commandes suivantes
 PNPUTIL -e
 DISM /online /Get-Drivers
Contrôler l'installation des périphériques
Pour installer un pilote en mode noyau, il est nécessaire d'être administrateur

de l'ordinateur. Toutefois, les pilotes disponibles en téléchargement
automatique sur le site Windows Update ainsi que les chemins de recherche
indiqués dans la clé de registre
"HKLM\Software\Microsoft\Windows\CurrentVersion\DevicePath
" sont assimilés au magasin de confiance. Autrement dit, un utilisateur
standard peut utiliser tout périphérique dont le pilote signé correspondant a
été provisionné ou est disponible dans l'un des magasins de confiance.
Pour restreindre, ou étendre l'utilisation de certains périphériques, vous aurez
plusieurs hypothèses :
 Retirer le(s) pilote(s) du magasin de confiance (Sous réserve que cela soit
possible - cas des pilotes complémentaires)
Page 110 / 409

 Contrôler l'utilisation des périphériques via les stratégies de groupe selon leur
classe ou leur identifiant. Ces réglages sont disponibles dans l'éditeur de
stratégie de groupe au niveau des rubriques suivantes :
 - "Configuration Ordinateur … Modèles d'administration … Système …
Installation de périphériques"
 - "Configuration Ordinateur … Modèles d'administration … Système …
Installation de pilotes"
 Interdire le téléchargement des pilotes complémentaires sur le site "Windows

Update" via les stratégies de groupe
Modifier les chemins de recherche de pilotes dans le registre ou le contenu de
ces dossiers locaux ou centralisés sur un serveur. Cette opération peut être
réalisée en amont sur le poste de référence, ou en aval via un script ou plus
simplement via une "préférence de stratégies de groupe" (cf KB943729)
Extraction des pilotes tiers
Les constructeurs fournissent généralement leurs pilotes spécifiques sur un

média type CD-Rom lors de la livraison du matériel et sur leur site web de
support technique. La récupération de ces pilotes est souvent longue et
délicate en fonction du format de distribution et de référencement propre au
constructeur. (Fichiers exécutables, Références des matériels)
De plus, pour un matériel donné, le constructeur propose parfois une
distribution globale intégrant plusieurs modèles ou déclinaisons de gamme de
ce produit. Le surcroit de volumétrie engendré par ces fichiers inutiles, risque
à terme, d'être préjudiciable au niveau de la taille des images de référence.
Une technique empirique consisterait à copier chaque répertoire de pilote
correspondant aux noms renvoyés par les commandes d'énumération. Afin
d'éviter cette tâche fastidieuse, vous pouvez vous procurer l'outil graphique tel
que "DriverBackup!" téléchargeable à l'adresse suivante :
http://sourceforge.net/projects/drvback/files/DriverBackup%21%202/DrvBK%2
02.1/DrvBK_21_Rev5.rar/download
Cet outil gratuit et autonome (ne nécessite pas d'installation) est délivré au
format .RAR qui n'est pas pris en charge nativement par Windows 7. Vous
pouvez cependant utiliser le gestionnaire d'archives "7-Zip" que nous avons
déjà évoqué au sujet des fichiers .WIM. Pour l'utiliser, il suffit d'extraire la
totalité de l'archive .RAR vers un répertoire quelconque, ou une clé usb, puis
d'exécuter le programme "DrvBK.exe". Modifiez éventuellement la langue
d'affichage, puis cliquez sur le bouton "3ème partie" afin d'afficher
uniquement les pilotes additionnels.
Page 111 / 409

Cliquez sur le bouton "Démarrer Backup" pour ouvrir le fenêtre de

sauvegarde puis après avoir défini les différentes options, dont le chemin de la
sauvegarde, cliquez sur le bouton "Démarrer Backup!"
Page 112 / 409

Cliquez sur le bouton "OK" puis sur le menu "Quitter DriverBackup!". Le

dossier indiqué lors de la sauvegarde contient une structure de répertoire
incluant les fichiers de chaque pilote.
Ajouter / provisionner un pilote "En ligne"
L'ajout d'un pilote sur le système installé s'effectue traditionnellement par un

administrateur via le "Gestionnaire de périphérique" ou "DEVMGMT.msc".
Note : Depuis Windows 7, le gestionnaire de périphérique offre la possibilité
d'ajouter un pilote d'ancienne génération, tel Windows XP ou plus
génériquement pour un périphérique non détecté par les mécanismes "Plug
and Play". Bien que cette solution ne soit pas totalement garantie, elle offre
une alternative de dernier recours lorsque le constructeur ne fournit pas de
pilote plus récent. Pour effectuer cette opération au niveau du gestionnaire de
périphérique, sélectionnez le nom de l'ordinateur à la racine de la console,
puis utilisez le menu 'Action … Ajouter un matériel d'ancienne génération" ou
le menu contextuel, puis laissez-vous guider par l'assistant.
Page 113 / 409

Sur le système installé, il est également possible d'installer ou provisionner le

magasin de pilote en ligne de commande
Pour ajouter un pilote précis:
 PNPUTIL -a a:\usbcam\USBCAM.INF
Ou pour ajouter un ensemble de pilotes
 PNPUTIL -a c:\drivers\*.inf
L'outil DISM permet d'énumérer les pilotes installés mais ne permet d'ajouter
un pilote sur le système en cours.
Ajouter / provisionner un pilote "Hors Ligne"
Il est possible d'ajouter des pilotes ou provisionner le magasin d'une image

WIM en procédant comme suit :
Pensez à vérifier l'architecture (x86 ou x64) de l'image
DISM /Get-WimInfo
/WimFile:C:\DEPLOY\DVD\sources\install.wim /index:1 |
findstr Architecture
Effectuez le montage de l'image

DISM /Mount-Wim
Ajouter un pilote spécifique

DISM /image:C:\DEPLOY\MNT /Add-Driver
/DriverPath:C:\DEPLOY\DRV\Pilote.INF
Ajouter un ensemble de pilotes

/DriverPath:C:\DEPLOY\DRV /RECURSE
Bien que cela soit déconseillé et bloquant pour les versions 64 bits (cf
Signature des pilotes), il est possible d'installer un pilote non signé via la
commande suivante :
Ajouter un pilote non signé
/DriverPath:C:\DEPLOY\DRV\Pilote.INF /ForceUnsigned
Validez les changements

Attention, ces opérations sont à renouveler au besoin pour chaque index

Cette possibilité est à confronter au nettoyage des pilotes additionnels réalisé

par défaut lors de l'exécution de la commande "Sysprep" que nous
détaillerons plus tard.
Page 114 / 409

Disponibilité des pilotes lors du déploiement
Dans le cadre de la présentation de WinPE, nous avons mis en exergue le fait

d’accorder une attention particulière à certains pilotes de périphériques
cruciaux.
En effet, dans un cadre d'exploitation préliminaire, en l'occurrence la phase de
préparation d'une installation à partir de WinPE, on distinguera les classes de
pilotes suivantes :
• Les pilotes de stockage - contrôleur disque dur (Mass Storage)
• Les pilotes de composants électroniques intégrés (Chipsets)
• Les pilotes de carte réseau
• Les pilotes de carte vidéo
A intégrer dans l'image de démarrage WinPE.
Nom générique Classe Commentaires
Mass Storage DiskDrive Lecteurs de disque dur
Mass Storage HDC Contrôleurs disques ATA/ATAPI
Mass Storage SCSIAdapter Contrôleurs disques SCSI et RAID
Chipset System Composants électroniques intégrés
de type HAL, North/South Bridges,
ACPI, System Bus …
Network Net Adaptateurs de carte réseau
Adapter
Display Display Adaptateurs de carte vidéo. (Dans
Adapters une moindre mesure, sous réserve
de support du mode VGA Standard)
Pour plus d'information, vous pouvez retrouver la liste normalisée des classes
et identifiants de périphérique, à l'adresse suivante :
http://msdn.microsoft.com/en-us/library/ff553426(v=vs.85).aspx
Durant les phases de tests, rappelez-vous qu'il est très facile d'évaluer
l'efficacité d'un pilote, en déposant la structure .INF du périphérique en
question sur une simple clé USB (reconnue dynamiquement par WinPE) puis
de valider la pertinence du pilote avec l'outil intégré "DRVLOAD".
L'installation des périphériques complémentaires s'effectue automatiquement

lors de la détection "plug and play" du démarrage ou manuellement en cas
d'indisponibilité du pilote durant cette phase.
N'oubliez pas de distinguer les pilotes 32 ou 64 bits en fonction des

plateformes installées - De plus les pilotes x64 doivent être obligatoirement
signés sous peine d'être ignorés lors du démarrage du système. (Mode
diagnostic [F8])
Page 115 / 409

Il est possible de stipuler des emplacements de recherche des pilotes dans un

fichier de réponse. Cette technique présente l'avantage de ne pas alourdir les
images de référence et offre une meilleure maintenabilité.
La console des services de déploiement Windows 2008 R2, que nous

détaillerons dans un autre chapitre, propose une interface graphique de
gestion des packages de pilotes. Lors d'une installation via WDS, ces
emplacements sont automatiquement disponibles durant le processus de
déploiement.
2.3.6. Installation des applications
Cette partie n'est traitée qu'à titre d'illustration des problématiques potentielles
liées au déploiement d'application, et reste entièrement à votre appréciation
selon vos contraintes et vos besoins. En effet, l'intégration des applications
dans l'image de référence peut présenter un intérêt de rapidité d'installation.
En revanche, il faut prendre en considération la maintenabilité de l'image
lorsque ces applications évoluent.
Nous souhaitions simplement attirer votre attention sur le fait que la taille de
l'image de référence peut constituer un handicap important lors d'un
déploiement via le réseau. Il faut donc faire des choix en conséquence entre
l'intégration au sein de l'image WIM, l'enchainement en fin d'installation du
système ou le déploiement à la demande via les stratégies de groupe.
Pour faire court, la gestion des applications est un sujet complexe et qui
influence considérablement les projets de déploiement. Parmi les nombreux
facteurs à traiter, nous allons simplement évoquer 2 fondamentaux :
 Le packaging et capacités d'installation automatisés
 La compatibilité applicative
Le packaging des applications
Couramment appelée "Post-installation", cette hypothèse consiste à installer

les applications à la suite de l'installation du système. Afin d'éviter
l'intervention d'un technicien d'installation, il est souhaitable que les packages
d'applications supportent l'installation sans assistance, mais il faudra
également prévoir l'enchainement de ces processus. L'association d'un fichier
de réponse au programme d'installation Windows permet d'effectuer ces
ouvertures de session automatisées à partir d'un compte administrateur. Au
besoin, reportez-vous au chapitre suivant pour de plus amples explications sur
le mécanisme "Autologon" d'un fichier de réponse.
La seconde approche, sous réserve d'intégrer un domaine Active Directory,
consiste à déployer les applications "à la demande" via les stratégies de
groupe, en ciblant les postes et/ou les utilisateurs. Grace à cette technique
d'installation, un utilisateur standard n'a pas recours à des privilèges élevé
pour bénéficier de l'application. Cependant, l'éditeur doit fournir les packages
d'applications au format .MSI. En effet, les stratégies de groupe de niveau
"Utilisateur", sont en mesure de distribuer des packages d'application de bas
niveau ZAW (.zap), contenant les directives d'installation d'un programme
exécutable. Toutefois, ce mécanisme s'appuie sur le niveau de privilège de la
session Utilisateur rarement suffisant pour que l'installation arrive à son terme.
Page 116 / 409

Notez que les stratégies de groupe sont en mesure de gérer les

dépendances (chainage de MSI) et/ou les mises à jour (Transformation
.MST)
Précisions sur la technologie MSI
Ce genre de package s'appuie sur le service système "Windows Installer" et

peut être installé via la commande "MSIEXEC". Cette technologie présente
également l'avantage de garantir une désinstallation fiable de l'application ou
une réparation de celle-ci. Lors d'une installation en ligne, la technologie peut
créer un point de restauration système afin de restaurer l'état initial en cas de
problème.
Parmi les nombreuses options possibles, voici un exemple d'installation
automatisée d'une application .MSI.
 MSIEXEC /i "application.MSI" /qn
On distingue plusieurs types de fichiers relatifs à cette technologie :
Description
Format
.MSI Autonome (standalone) : Package d'installation d'application
composé d'un fichier .MSI unique contenant à la fois les
directives d'installation et les fichiers composants l'application
Directives seules : Composé d'un fichier .MSI contenant les
directives d'installation et d'un ensemble de fichiers (.CAB ou
dossier) composants l'application
.MST Transformation : Permet de changer les choix ou options par
défaut d'une installation sans modifier la source .MSI à
laquelle il est toujours associé. Par exemple :
MSIEXEC /i "application.MSI"
TRANSFORMS="fichier.MST" /qn
.MSP Correctif d'ensemble (Service Pack) : Package de mise à
jour partielle ou totale d'une application. Par exemple :
MSIEXEC /i "correctif.MSP" REINSTALL=ALL
ou MSIEXEC /i "correctif.MSP"
REINSTALLMODE=oums
(Le détail des options de "REINSTALLMODE" est détaillé à
l'adresse suivante:
http://msdn.microsoft.com/en-
us/library/aa371182(v=vs.85).aspx
La liste des applications installées sur un système via "Windows Installer" peut
être obtenue par la commande suivante :
 WMIC PRODUCT GET NAME, DESCRIPTION
Les difficultés commencent donc lorsque l'éditeur ne fournit pas son

application sous un format compatible avec "Windows Installer".
Page 117 / 409

Il est parfois suffisant d'étudier attentivement le mécanisme d'installation

manuelle, pour découvrir que l'exécutable génère un répertoire temporaire
contenant les fichiers du programme ainsi qu'un fichier de directive .MSI (eg.
Acrobat Reader) - Dans ce cas, il vous suffira de récupérer l'intégralité de ce
dossier pour bénéficier d'un packaging compatible avec les stratégies de
groupe ou les installations automatisées. Ce n'est malheureusement que trop
rarement possible, et devrez alors vous retranchez vers une installation
manuelle, intégrée ou non dans l'image de référence, à moins d'étudier une
solution de "Packaging .MSI".
De nombreux logiciels spécialisés, payants ou gratuits offrent cette capacité
mais il faut être conscient que cette approche à ses limites:
- Maitriser la structure et le langage intrinsèque lors de l'édition d'un package
- Maitriser les dépendances afin de déclarer les prérequis de l'application
Créer un package de toute pièce est donc une affaire de spécialiste mais
certains outils spécialisés proposes des techniques de création simplifiées via
un mécanisme de capture, parfois dénommé "snapshot".
Cette approche consiste à "photographier" l'état du système (fichiers, registre,
etc.) à partir de l'outil de packaging afin de conserver une empreinte de
l'existant. Vous procédez ensuite à l'installation de l'application ou tout autre
opération de personnalisation manuellement et normalement. Une fois cette
étape achevée, relancez l'outil de packaging afin de procéder à l'analyse
différentielle, qui s'achève par la création du fichier .MSI.
Notez que cette technique de génération peut présenter quelques limites. Par
exemple, les installations d'application en plusieurs phases nécessitant un
redémarrage intermédiaire, n'est pas implicitement détectée et peu engendrer
un package peu fiable ou instable (ie : Remplacement des fichiers en cours
d'utilisation). En règle générale, il est conseillé de toujours débuter une
génération de package à partir d'une base de configuration connue
(typiquement une image de référence) et d'éviter toute opération superflue de
configuration
Du fait que d'un grand nombre de produit, et de l'effervescence de ce marché,
(rachats, changements d'éditeur, limitations des versions gratuites, obsolètes,
etc.. …) nous ne citerons que quelques solutions susceptibles d'évoluer et
sans aucun engagement de disponibilité publique, ni de gratuité :
Nom du produit Editeur / Distributeur Description

ORCA Microsoft Outil d'édition de
fichiers .MSI
Install Tailor Wize Solutions Générateur de fichiers
de transformation
.MST
WinInstall LE OnDemand Outil d'édition de
fichiers .MSI +
"Discover" pour la
génération de package
.MSI par différentiation
(snapshots)
Advanced Installer Caphyon Outil d'édition de
Page 118 / 409

création de package
.MSI. + "Repackager
Wizard" pour la
génération d'un
package .MSI par
différentiation
Free AppDeploy AppDeploy.com / Dell Outil de génération
Repackager Kace de package .MSI par
différentiation
Pour de plus amples informations en matière de création et de gestion des

packages basés sur la technologie "Windows Installer", vous pouvez obtenir
des précisions et liens complémentaire vers des solutions tierces à l'adresse
suivante : http://www.installsite.org/pages/en/msi/admins.htm#tools (en
anglais)
La compatibilité applicative
La compatibilité applicative est sans nul doute l'aspect le plus délicat d'un
projet de migration et de déploiement. Certaines études peuvent aboutir dans
des impasses, ou recourir à des solutions de contournement particulières.
Nous allons donc simplement indiquer quelques pistes d'investigation laissées
à votre appréciation.
- UAC : (Détails en annexe) - Depuis Vista, Microsoft a introduit la notion du

moindre privilège lors de l'exécution des programmes. Ce mécanisme, connu
sous le nom de "Contrôle de compte utilisateur" (User Account Control)
consiste à limiter une exposition excessive ou systématique des privilèges
associés au jeton d'accès d'un utilisateur. Autrement dit, lorsqu'un programme
exécuté par un utilisateur standard tente d'écrire dans les zones protégées du
système (registre HKLM, dossiers "Windows" et "Program Files"), un échec
se produit. Si l'application est "consciente" de cette contrainte, l'utilisateur est
invité à écrire dans ses espaces personnels. En revanche, l'application ignore
cette contrainte, le contrôle de compte génère un "VirtualStore" faisant croire
à l'application que la modification est effective.
Les applications potentiellement sujettes à la création d'un "virtualstore" sont
facilement localisables via le gestionnaire des taches. Pour cela, exécuter
l'application avec un compte équivalent administrateur (donc soumis à l'UAC)
puis ouvrez le gestionnaire des taches et cliquez éventuellement sur le bouton
"Afficher les processus de tous les utilisateurs". Sous l'onglet "Processus"
utilisez le menu "Affichage … Sélectionner des colonnes…" puis cochez la
case "Virtualisation du contrôle de compte utilisateur" et cliquez sur le
bouton "OK"
Page 119 / 409

Dans cette nouvelle colonne, les processus marqués "Activé" seront

potentiellement concernés par la redirection des échecs d'écriture (création de
"Virtualstore" le cas échéant), alors que les processus estampillés
"Désactivé" indiquent qu'ils sont compatibles et respectent les contraintes
d'écriture dans zones protégées du système. Au besoin, ils invitent l'utilisateur
à enregistrer la modification dans ses dossiers personnels.
Au besoin, pour éviter cet effet de bord, il vous suffit d'octroyer aux utilisateurs
standards, les droits d'écriture sur les fichiers, les dossiers ou les clés de
registre concernés. Pour connaitre ou vérifier le contenu du "virtualstore" vous
pouvez en énumérer le contenu via les deux commandes suivantes :
DIR %LOCALAPPDATA%\VirtualStore
REG QUERY HKCU\Software\Classes\VirtualStore
Vous pouvez également utiliser l'explorateur Windows et l'éditeur graphique

de registre (Regedit) pour gérer ce contenu et surtout pour modifier les
autorisations.
Le comportement de base de l'UAC peut être défini localement au niveau du
panneau de configuration "Modifier les paramètres du contrôle de compte
utilisateur" via un simple curseur.
Page 120 / 409

Ou de manière affinée via les paramètres de sécurité des stratégies de

groupe :
Ces réglages influencent directement les privilèges d'utilisation et doivent

donc être étudiés et adaptés aux situations. En effet, le contrôle de compte
d'utilisateur permet d'éviter l'exposition systématique de privilèges élevés pour
un administrateur potentiel mais peut constituer une difficulté pour la
configuration et la maintenance d'un ordinateur. Autrement dit, les valeurs par
défaut sont adaptées lorsqu'un utilisateur standard est membre du groupe des
administrateurs pour des raisons applicatives, ou utilise ponctuellement ces
privilèges. Les techniciens de maintenance, peuvent alors utiliser le compte
d'administrateur intégré si ce dernier est réactivé. Dans le cas où les privilèges
d'utilisateur standard sont suffisants, vous pouvez également modifier ces
réglages afin qu'aucun membre du groupe Administrateurs ne soit limité par
l'UAC.
- PCA : Pour préserver l'intégrité de son système, Microsoft a introduit dans

Windows 7, un mécanisme de détection des risques d'incompatibilité
applicative dénommé "Program Compatibility Analysis" (PCA) et se manifeste
lors de l'exécution d'un programme:
Page 121 / 409

. Soit par un blocage explicite du programme d'installation (incompatibilité

constatée et reconnue)
. Soit par une proposition de réinstallation avec les paramètres recommandés

. Soit lors de l'exécution d'un programme installé.
Notez que dans ce dernier cas, le système propose de démarrer l'"utilitaire de

résolution des problèmes de compatibilité". En fait, cet assistant propose
d'essayer les réglages plus adaptés dans l'onglet de "compatibilité" du
programme incriminé.
Le comportement de ce mécanisme de détection peut être configuré au
niveau des stratégies de groupe :
Page 122 / 409

- ACT : Depuis Windows 2000, Microsoft alimente une boite à outils,

dénommée Application Compatibility Toolkit" (ACT), chargée de recenser les
compatibilités applicatives. Un lien direct de téléchargement est proposé dans
la page d'accueil du WAIK ("startcd.exe"). Pour tester une application via un
mécanisme d'exécution surveillé, vous serez invité à télécharger gratuitement
l'outil complémentaire "Application Vérifier" à moins que ce dernier ait été
installé préalablement. Les 3 axes de test portent sur la compatibilité du
programme d'installation, l'exécution de l'application avec un compte
d'utilisateur standard et la compatibilité avec le navigateur Internet Explorer.
Les correctifs produits par cet outil, nommés "SHIM" ("cales de jeu
fonctionnel"), doivent ensuite être installés sur les postes concernés via l'outil
"sdbinst.exe". Ces correctifs chirurgicaux sont très proches de ce que propose
l'onglet de compatibilité disponible au niveau des propriétés d'un programme
ou d'un raccourci. Bien que limité, leur implémentation est parfois suffisante
pour assurer le fonctionnement d'une application.
Notez que les outils gratuits "Process Monitor" ou "Process Explorer" de

Microsoft (ex Sysinternals) constituent un excellent moyen d'investigation
pour les techniciens avertis (et courageux). En fait, la compatibilité
applicative se heurte souvent à des contraintes de sécurité, et ces outils
permettent de visualiser et d''analyser dynamiquement l'ensemble des
ressources qu'une application ou un processus sollicitent.
Cet outil n'a pas pour vocation de résoudre toutes les incompatibilités
applicatives de l'éditeur ayant éprouvé le fonctionnement de son application
pour une version antérieure de Windows. Dans ce cas, il vous faudra opter
pour des solutions plus lourdes, telles que la virtualisation du poste via le
"mode XP", ou son équivalent Entreprise (MED-V) associé à un contrat
d'assurance Microsoft (MDOP). La virtualisation d'application via APP-V
(Dépendant également de l'offre MDOP) ou encore la publication d'application
RDP via les serveurs de terminaux (RDS -ex Tse) peut parfois constituer une
alternative plus viable.
Quoi qu'il en soit, et malgré les efforts de Microsoft en ce domaine, aucune
solution ne peut garantir la portabilité d'une application sur un système pour
lequel elle n'a pas été conçue.
- WoW : Windows On Windows : Bien connu des techniciens expérimentés,

ce nom étonnant désigne simplement la capacité de Windows NT exécuter
des programmes dont le niveau de compilation binaire est inférieur à celui du
Page 123 / 409

système principal (on parle alors de "sous-système"). Il est possible de repérer

ces processus de degré secondaire via le gestionnaire des taches (en mode
administrateur).
Sur un système 32 bits, l'exécution des binaires 16 bits est signalée par la
présence d'un processus "NTVDM.exe" (NT Virtual DOS Machine) et du
processus "WOWEXEC.exe" associé au binaire en question.
Sur un système 64 bits, l'exécution des binaires 32 bits est indiquée par la
présence d'un suffixe " *32" concaténé au nom du binaire en question.
En revanche, aucune application exploitant le moindre programme ou binaire
16 bits, ne pourra fonctionner sur un système 64 bits.
- XP Mode (Détails en annexe)

Pour les éditions Professionnelle, Entreprise et Intégrale de Windows 7,
Microsoft propose un palliatif dénommé XP Mode. Son principe repose sur
l'utilisation d'une machine virtuelle Windows XP sp3 hébergée par la
fonctionnalité additionnelle "Windows Virtual PC". Grace à un mécanisme de
publication automatique, les applications installées dans cette machine
virtuelle, peuvent être sollicités directement à partir de raccourcis présents sur
la machine physique. Bien que dérivée d'un bureau à distance, seule le cadre
de l'application est visible sur le bureau de Windows 7. (Proche de la
technologie "RemoteApp" de Windows Server 2008/R2)
- Autres solutions : Dans certains cas, la compatibilité des applications peut

être assurée par un mécanisme de "Virtualisation d'application". Cette
technique consiste à séquencer (analyser ces actions et ses besoins) une
installation d'application afin de créer un package spécial qui sera ensuite
exécuté dans un contexte virtuel isolé du système. (Que l'on désigne souvent
par le terme de "bulle" d'application virtuelle) Dans le cadre d'un contrat de
Software Assurance - Microsoft Desktop Optimisation Pack", vous pouvez
bénéficier du produit "App-V" parmi les nombreux outils composant cette offre
payante. Notez que des produits gratuits, tels que "Cameyo" ou "Sandboxie"
sont également capables d'exploiter ces mécanismes d'isolation pouvant ainsi
répondre à certaines contraintes applicatives. Les principaux acteurs de la
virtualisation proposent également des solutions similaires (Vmware Thinapp,
Citrix Xenapps, Novell ZAV…).
3. Préparation du poste maitre (sysprep)

3.1. Le poste de référence : Toute installation passe par
"sysprep"
Dans ce chapitre nous avons vu comment installer une distribution Windows 7
sans passer par l'assistance du programme d'installation original. Toutefois, il
peut s'avérer nécessaire de finaliser cette configuration par l'ajout de pilotes
additionnels pour les périphériques non reconnus (OEM). Ensuite, l'ajout d'un
tronc commun d'applications peut constituer un souhait d'entreprise et enfin le
profil d'environnement utilisateur par défaut peut être modifié.
La mise en conditions de distribution passera ensuite par l'outil de
préparation" SYSPREP". Cet outil, fait dorénavant partie intégrante du
Page 124 / 409

système depuis Vista. Il est conseillé de l'utiliser avant de procéder à un

changement de matériel et impératif pour les processus de clonage
(Régénération de l'identifiant unique du poste "SID")
Rappel : Historiquement, l'outil "sysprep" existe officiellement depuis Windows
2000. L'outil a pour but de "nettoyer" (ou "dépersonnaliser") le poste avant
d'en dupliquer des copies en production. Cependant sur les générations
précédentes, l'utilisation de sysprep engendrait une "mini-installation" sans
détection fondamentale des périphériques et conservait donc une dépendance
forte avec le matériel de référence. Ceci impliquait d'utiliser une installation
traditionnelle, beaucoup plus longue, via les programmes "winnt.exe" ou
"winnt32.exe". Sachant que cette technique se limitait à l'installation du
système uniquement, sans prendre en charge le paramétrage d'applications
complémentaires, les entreprises devaient décliner les images de référence
en fonction des modèles d'ordinateurs composant leur parc informatique.
La grande nouveauté de la génération NT6, est qu'il n'existe plus qu'un seul
processus d'installation, c’est-à-dire "SYSPREP". Autrement dit, les
distributions officielles sont conditionnées de la même manière et la
dépendance matérielle est levée suite à son exécution. Pour vous en
convaincre, vous pouvez préparer vos postes de référence dans un
environnement virtuel, puis déployer les images obtenues sur des ordinateurs
physiques ou virtuels.
Jusqu'à présent, nous nous sommes contenté de l'outil DISM livré en standard
et nous n'avons pas encore abordé en détail le kit déploiement (WAIK),
conseillé pour la conception et l'extraction de fichier .WIM et impératif pour
l'édition de fichier de réponse.
Schéma simplifié d'un processus de clonage
Page 125 / 409

3.1.1. Utilisation de l'outil de préparation SYSPREP
Comme nous l'avons signalé à plusieurs reprises, l'utilisation de l'outil

SYSPREP constitue l'ultime étape de préparation d'un système NT6, pour
lequel vous envisagez une "réinstallation".
Contrairement aux systèmes précédents, depuis Vista, cet outil est
invariablement intégré dans le dossier "C:\windows\system32\sysprep" et
bien que la finalité soit similaire, ce nouvel outil épuré, expose très peu
d'options.
Outil sysprep v2.0 (Windows XP)
Page 126 / 409

Outil sysprep v3.14 (Windows NT6)

Ces outils sont utilisables au format graphique (exécution sans paramètre) ou
en ligne de commande.
Remarque : Contrairement à la version précédente, le nouvel outil sysprep

n'utilise pas de fichier de réponse par défaut (anciennement
C:\sysprep\sysprep.inf). Dans ce cas, il est donc impératif de stipuler le nom
du fichier de réponse dans la ligne de commande. Vous remarquerez que le
fichier de réponse sera également préservé après l'installation, et que les
zones sensibles (mots de passe, clé de licence…) contenues dans celui-ci
seront effacées.
Nous de développerons le mode "Audit" principalement réservé aux fabricants

et intégrateurs de PC. Ce mode de préparation particulier permet d'effectuer
des opérations préliminaires (configuration usine) avant la livraison.
De fait, vous constatez qu'il ne reste qu'un seul choix dans la liste déroulante
"Action de nettoyage du système", "Entrer en mode OOBE (Out-of-box
Experience".
Cette action réalise de nombreuses opérations de nettoyage au sein des
zones liées à l'utilisation du système tels que la purge de la corbeille, des
fichiers récents (MRU), les profils et certificats utilisateurs, etc. La licence
d'utilisation (clé produit) et l'activation sont également réinitialisées. En
revanche, hormis la désactivation du compte d'administration intégré, les
comptes d'utilisateurs locaux sont préservés et la configuration machine est
maintenue.
La case à cocher "Généraliser" est fondamentale. En effet, lorsque celle-ci
est cochée, l'outil sysprep "dépersonnalise" l'ordinateur. Il nettoie et réinitialise
de nombreux paramètres dont l'identifiant local de sécurité (Security IDentifier)
de la machine.
SID Mythe ou réalité ?
L'identifiant unique d'ordinateur est sujet à de nombreuses controverses Il est

vrai que l'identifiant en question est propre à l'ordinateur ("local SID") et la
probabilité de conflit est pratiquement nulle. En fait, les identifiants
d'ordinateur généralement stockés dans les listes de contrôle d'accès (Access
Page 127 / 409

Control List).et utilisés pour les besoins de l'authentification Kerberos sont

générés par les contrôleurs de domaine lors de l'adhésion, qui en garantissent
l'unicité. Hormis pour les serveurs, tels que les clusters, l'identifiant local est
donc rarement utilisé pour les besoins de sécurité d'un poste de travail.
En théorie, l'identifiant local de l'ordinateur devrait garantir l'unicité de la base
de compte SAM d’où sont issus les comptes d'utilisateur
"BaseDeComtes\Utilisateur" tel que l'indique la commande "WHOAMI".
Toutefois, pour des raisons de simplicité, au sein d'un groupe de travail, le
protocole d'authentification NTLM se contente d'un nom réseau ou d'une
adresse IP pour identifier un ordinateur.
Quoi qu'il en soit, il s'agit de l'unique procédure garantie par Microsoft, à
l'instar d'une installation traditionnelle.
L'outil NEWSID (ex sysinternals) n'est officiellement plus supporté par

Microsoft pour les systèmes NT6.
En résumé, lorsque vous vous apprêtez à dupliquer l'ordinateur (cas d'une
image de référence - "Master"), vous devez impérativement cocher cette case
"Généraliser"
Nous reviendrons sur les "phases" de configuration lors des explications sur
les fichiers de réponse. Dans l'immédiat nous nous contenterons d'indiquer
que la phase "Generalize" dirige les opérations de préparation alors que la
phase "Specialize" précise les directives d'installation.
Remarques et conseils
 Utiliser l'option "SYSPREP /Generalize" pour tout processus de clonage ou

duplication d'ordinateur.
 Evitez que le poste soit membre d’un domaine lors de l'exécution du sysprep
(plutôt "Workgroup")
 L’option "Generaliser" correspond approximativement à l’option "Resceller"
pour Windows XP/2003
 L’option "Audit" permet d’effectuer des modifications en amont (changement
des réglages et pilotes par défaut) mais nécessitera un sysprep final avec
l’option "Oobe" avant la mise en production.
 Pour stipuler un fichier de réponse, vous devez utiliser l'outil en ligne de
commande:
C:\windows\system32\sysprep\sysprep /oobe /generalize /shutdown
/unattend:A:\sysprep.xml
Peu importe le nom stipulé dans la commande, ce fichier sera

automatiquement recopié dans l'emplacement approprié. Pour information est
situé dans le dossier :
 "%WINDIR%\Panther\Unattend.xml" pour la phase "specialize" (sysprep)
 "%WINDIR%\System32\Sysprep\Panther\Unattend.xml" pour la phase
generalize (setup)
Les principaux effets indésirables :
Les opérations de nettoyage de l'outil sysprep engendrent un certain nombre

d'effets de bord par défaut, dont voici une énumération non exhaustive
Page 128 / 409

Effet Palliatif
Réinitialisation d'une période de Ajouter la directive "SkipRearm =
grâce liée à la licence (3 par 1" dans un fichier de réponse.
défaut)
Le profil d'utilisation par défaut Ajouter la directive "CopyProfile
n'est pas conservé = True" dans un fichier de réponse.
Il est impératif de réactiver et utiliser
le compte Administrateur intégré
pour la personnalisation d’un profil
utilisateur
Le compte "Administrateur Utiliser la commande "NET USER
intégré" est automatiquement ADMINISTRATOR /ACTIVE :YES" dans
"re-désactivé" un processus "post-installation" ou
dans une directive
"RunSynchronousCommand" du
fichier de réponse
Les pilotes de périphériques tiers Ajouter la directive
sont supprimés "PersistAllDeviceInstalls =
True" dans un fichier de réponse
Voir aussi DISM
Reportez-vous au chapitre suivant pour de plus amples informations sur les

fichiers de réponse.
3.1.2. A propos de Windows XP (Sysprep)
Au besoin et du fait que ce ne soit pas l'objectif principal de cet ouvrage, vous
trouverez un guide (vidéo illustrée et document en anglais) sur la
méthodologie de préparation d'un poste maître sous Windows XP à l'adresse
suivante : http://www.vernalex.com/guides/sysprep/
Page 129 / 409

4. Capture de l'image
4.1. Présentation
A ce stade, le poste de référence est configuré et préparé. La capture
constitue l'étape ultime avant la génération de l'image au sein d'un fichier
.WIM.
Comme l'indiquait le schéma précédent, la capture d'un système préparé
nécessite un démarrage préalable sur un système alternatif, en l'occurrence
WinPE, puis l'utilisation d'un outil de création d'image WIM.
Remarque : Comme nous l'avons évoqué lors de la présentation des images
WIM, ce type de fichier se rapproche d'une archive compressée contenant
une ou plusieurs images d'une structure de dossiers et de fichiers. Il est donc
fondamental de prendre en considération que l'agencement du disque et donc
des partitions n'est pas prise en compte. Autrement dit, le niveau de capture le
plus élevé est la racine d'une partition, ce qui pour l'image d'un poste de
référence, correspond à la partition contenant le système Windows.
Pour rappel, contrairement à certaines technologies d'imagerie de disque,

basées sur la copie de secteurs, les images WIM ignorent la table des
partitions et n'incluent pas le formatage de la destination.
En conséquence, si le système d'exploitation et l''amorçage sont placés sur

des partitions séparées, la capture portera uniquement sur la partition du
système. Pour la restauration et l'exploitation d'une telle image, la
régénération de l''amorçage, au même titre que le partitionnement des
disques et le formatage, seront automatiquement prise en charge par le
programme d'installation "Setup". En l'absence ce programme de préparation
des supports, ces opérations resteront à la discrétion de l'installateur
(manuellement ou via un script) - Reportez-vous sur les exemples
d'installation manuelle détaillés en début de chapitre.
4.2. Réalisation de l'image WIM

N'ayant pas encore détaillé l'outil "ImageX" du WAIK (cf Chapitre 4), nous
allons solliciter une fois de plus, l'outil "GImageX" très similaire et déjà présent
sur notre partage en réseau. Quant au système alternatif, nous utiliserons
l'image ISO d'un DVD original Windows 7 32 ou 64 bits pour démarrer la
machine virtuelle correspondante.
Nous évoquerons également l'intérêt de l'outil "WDSCapture", déjà inclus
dans un DVD original mais nous reviendrons sur cet outil dans le chapitre sur
les services de déploiement Windows.
4.2.1. Précautions à prendre avant l'exécution de "sysprep" :
Avant de commencer, vous pourrez remarquer que l'opération de préparation

"sysprep" propose les trois options de terminaison suivantes :
Page 130 / 409

Option en Option en Description

mode ligne de
graphique commande
Arrêter le /shutdown Cette option déclenche l'arrêt
système automatique de l'ordinateur une fois
l'opération de préparation terminée
Redémarrer /reboot Cette option par défaut déclenche un
le système redémarrage automatique de l'ordinateur
une fois l'opération de préparation
terminée
Quitter /quit Cette option permet d'effectuer
d'éventuelles opérations avant de
procéder manuellement à l'arrêt ou au
redémarrage de l'ordinateur. Le système
est toutefois dans un état instable et ce
mode de terminaison doit être utilisé
avec prudence
Cette phase de capture est cruciale, et en cas de démarrage inopiné

consécutif à une opération de préparation, il faudra reprendre la procédure au
début, sous peine d'obtenir une image imparfaite du système.
Vous devez donc pendre garde à ne pas vous laisser surprendre par la phase
de terminaison qui, dans cette procédure, requiert un démarrage alternatif
dépendant de l'ordre définit dans le BIOS et des médias d'amorçage
disponibles sur l'ordinateur.
L'environnement virtuel utilisé présente l'avantage de pouvoir réaliser très
rapidement, une capture instantanée de la machine virtuelle. Cette
photographie vous permet de revenir facilement à l'état d'origine de cette
dernière pour annuler ou reproduire les opérations. Nous allons donc nous
prémunir de toute erreur, en procédant comme suit :
 A partir du "Gestionnaire Hyper-V", sélectionnez l'une des machines
virtuelles de test, "W7x86-Ref" ou "W7x64-Ref", en cours d'exécution ou
arrêtée.
 Utilisez ensuite le menu "Action … Capture instantanée" ou le menu
contextuel. Une fois achevée, la capture instantanée apparait dans le cadre
du même nom. Cette technique affecte automatiquement un nom a la capture,
composé du nom de la machine virtuelle suivi de la date et heure de
réalisation mais cette interface permet de renommer cette capture à tout
moment.
Page 131 / 409

Renouvelez ces opérations pour la seconde machine virtuelle.

Pour obtenir un résultat identique, vous auriez également pu déclencher, et
nommer directement la capture instantanée à partir du menu ou des icônes de
la console propre à chaque machine virtuelle. Toutefois, contrairement au
gestionnaire Hyper-V, cette console n'affiche pas l'éventuelle arborescence
des captures instantanées existantes.
Pour restaurer l'état de la machine virtuelle en cas de besoin, vous pourrez
utiliser l'une des méthodes suivantes selon vos préférences :
 1 - A partir du "Gestionnaire Hyper-V", sélectionnez la machine virtuelle
concernée, puis dans le cadre "captures instantanées" sélectionnez la ligne
correspondante à capture instantanée de votre choix puis utilisez le menu
"Action … Appliquer" ou le menu contextuel. Vous serez alors invité à
prendre un nouvelle capture afin de préserver l'état actuel avant de retourner
à l'état désiré. N'étant pas nécessaire dans notre démonstration, cliquez sur le
bouton "Appliquer".
 2 - Cette méthode consiste à rétablir le dernier état enregistré à partir la

console d'une machine virtuelle. Pour cela, à partir du "Gestionnaire Hyper-
V", sélectionnez la machine virtuelle concernée, puis ouvrez la console de
cette dernière via le menu "Action … Se connecter…" ou le menu contextuel,
ou encore par un double-clic. A partir de la console de la machine virtuelle,
utilisez le menu "Action … Retablir…" ou la dernière icône représentant une
flèche courbée ou encore via la combinaison des touches + .

 Cliquez ensuite sur le bouton "Rétablir" afin que la machine virtuelle repasse
instantanément dans son état précédent.
Page 132 / 409

4.2.2. Exécution de "sysprep" et génération de l'image WIM.
Pour mettre en pratique l'étape de capture, vous pouvez utiliser l'une et/ou
l'autre des machines virtuelles "W7x86-Ref" ou "W7x64-Ref" installées et
configurées précédemment mais ces procédures et vérifications
s'appliqueraient de la même façon pour un ordinateur physique.
1°/ - Vérification du BIOS / Séquence de démarrage.
La plupart des ordinateurs physiques, et certains environnements de

virtualisation, proposent dès le démarrage, de choisir le support d'amorçage
ou d'accéder à la configuration du BIOS via l'appui d'une touche de fonction
réservée et variable selon le fabriquant. Hyper-V n'expose pas de BIOS
proprement dit mais seulement quelques réglages minimalistes, invariables
lors la machine virtuelle est démarrée ou en cours de démarrage. Si vous
avez rigoureusement suivi les manipulations indiquées jusqu'à présent, l'ordre
de la séquence d'amorçage des machines virtuelles n'a pas été modifié.
 Pour vous en assurer, sélectionnez chaque machine virtuelle, à partir du
gestionnaire Hyper-V ou de la console de celles-ci, utilisez le menu "Action …
Paramètres", puis en sélectionnant la rubrique "BIOS", vérifiez que dans le
cadre de droite "Ordre de démarrage", la ligne mentionnant "CD" est bien en
début de liste (au-dessus de la ligne "IDE").
CH3-36.png
Si vous avez besoin de modifier cet ordre, la machine virtuelle doit être
arrêtée (pas en hibernation). Utilisez ensuite les flèches à droite de ce cadre
pour déplacer les lignes.
Page 133 / 409

2°/ - Préparation du prochain démarrage
Sur l'une et l'autre des machines virtuelles, vérifiez que l'image ISO ou le DVD
original approprié (32 ou 64 bits) est correctement installé.
 Pour cela, à partir de la console de chaque machine virtuelle, utilisez le menu
"Support … Lecteur DVD …". Si le sous-menu "Ejecter …" affiche le nom
du média actif et que celui-ci correspond à l'image du DVD original, appuyer
sur la touche , sinon utilisez le sous-menu "Insérer un disque …" puis

cliquez sur le bouton "Parcourir" afin de sélectionner le fichier ISO
correspondant.
Le cas échéant, fermer la fenêtre d'exécution automatique liée à l'insertion du
média amovible.
Concernant le réseau, si vous avez rigoureusement suivi les manipulations
indiquées jusqu'à présent, l'interface de la machine virtuel est connectée au
commutateur virtuel "INTERNE HOTE" et le répertoire "C:\DEPLOY" de la
machine physique est partagé.
3°/ - Exécution de la préparation "sysprep"
Sur l'une des machines virtuelles, ouvrez une invite de commande en mode
administrateur, puis exécutez la commande suivante:
 C:\windows\system32\sysprep\sysprep /oobe /generalize
/reboot
N'ayant pas recours à un fichier de réponse dans cette démonstration, vous
pouvez omettre les options afin de renseigner l'interface graphique
équivalente
La phase de nettoyage se manifeste par l'apparition d'une animation

graphique
Page 134 / 409

Puis après quelques instants, l'ordinateur redémarre comme convenu par les
options…
4*/ - Démarrage sur DVD et WinPE

Au vue de la configuration vérifiée précédemment, lors du démarrage de la
machine virtuelle, juste après l'affichage de la bannière Hyper-V, vous
disposez de 3 à 4 secondes pour activer le démarrage sur le DVD.
Assurez-vous que le focus est actif en cliquant à l'intérieur de la fenêtre de la

console puis appuyez sur une touche quelconque lors de l'affichage du
message.
Page 135 / 409

CH3-41-crop.png
Le démarrage se poursuit alors sur le DVD original, à l'instar d'un processus
d'installation classique.
 Lorsque l'écran "Installer Windows" s'affiche, appuyez sur les touches
+ afin d'ouvrir l'invite de commande WinPE puis entrez le

 STARTNET
 IPCONFIG
 NET USE Z: \\192.168.255.254\DEPLOY /USER:Administrateur
Pa$$w0rd
X:\Sources> STARNET
X:\Sources> wpeinit
X:\Sources> IPCONFIG

fe80::f058:5077:b2d6:80f8%2
Adresse IPv4. . . . . . . . . . . . . .: 192.168.255.10
X:\Sources> NET USE Z: \\192.168.255.254\DEPLOY

X:\Sources>
5°/ Génération de l'image WIM.
Avant de procéder à la cette opération nous attirons votre attention sur les
particularités de création et de stockage du fichier WIM résultant. En effet,
dans cet exemple comme dans la pratique, l'espace de stockage est variable
et parfois insuffisant pour la génération d'une image WIM.
- Si l'espace libre est suffisant, le fichier WIM peut être généré sans problème
sur la même partition que celle qui est capturée.
- Si aucun espace libre suffisant n'est disponible localement, utiliser un disque
amovible qui sera dynamiquement reconnu par WinPE.
Astuce - L'environnement Hyper-V v2 permet de d'associer à chaud, un
nouveau disque dur virtuel, ou physique tel qu'un disque USB via le contrôleur
SCSI d'une machine virtuelle.(?? Détails en annexe ??)
Page 136 / 409

Pour des raisons de fiabilité, il est vivement est déconseillé de créer

directement le fichier WIM résultant sur le réseau Celui-ci doit donc toujours
être généré ou mis à jour localement puis être copié dans un deuxième
temps sur un autre support.
Sans entrer dans les détails de configuration de l'outil, il est légitime de

s'interroger sur la taille du fichier WIM résultant. Pour donner un ordre de
grandeur indicatif, consultez les informations de l'image INSTALL.WIM
d'origine, via DISM, IMAGEX ou GIMAGEX. Par exemple, une image de
distribution Windows 7 Entreprise 64 bits d'environ 2,6 Go correspond à un
volume d'extraction approximatif de 11,3 Go
Lors de la création d'un fichier WIM, les outils appliquent par défaut un
algorithme de compression rapide (FAST - XPRESS) et excluent certains
fichiers superflus. En fonction de l'outil, ces réglages sont modifiables via
l'interface, les commutateurs de la commande, ou dans tous les cas via un
fichier de configuration associé explicitement ou par défaut à l'outil. Si ce
fichier d'options de capture est présent dans le même dossier que, ce dernier
le prend automatiquement en considération.
Correspondance entre l'outil et le fichier de configuration par défaut
Outil de capture Nom du fichier de configuration par défaut
IMAGEX WIMSCRIPT.INI
GIMAGEX CONFIG.INI
WDSCAPTURE WDSCAPTURE.INF
Exemple de contenu pour IMAGEX par défaut (Il est inutile de créer le fichier
dans ce cas)
[ExclusionList]
ntfs.log
hiberfil.sys
pagefile.sys
"System Volume Information"
RECYCLER
Windows\CSC
[CompressionExclusionList]
*.mp3
*.zip
*.cab
\WINDOWS\inf\*.pnf
Pour plus d'information, consultez la documentation associée à l'outil.
5a - Capture via GImageX :

En fonction de la machine virtuelle concernée, exécutez le programme
"GImageX" adéquate en tapant l'une des commandes suivantes
Ou
 Sélectionnez ensuite l'onglet "Capture". Utilisez les boutons "Browse" pour
sélectionner respectivement la source "C:\" (correspondant à la lettre du
Page 137 / 409

système d'exploitation préparé avec "sysprep" - attention cette lettre n'est pas
nécessairement la même que celle du système opérationnel) puis la
destination "C:\W7xzy-REF.wim" (Nom arbitraire affecté à votre fichier WIM
de référence) - Les champs facultatifs, "Name", "Description", "Display Name"
et "Description", restent à votre discrétion mais seront néanmoins intégrés aux
métadonnées de l'image et utiles pour identifier cette image de référence par
la suite.
 Cliquez sur le bouton "Create" pour débuter le processus de création de

l'image WIM.
Page 138 / 409

Cette opération prend plusieurs dizaines de minutes en fonction de la taille de

l'image, de la rapidité du support et du taux de compression demandé.
 Une fois l'image WIM générée correctement, cliquez sur le bouton "Close"
puis quittez l'outil" GImageX".
L'image de référence est dorénavant prête à être copiée vers un support de
distribution. Par exemple en recopiant ce fichier .WIM en lieu et place du
fichier INSTALL.wim d'un support original.
5b - Variante via l'assistant WDSCapture :

Pour la démonstration, après avoir répété les étapes 3 et 4 sur la seconde
machine virtuelle, nous vous proposons de découvrir "WDSCapture". En effet,
cet outil toujours disponible sur le DVD original et ne nécessite donc aucune
initialisation du réseau comme à l'étape 4.
Peu importe la machine virtuelle concernée, du fait que le DVD contient les
binaires appropriés. Il suffit simplement de solliciter l'outil inclut dans le chemin
de recherche (Path) de WinPE via la commande suivante :
 X:Sources>WDSCapture
Bien que cet outil soit initialement prévu pour une utilisation conjointe avec les
services de déploiement Windows (WDS), il présente l'avantage d'une
interface graphique simple d'utilisation.
Page 139 / 409


 Sélectionnez l'unique lettre d'unité affichée dans la liste déroulante "Volume
a" (Pour le texte original en anglais "Volume to Capture", une petite erreur
cosmétique s'est glissée dans la version française)
Important : Contrairement aux autres outils, WDSCapture vérifie et impose

que le système d'exploitation à capturer ait été préparé via "sysprep
/generalize" ou "sysprep /reseal". Dans le cas contraire, aucune lettre n'est
affichée dans la liste déroulante, et rand tout capture impossible via cet
assistant.
 Entrez respectivement un nom et une description de l'image dans les champs
prévus à cet effet (Métadonnées de l'image utiles à l'identification de cette
image de référence par la suite) puis cliquez sur le bouton "Suivant".
Page 140 / 409

 Indiquez ensuite le nom complet correspondant à votre fichier WIM de

référence en utilisant le bouton "Parcourir.
.
Page 141 / 409

 Laissez la case "Télécharger l'image sur un serveur …" décochée puis

cliquez sur le bouton "Suivant afin de démarrer le processus de capture.
Vous aurez toujours la possibilité d'importer manuellement cette image sur

un serveur de déploiement Windows.
Cette opération prend plusieurs dizaines de minutes en fonction de la taille de
l'image, de la rapidité du support et du taux de compression demandé.
 Une fois l'image WIM générée correctement, cliquez sur le bouton "Terminer"
pour fermer l'assistant.
Page 142 / 409

L'image de référence est dorénavant prête à être copiée vers un support de

distribution. Par exemple en recopiant ce fichier .WIM en lieu et place du
fichier INSTALL.wim d'un support original, ou en l'important en tant qu'image
d'installation sur un serveur de déploiement Windows WDS (cf Chapitre 5) .
Page 143 / 409

Chapitre 4 : L'automatisation des installations
Chapitre 4 : L'automatisation des

installations
1. introduction
Jusqu'à présent, nous avons évité le recours à ce kit en utilisant les
programmes suivants:
- DISM pour la manipulation des fichiers WIM (Outil inclus dans les systèmes
Windows 7 / 2008R2)
- SYSPREP pour la préparation du poste de référence (Outil
systématiquement présent dans les systèmes NT6, Vista à Windows Server
2008R2)
- GIMAGEX - Pour l'extraction (installation) ou la génération (capture) d'une
distribution (Outil gratuit à télécharger)
- WDSCapture - Pour la génération d'une image WIM à partir d'un poste
maitre (Outil inclus dans un DVD original d'installation de Windows 7)
Pour automatiser les processus d'installation, nous aurons recours à des

fichiers de réponse XML. Bien que ces derniers soient modifiables à partir
d'un simple éditeur de texte, il n'est pas concevable de concevoir ce genre de
fichier sans un minimum d'assistance.
Pour cela, le "WAIK" fournit un éditeur spécialisé : le "Gestionnaire d'image
système Windows" aussi appelé "WSIM" (Windows System Image Manager)
Bien que beaucoup plus abouti, cet outil correspond approximativement au

programme "Assistant Gestion d'installation" utilisé par les générations
précédentes de Windows (Setupmgr.exe inclus dans le fichier DEPLOY.cab,
au même titre que la documentation REF.chm et l'outil de préparation
SYSPREP)
2. Le kit de déploiement automatisé WAIK

2.1. Présentation générale
Composant clé du technicien de déploiement, le WAIK "Windows Automated
Installation Kit", propose une véritable panoplie d'outils et documentations sur
ce sujet. Ce kit gratuit est disponible sous forme d'un fichier .ISO (~1,6Go) qui
peut être téléchargé à l'adresse suivante
http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=696DD665-
9F76-4177-A811-39C26D3B3B34
Une mise à jour SP1 (~1.3Go) est également disponible à l'adresse suivante
http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=0aee2b4b-
494b-4adc-b174-33bc62f02c5d
Ce kit peut être installé sur un ordinateur équipé de Windows Server
2003Sp2, VistaSp1 et ultérieur. Il contient les outils pour toutes les
Page 144 / 409

plateformes x86, x64 et IA64, ainsi que les documentations de référence en

matière de déploiement.
DISM fait partie intégrante du kit, au cas où l'installation serait réalisée sur un
système antérieur à Windows 7 ou Server 2008R2
Directement associé à la sortie de la future version de Windows 8, le WAIK
sera rebaptisé WADK "Windows Assessment and Deployment Kit". Ce
changement induit une certaine évolution des outils mais ne remet
aucunement en cause les principes fondamentaux traités dans cet ouvrage. A
titre d'information, la version de WinPE 4 supportera entre autres
améliorations, l'intégration du framework .NET version 4 ainsi que PowerShell
v 3.0 auquel pourront être associé des applets de commande (cmdlet)
relatives à DISM et au stockage en réseau iSCSI. Le protocole
d'authentification de niveau réseau 802.1x sera officiellement supporté.
2.1.1. Installation du kit
L'installation ne présente aucune difficulté. Lors de l'insertion du CD-Rom ou

du montage de l'image ISO via VirtualCloneDrive sur votre plateforme de test,
le programme d'installation "STARTCD.exe" devrait être exécuté.
 Cliquez sur le lien "Installation du Kit" afin de démarrer l'assistant

d'installation du kit.
Page 145 / 409

 Cliquez sur le bouton "Suivant", sélectionnez ensuite l'option "J'accepte" du

contrat de licence et cliquez de nouveau sur le bouton "Suivant". Conservez
les valeurs par défaut et cliquez deux fois sur le bouton "Suivant". Une fois
l'installation achevée, cliquez sur le bouton "Fermer".
Dans le menu "Démarrer … Tous les programmes", une nouvelle rubrique
"Microsoft Windows AIK" apparait et propose quatre liens de premier niveau
:
 "Gestionnaire d’images système Windows" - Egalement dénommé
WSIM, il s(agit de l'éditeur de fichier de réponse XML utilisé par les
installations automatisées
 "Invite de commande des outils de déploiement" - Il s'agit d'une simple
invite de commande à laquelle sont ajoutés les chemins de recherche vers
les différents outils du kit.
 "Documentation" - Ensemble des guides et documents techniques
(principalement au format .CHM) - Certains documents sont en anglais.
 "VAMT 1.2" - Outil de gestion de l'activation des licences en volume (MAK) -
Permet de recenser l'état des licences installées sur les différents
ordinateurs d'un réseau. Une version plus récente est disponible à l'adresse
suivante : http://www.microsoft.com/downloads/fr-
fr/details.aspx?familyid=ec7156d2-2864-49ee-bfcb-777b898ad582

Installation du supplément facultatif SP1
Ce supplément est délivré sous forme d'un fichier .ISO mais ne contient pas
de procédure d'installation.
Page 146 / 409

Procédez au montage de cette image ISO via VirtualCloneDrive sur votre

plateforme de test (Lecteur F: dans cet exemple).
Copiez ensuite l'intégralité du contenu vers le dossier " C:\Program
Files\Windows AIK\Tools\PETools" correspondant à l'installation du kit initial,
en effectuant le remplacement des fichiers existants. Vous pouvez effectuer
cette opération via l'explorateur Windows ou via une invite de commande en
mode Administrateur.
 XCOPY F:\*.* "C:\Program Files\Windows AIK\Tools\PETools"
/S /Y
C:> XCOPY F:\*.* "C:\Program Files\Windows AIK\Tools\PETools" /S

/Y
F:\COPYPE.CMD
F:\PESETENV.CMD
F:\SETSANPOLICY.CMD
F:\SSSHIM.DLL
F:\AMD64\BOOTMGR
F:\AMD64\BOOTMGR.EFI
F:\AMD64\BOOTSECT.EXE
F:\AMD64\WINPE.WIM
F:\AMD64\BOOT\BCD
F:\AMD64\BOOT\BOOT.SDI
F:\AMD64\BOOT\BOOTFIX.BIN
F:\AMD64\BOOT\EFISYS.BIN
F:\AMD64\BOOT\EFISYS_NOPROMPT.BIN
F:\AMD64\BOOT\ETFSBOOT.COM
F:\AMD64\BOOT\FONTS\CHS_BOOT.TTF
F:\AMD64\BOOT\FONTS\CHT_BOOT.TTF
…
…
…
F:\X86\WINPE_FPS\ZH-TW\WINPE-SETUP_ZH-TW.CAB
F:\X86\WINPE_FPS\ZH-TW\WINPE-SRT_ZH-TW.CAB
F:\X86\WINPE_FPS\ZH-TW\WINPE-WDS-TOOLS_ZH-TW.CAB
F:\X86\WINPE_FPS\ZH-TW\WINPE-WMI_ZH-TW.CAB
C:>
Introduction à l'utilisation
N'oubliez pas que le raccourci "Invite de commande des outils de

déploiement" doit toujours être exécuté en mode administrateur. Nous vous
conseillons donc de modifier les propriétés de ce raccourci comme suit :
Page 147 / 409

Dans la fenêtre des propriétés, sous l'onglet "Raccourci", cliquez sur le bouton
"Avancé…" , cochez la case "Exécuter en tant qu'administrateur" puis
cliquez deux fois sur le bouton "OK" pour fermer ces fenêtres.
Page 148 / 409

Les outils majeurs apportés par ce kit sont :

DISM : Cet outil est chargé de gérer le contenu d'une image (Pilotes,
Fonctionnalités …) ou d'un système installé ("online") - Déjà inclus par défaut
dans les systèmes Windows 7 et Windows Server 2008R2, nous avons déjà
grandement évoqué ses capacités. Contrairement à ImageX, cet outil n'est
pas en mesure de créer ou extraire directement une image d'un fichier .WIM
ImageX : Cet outil en ligne de commande permet de générer, appliquer et
gérer les images au sein d'un fichier WIM. Cet outil a en commun avec DISM,
la capacité de procéder à des "montages" d'images.
Gestionnaire d'image système Windows (Windows System Image
Manager) : Cet outil graphique est destiné à gérer les fichiers de réponse XML
associés aux images WIM. Nous allons particulièrement détailler son
utilisation dans ce chapitre.
OSCDIMG : Bien que plus marginal, cet outil en ligne de commande a la
capacité de générer un fichier .ISO. Dans ce cadre d'utilisation, le kit met
également à disposition une amorce "El Torito" par le fichier
"ETFSBOOT.com" nécessaire au démarrage direct sur un support CD/DVD.
2.1.2. Principes de l'outil IMAGEX
Cet outil en ligne de commande, propose différents commutateurs de premier

niveau, que vous pouvez afficher via la commande "IMAGEX /?"
IMAGEX /APPEND /?
IMAGEX /APPLY /?
IMAGEX /CAPTURE /?
IMAGEX /DELETE /?
IMAGEX /DIR /?
IMAGEX /EXPORT /?
IMAGEX /INFO /?
IMAGEX /SPLIT /?
IMAGEX /MOUNT /?
IMAGEX /MOUNTRW /?
IMAGEX /REMOUNT /?
IMAGEX /COMMIT /?
IMAGEX /UNMOUNT /?
IMAGEX /CLEANUP /?
Hormis le tableau suivant nous ne détaillerons pas les différentes possibilités

de ces outils. Pour plus d'information, veuillez consulter la documentation
associée.
Tableau récapitulatif des options Imagex, [GImageX] et DISM
Option Option Commentaires

ImageX DISM
[Onglet+optio
n]
APPEND N/A Permet d'ajouter une image dans un fichier
.WIM existant - (voir aussi CAPTURE)
[Capture]
Page 149 / 409

[+Append]
APPLY N/A Permet d'extraire la structure d'une image
donnée à partir d'un fichier .WIM existant
[Apply]
vers une destination préalablement
formatée.
CAPTURE N/A Permet de créer la première image dans un
fichier .WIM (voir aussi APPEND)
[Capture]
[+ Create]
DELETE N/A Permet de supprimer une image dans un
fichier .WIM existant
[Delete]
DIR N/A Permet d'énumérer la structure de fichier
d'une image donnée au sein d'un fichier
[N/A]
.WIM existant
EXPORT N/A Permet d'extraire une image donnée à partir
d'un fichier .WIM existant vers un nouveau
[Export]
fichier .WIM
INFO Get- Permet d'afficher les métadonnées XML
WinInfo d'un fichier .WIM existant (Taille, nombre
d'images, description…)
SPLIT N/A
MOUNT Mount- Permet de réaliser le montage en lecture
Wim seule, d'une image donnée dans un fichier
[Mount]
.WIM vers un dossier existant. (vide ou non)
ReadOnly
MOUNTRW Mount- Permet de réaliser le montage en
Wim lecture/écriture, d'une image donnée dans
[Mount]
un fichier .WIM vers un dossier existant.
[+-R/W] (vide ou non) - Valeur par défaut dans DISM
REMOUNT Permet de réactiver un montage précédent
Remount- encore présent dans le cache (eg
[N/A]
Wim Redémarrage de l'ordinateur)
COMMIT Commit- Permet de valider les modifications
Wim réalisées au sein du montage actif et mettre
[Mount]
ainsi l'image dans le fichier WIM.
[+Commit]
UNMOUNT Permet le "démontage" d'une image en
Unmount- validant ou non, les modifications réalisées.
[Mount]
Wim Les valeurs par défaut sont COMMIT pour
[+Unmount] DISM, et DISCARD pour IMAGEX.
CLEANUP Cleanup- Permet de purger les montages rémanents
Wim En cas d'échec lors d'un démontage le
[N/A]
dossier concerné ne peux plus être utilisé
tant qu'il n'a pas été purgé.
Page 150 / 409

Schéma de principe
Vous avez eu l'occasion de découvrir précédemment une adaptation

graphique GIMAGEX, dans laquelle vous retrouvez, sous forme d'onglets, les
principales possibilités de l'outil IMAGEX. On peut regretter que cette version,
v2.0.17, ne propose pas encore toutes les capacités de l'outil en ligne de
commande, telle que l'option CLEANUP, très utile pour purger les montages
rémanents.
En effet, vous constaterez lors de vos manipulations d'images WIM, que
certains montages ou démontages peuvent échouer pour diverses raisons.
Par exemple, l'utilisation de l'explorateur Windows au sein d'un montage,
conserve fréquemment des références en cache sur les fichiers (handles) et
présentent une risque d'échec lors du démontage. De plus, les montages
restent rémanents suite à un redémarrage de l'ordinateur et le montage reste
dans un état instable. Dans ce cas, il est possible de tenter une reprise d'un
précédent avec le commutateur "REMOUNT"
Notez toutefois que DISM offre également ces options via les commutateurs
"/Cleanup-Wim" et "/Remount-Wim"
GImageX présente un petit défaut, et renvoie des erreurs, lors de son
utilisation sur des plateformes antérieures à Windows NT6. Pour y remédier,
vous devrez copier les 2 bibliothèques "wimgapi.dll", respectivement pour les
versions 32 ou 64 bits, dans le même dossier que l'exécutable "GImagex.exe"
correspondant.
2.1.3. Gestionnaire d'image système Windows (WSIM)
Présentation de l'outil
Cet outil incontournable dans le cadre des installations automatisées, repose

sur l'exécutable "C:\Program Files\Windows AIK\Tools\Image
Manager\ImgMgr.exe". Avant de détailler l'utilisation de cet éditeur spécialisé
de fichier de réponse, il faut remarquer quelques concepts importants :
Page 151 / 409

- Les fichiers de réponse XML sont intimement liés à un fichier .WIM. Cette
contrainte est fortement conseillé lors de l'édition et impérative lors de l'ajout
de composants (Ce derniers faisant partie intégrante de l'image WIM)
- De plus, une image WIM associée correspondant obligatoirement une image
d'un système Windows NT6. Autrement dit, il n'est pas possible d'y associer
un fichier WIM d'un système antérieur, même préparé avec "sysprep". Il n'est
pas non plus possible d'y associer une image WinPE.
- Enfin, chaque image .WIM associée doit disposer d'un catalogue (fichier
.CLG) préalablement constituée via le sous-programme "Imagecat.exe". En
cas d'absence, la génération du catalogue est proposée lors de l'ouverture de
l'image .WIM. La création d'un nouveau catalogue est disponible via le menu
"Outils … Créer un catalogue…"
Si vous n'avez pas ajouté de package additionnel dans une image WIM
personnalisée, vous pouvez utiliser le catalogue et l'image d'origine ayant
servie à l'installation du système de référence. Lorsque le catalogue est
considéré obsolète, il est nécessaire de réindexer l'image .WIM associée.
Attention, seule la version 32 bits du gestionnaire d'image système Windows
est en mesure d'indexer et générer le catalogue d'images x86, x64 ou ia64.
Autrement dit, la version 64 bits de WSIM peut uniquement régénérer un
catalogue portant sur une image 64 bits.
L'éditeur de fichier de réponse XML "Gestionnaire d'image système

Windows" (WSIM) se présente comme suit :
Les différents cadres sont redimensionnables
Page 152 / 409

2.2. Gestion des fichiers de réponse

2.2.1. Le potentiel du fichier de réponse XML
A ce stade, votre poste de référence doit être préparé et la méthode

d'installation définie.
Pour rappel, le partitionnement, le formatage et la gestion de l'amorçage sont
des étapes fondamentales pouvant être assumées par différents outils ou par
le biais d'un fichier de réponse associé au programme d'installation
"\sources\Setup.exe"
Méthode N°1 : La restauration de l'image est réalisée via ImageX - Dans ce
cas, le fichier de réponse doit être passé en paramètre de la commande
SYSPREP. Il sera délicat d'en modifier le contenu et les phases de
partitionnement, de formatage, ainsi que la configuration de l'amorçage,
resterons à votre charge (ie DISKPART, BCDBOOT)
Méthode N°2 : La restauration de l'image est réalisée via le programme
"Setup" - Bien que plus délicate à mettre au point, cette méthode permet de
maintenir le fichier de réponse sans l'intégrer à l'image et peut ainsi piloter les
étapes de préparation telles que le partitionnement des disques. Sous réserve
d'y indiquer les directives appropriées, un même fichier de réponse peut être
utilisé pour l'outil de préparation "sysprep" et pour le programme d'installation
"Setup".
Les fichiers de réponse sont donc exploitables comme suit :
 en association avec le programme d'installation "Setup", soit en stipulant
explicitement le nom et l'emplacement du fichier via le commutateur
"/unattend", soit en nommant le fichier "autounattend.xml" présent à la racine
d'un support amovible (disquette ou clé USB) ou dans le même dossier que le
programme "setup".
 en association avec l'outil de préparation "sysprep" en stipulant explicitement
le nom et l'emplacement du fichier
 en association avec une image de distribution .WIM hébergée sur un serveur
de déploiement WDS
2.2.2. Les phases de configuration
Les composants de configuration (et d'installation) font partie intégrante d'un

système NT6, .ce qui implique une relation très forte entre l'image WIM et le
fichier réponse XML.
Ces différentes étapes dépendent essentiellement des options de préparation
stipulées lors de l'exécution de la commande SYSPREP. Lors de la sélection
d'un composant, l'éditeur ne propose que les phases valides pour l'ajout de
celui-ci.
Le schéma ci-après symbolise l'imbrication et les principales actions à charge
de ces différentes étapes:
Page 153 / 409

Ces phases de configuration sont numérotées dans l'éditeur
Résumé des étapes
 1 - WindowsPE
Phase préliminaire durant laquelle il est principalement possible de gérer les
disques (partitions, formatage..) , de stipuler l'image source, la destination
d'installation, etc…
 2 - OfflineServicing
Phase durant laquelle l'image .WIM a été extraite vers la partition de
destination. Le processus génère ou met à jour le mécanisme d'amorçage
avant le premier redémarrage
 3 - Generalize
Cette phase est traitée uniquement si cette option de préparation a été
demandée (Purge des MRU, régénération du SID d'ordinateur, désactivation
du compte Administrateur intégré, etc…)
Page 154 / 409

 4 - Specialize
Cette phase est traitée à chaque préparation via SYSPREP et constitue la
partie essentielle de l'installation (Détection des périphériques et installation
des pilotes, initialisation du registre…) -
Une animation très représentative est affichée durant le traitement de cette
phase.
CH4-07a.png
Bien que cela ne présente que très peu d'intérêt, cette animation est basée
sur un ensemble d'images .BMP contenus dans le fichier
"%windir%\System32\oobe\FirstUXRes.WIM"
 5 - AuditUser , 6 - AuditSystem
Ces phases particulières sont traitées lorsque l'action de nettoyage "Audit" de
SYSPREP a été choisie. Cette option de préparation permet de conserver des
paramètres et réglages généralement réinitialisés.
Cette option est particulièrement utilisée par les intégrateurs et constructeurs

de matériel afin de personnaliser leur image de référence en y intégrant leurs
propres pilotes ou autres applications. Suite à ce traitement intermédiaire, le
poste doit subir un nouveau préparé avec l'option OOBE afin de le mettre en
condition de distribution finale. (Ce mode de traitement peut être assimilé à
l'option "config Usine" des versions antérieures)
Ce mode peut être invoqué par l'option sysprep, au sein du fichier de réponse
ou encore via la combinaison des touches [Ctrl] + [Maj] + [F3] lors de
l'affichage de l'écran "Configurer Windows".
Page 155 / 409

Lorsque la case "généraliser" a été cochée pour le mode Audit, il est inutile,
voire déconseillé, de cocher de nouveau en mode OOBE.
 7 - OobeSytem
Cette phase de finalisation, dénommée "Expérience d'utilisateur hors boite"
(Out Off Box Experience) effectuée suite à chaque préparation sysprep -
Durant cette étape, sont demandés, le nom de l'ordinateur, le nom de
l'utilisateur (équivalent Administrateur), le fuseau horaire, le comportement
des mises à jour automatiques….
2.2.3. Création du fichier de réponse (Setup)
Pour être pleinement opérationnelle, l'édition efficace d'un fichier de réponse

.XML, requiert une association avec un fichier de distribution ".WIM", lui-même
indexé par un ou plusieurs fichiers ".CLG" (Un catalogue par image). Pour ce
premier contact, nous utiliserons donc un DVD original disposant de ces
fichiers stockés dans le dossier "\Sources".
Pour cela, assurez-vous que le DVD ou l'image ISO est insérée dans le
lecteur VirtualCloneDrive. Pour cet exemple, nous choisirons l'édition de
Windows 7 Entreprise 32 bits (ie 7600.16385.090713-
1255_x86fre_enterprise_fr-fr_EVAL_Eval_Enterprise-
GRMCENEVAL_FR_DVD.iso)
 Ouvrez l'éditeur de fichier de réponse .XML à partir du menu "Démarrer …
Tous les programmes … Microsoft Windows AIK … Gestionnaire
d’images système Windows"
La première étape consiste à ouvrir un fichier de réponse existant ou en créer
un nouveau via le menu "Fichier" ou les icônes prévues à cet effet. Comme
mentionné précédemment, la création d'un nouveau fichier déclenche le
message suivant :
 Cliquez sur "Oui". Dans la fenêtre de sélection de l'image Windows,

sélectionnez la distribution "install.wim" ou le fichier catalogue
"Install_Windows 7 ENTREPRISE.clg", puis cliquez sur le bouton "Ouvrir"
Dans le cadre de détail de l'image Windows, vous constatez alors l'ampleur

des composants de configuration (cubes bleutés) ainsi que la présence de
quelques packages.
Page 156 / 409

La création d'un fichier de réponse peut donc être très "chronophage" et la

localisation des composants appropriés à vos besoins peut être délicate.
Nous allons donc focaliser cette étude sur la configuration automatique de
quelques éléments représentatifs. Autrement dit sur les points évoqués dans
le chapitre précédent.
Vous pouvez vous inspirer du fichier de réponse par défaut (unattend.xml)

fournit dans le cadre du "Microsoft Deployment Toolkit" que nous aborderons
dans le dernier chapitre.
Pour information, l'activation ou la désactivation de fonctionnalités
intrinsèques de Windows s'effectue via le sous-ensemble "Foundation" situé
sous la rubrique "Packages". Bien que ces éléments correspondent à
l'interface "Activer ou désactiver des fonctionnalités Windows" d'un système
installé, ils sont toujours affichés en anglais.
Création des partitions
Pour illustrer le principe de gestion des composants, dont la complexité de

chacun est très variable, nous détaillerons cette étape particulièrement
délicate liée à la gestion des disques.
Pour l'exemple, nous allons créer 3 partitions suivantes
 Une partition principale active d'amorçage (Taille : 100Mo)
Page 157 / 409

 Une partition principale pour le système Windows 7 (Taille : 20Go)

 Une partition principale pour les données (Taille : Le reste du disque)
 A partir du cadre "Image Windows", développez l'arborescence des

composants "Components … x86_Microsoft-Windows-
Setup_6.1.7600.16385_neutral … DiskConfiguration … Disk …
CreatePartitions … CreatePartition". Sélectionnez le dernier élément "
CreatePartition" puis utilisez le menu contextuel ou le menu "Edition …" puis
"Ajouter le paramètre à la passe 1 WindowsPE"
Prêtez une attention toute particulière au nom des composants : dans notre
cas, il s'agit de "…Setup…" et non "…Shell-Setup …" et l'élément
"CreatePartition" est un sous-ensemble de la collection "CreatePartitions".
Vous avez pu constater que l''éditeur ne propose que la (les) phase(s)
adaptée(s) à l'élément sélectionné. Ensuite la structure de l'élément est
ajoutée dans le cadre "Fichier de réponses" et le cadre "Propriétés de …"
permet la saisie des valeurs.
Les cubes bleutés plus clair indiquent que l'élément du composant ne contient
aucune valeur.
Page 158 / 409

Bien que cela n'ait pas d'incidence sur le traitement, l'ajout d'un élément de
même type positionne celui-ci au début de la collection, (eg
CreatePartitions). Nous commençons donc par le dernier élément afin
respecter la chronologie au niveau de l'affichage
Au cours de ces manipulations, vous pourrez remarquer que :

- Lors de la sélection d'un champ, la zone "Type" en bas du cadre de
propriétés donne des informations sur les valeurs possibles. Certains champs
proposent une liste déroulante pour faciliter la saisie
- Les nouvelles saisies sont affichées en gras et les cubes symbolisant
l'élément deviennent plus foncés.
- Vous pouvez obtenir de l'aide contextuelle (en anglais) en appuyant sur la
touche [F1] au niveau du champ de chaque paramètre.
- Pour repositionner une valeur par défaut, ou vider un champ, utilisez le menu
"Edition … Annuler" ou le menu contextuel "Annuler la modification"
 Au niveau de la zone "Paramètres" du cadre "Propriétés de CreatePartition"

entrez les valeurs suivantes :
 Action : AddListItem (Valeur par défaut)
 Extend : false (La valeur "True" indiquerait d'étendre une partition existante -
inapproprié en cas de création)
 Order : 3 (Ce champ stipule la chronologie d'une tache en cas de doublons)
 Size : 10 (Ce champ indique la taille de la partition en Mo - Cette valeur de
10Mo est provisoire et sera modifiée ultérieurement)
 Type : Primary (Ce champ stipule le type de partition - Dans note cas nous
allons créer une partition principale sur un disque à secteur de démarrage
principal MBR)
 De la même manière, pour créer les partitions supplémentaires, vous devez
répéter la première opération, en ajoutant de nouveau l'élément
"CreatePartition", soit à partir de l'arborescence du composant affiché dans
le cadre "Image Windows", soit via le menu contextuel de l'élément "Inserer
un nouvel élément «CreatePartition»".
Au niveau de la zone "Paramètres" du cadre "Propriétés de CreatePartition"
entrez les valeurs suivantes
 Action : AddListItem
 Extend : false
 Order : 2
 Size : 20000
 Type : Primary
Répétez cette opération pour la dernière partition et entrez les valeurs
suivantes
 Extend : false
Page 159 / 409

 Order : 1
 Size : 100
 Type : Primary
A ce stade, nous avons simplement indiqué de créer les partitions sur le

premier disque dur. Il est donc nécessaire de poursuivre la configuration en
stipulant les caractéristiques de préparation de ces partitions, telles que les
lettres d'unité ou le formatage, en procédant comme suit :
Setup_6.1.7600.16385_neutral … DiskConfiguration … Disk …
ModifyPartitions … ModifyPartition". Sélectionnez le dernier élément
"ModifyPartition" puis utilisez le menu contextuel ou le menu "Edition …" puis
"Ajouter le paramètre à la passe 1 WindowsPE"
 Au niveau de la zone "Paramètres" du cadre "Propriétés de
ModifyPartition" entrez les valeurs suivantes :
 Action : AddListItem (Valeur par défaut)
 Active : Vide (Ce champ positionne l'attribut de démarrage sur la partition
indiquée dans "PartitionID" )
 Extend : True (Permet d'étendre la partition au reste du disque - Taille
originale définie à 1Mo dans CreatePartition)
 Format : NTFS (Ce champ indique le système de fichier pour le formatage)
 Label : DATA (Ce champ facultatif affecte une description au volume)
 Letter : D (Ce champ permet de stipuler la lettre d'unité affectée à la
partition)
 Order : 3 (cf CreatePartition)
 PartitionID : 3 (Ce champ indique le numéro de la partition concernée. La
valeur "1" identifie la première partition.)
 TypeID : vide (Ce champ facultatif stipule l'identifiant de partition - Utilisé
pour les partitions spéciales telles que les partitions de maintenance de type
constructeurs OEM)
 Pour configurer les 2 partitions restantes, vous devez répéter cette même
opération, en ajoutant de nouveau l'élément "ModifyPartition" à partir de
l'arborescence du composant affiché dans le cadre "Image Windows" ou le
menu contextuel de l'élément "Inserer un nouvel élément
«ModifyPartition»"..
ModifyPartition" entrez les valeurs suivantes :
 Active : Vide
 Extend : vide
 Format : NTFS (Le système de fichier NTFS est imposé pour l'installation
d'un système Windows 7 et ainsi que pour la partition d'amorçage Bitlocker)
Page 160 / 409

 Label : W7x86-SYS (Ce champ facultatif affecte une description au volume)

 Letter : C
 PartitionID : 2 (Ce champ indique le numéro de la partition concernée. La
valeur "1" identifie la première partition.)
 TypeID : vide
 Répétez cette opération pour la dernière partition et entrez les valeurs
suivantes
 Active : True (Permet d'activer le secteur d'amorçage de cette partition)
 Extend : vide
 Format : NTFS
 Label : Boot
 Letter : vide (En l'occurrence aucune lettre ne sera affectée à la partition
d'amorçage afin que par défaut celle-ci n'apparaisse pas dans l'explorateur
Windows)
 PartitionID : 1
 TypeID : vide
Avant de poursuivre la configuration des autres paramètres, vous pouvez

vérifier la cohérence des valeurs saisies en utilisant le menu "Outil … Valider
le fichier de réponse" ou l'icône correspondante. Ceci a pour effet d'afficher
les éventuels avertissement et erreurs, dans le cadre "Messages" en bas de
l'éditeur
Dans notre exemple, le message indique que l'élément "DiskID" n'a pas de
valeur. Il s'agit en fait du numéro de disque dur. Vous devez donc sélectionner
l'élément en question, ou plus simplement effectuer un double-clic sur le
message afin d'être directement positionné sur l'élément incriminé.
 Entrez les valeurs suivantes :
 DiskID : 0 (Ce champ stipule le numéro de disque dur sur lequel la partition
doit être créée. La valeur "0" identifie le premier disque)
 WillWipeDisk : true (Ce champ indique si la table des partitions existantes
doit être préalablement supprimée)
Gestion de l'image de distribution
Page 161 / 409

Comme nous l'avons déjà évoqué, un fichier de distribution, en l'occurrence

"INSTALL.wim", peut contenir une ou plusieurs images systèmes. Dans tous
les cas, pour en automatiser l'installation, il est nécessaire de stipuler le nom
ou le numéro d'index de l'image à installer.
A partir du cadre "Image Windows", développez l'arborescence des

Setup_6.1.7600.16385_neutral … ImageInstall … OSImage … InstallFrom".
Sélectionnez le dernier élément "MetaData" puis utilisez le menu contextuel
ou le menu "Edition …" puis "Ajouter le paramètre à la passe 1 WindowsPE"
Au niveau de la zone "Paramètres" du cadre "Propriétés de MetaData "
 Key : /image/index
 Value : 1
Dans la même logique il est nécessaire de stipuler la partition de destination

pour l'installation du système.
Page 162 / 409

A partir du cadre "Image Windows", développez l'arborescence des

Setup_6.1.7600.16385_neutral … ImageInstall … OSImage". Sélectionnez le
dernier élément " InstallTo" puis "Ajouter le paramètre à la passe 1
WindowsPE" via le menu contextuel ou le menu "Edition …"
Au niveau de la zone "Paramètres" du cadre "Propriétés de InstallTo" entrez
les valeurs suivantes :
 DiskID : 0 (Cette valeur stipule le numéro du disque dur de destination -
Pour rappel la numérotation des disques commence à 0)
 PartitionID : 2 (Cette valeur indique le numéro de la partition de destination -
Pour rappel la numérotation des partitions commence à 1)
Attention : Dans cet exemple, nous avons indiqué de détruire les partitions
existantes via l'option " WillWipeDisk : true" ce qui aura pour conséquence
de détruire un éventuel contenu, sans aucune confirmation.
La licence d'utilisation
Il est possible d'automatiser l'accord du Contrat de Licence de l'Utilisateur

Final (CLUF).
Page 163 / 409


Setup_6.1.7600.16385_neutral". Sélectionnez l'élément "UserData" et utilisez
le menu contextuel ou le menu "Edition …" puis "Ajouter le paramètre à la
passe 1 WindowsPE"
Au niveau de la zone "Paramètres" du cadre "Propriétés de UserData "
 AcceptEula : true (Accord de licence CLUF ou en anglais : End User
Licence Agrement)
 Fullname : ENI (Facultatif : Nom du propriétaire de la licence)
 Organization : ENI (Facultatif : Nom de la société ou du service détenteur de
la licence)
Note : Vous pouvez stipuler la clé de licence "ProductKey" dans cet élément.
L'absence de clé ne bloque pas le processus d'installation et dépend surtout
du type de licence, et donc de la gestion plus ou moins complexe de ces
numéros. Le stockage de cette information dans un fichier de réponse
constitue un risque potentiel et le processus masquera la clé au sein du fichier
après traitement. Le cas échéant, vous pourrez toujours recourir à l'outil
SLMGR.vbs, une fois l'installation effectuée. Au besoin, reportez-vous au
paragraphe D du chapitre 1 sur la gestion des licences
Automatisation des taches finales d'installation
Si vous utilisiez le fichier de réponse en l'état, les taches finales de

configuration (OOBE) resteraient à la discrétion de l'installateur. Ces réglages
correspondent à l'écran de bienvenue (welcome screen) affiché la fin du
dernier redémarrage d'une installation.
Page 164 / 409

Avant d'aborder concrètement la configuration de chacun de ces réglages, il

convient de commenter certains choix qui ont une incidence directe sur vos
politiques de sécurité et votre infrastructure.
Bien que modifiables à postériori, le premier écran pose 2 questions
fondamentales :
 L'utilisateur local : Ce compte d'utilisateur, membre du groupe local
d'administrateurs est à confronter au compte d'administration intégré,
désactivé par défaut, (Comptes auxquels il est conseillé d'adjoindre des
stratégies fortes de mot de passe, vides par défaut) - La réactivation et le
recours au compte d'administrateur intégré permet de s'affranchir des
contraintes UAC dans le cadre de taches complémentaires lancées en post-
installation (i.e "Autologon")
 Le nom de l'ordinateur : Bien que l'identifiant unique (SID) de la machine soit
généré à ce stade, il convient d'affecter un nom devant garantir l'unicité au sein
d'un même réseau. De la définition manuelle du nom, aux mécanismes
automatiques constituants un nom aléatoire, en passant les méthodes
d'affectation de nom via un serveur de déploiement WDS ou une base de
données, les choix et les possibilités sont nombreuses. De plus, il convient de
définir si l'éventuelle adhésion à un domaine doit être automatisée ou à la
discrétion de l'installateur ou de l'utilisateur. Reportez-vous au chapitre sur les
services de déploiement WDS pour plus d'information sur ce sujet.
Pour conserver le choix d'une saisie manuelle du nom de l'ordinateur lors de

l'installation automatisée, il faut impérativement éviter de renseigner l'élément
"ComputerName" du fichier de réponse.
En revanche, si vous voulez implémenter le mécanisme d'affectation
automatique d'un nom aléatoire, procédez comme suit :
 A partir du cadre "Image Windows", dans l'arborescence des composants
"Components", sélectionnez directement la racine de l'élément
"x86_Microsoft-Windows-Shell-Setup_6.1.7600.16385_neutral", puis utilisez
le menu contextuel ou le menu "Edition …" pour "Ajouter le paramètre à la
passe 4 specialize"
Page 165 / 409

Au niveau de la zone "Paramètres" du cadre "Propriétés de Microsoft-

Windows-Shell-Setup", sélectionnez le champ "ComputerName" puis
saisissez le caractère astérisque "*" afin de stipuler une génération
automatique du nom d'ordinateur (dérivé du propriétaire de licence et d'un
numéro aléatoire).
Notez qu'il est également possible de laisser ce champ vide pour obtenir le
même résultat. Toutefois, il convient de relever que cet éditeur n'enregistre
pas les paramètres ayant des valeurs nulles à moins de le préciser
explicitement. Pour ce genre de cas, sélectionnez le champ en question puis
utilisez le menu contextuel ou le menu "Edition …" pour "Ecrire une chaine
vide"
Les sous-éléments non renseignés engendreront de nombreux

avertissements dans le cadre "Messages", lors de la validation ou
l'enregistrement du fichier de réponse. Pour éviter ce genre de message,
vous avez la possibilité de supprimer explicitement tous les éléments inutiles,
mais ceci n'aura aucune incidence puisque ces derniers seront absents du
fichier résultant.
La gestion des comptes locaux
Le fichier de réponse XML offre la possibilité de créer des groupes et/ou des
comptes d'utilisateurs locaux. Dans cet exemple, nous vous proposons deux
procédures qui resteront à votre appréciation.
 Méthode N°1 :
Par outrepasser le processus de création du premier compte d'administrateur
équivalent proposé lors d'une installation manuelle, procédez comme suit :
composants "Components … x86_Microsoft-Windows- ShellSetup
_6.1.7600.16385_neutral … UserAccounts … LocalAccounts". Sélectionnez
l'élément "LocalAccount" puis utilisez le menu contextuel ou le menu "Edition
…" pour "Ajouter le paramètre à la passe 7 oobeSystem"
Au niveau de la zone "Paramètres" du cadre "Propriétés de LocalAccount"
 Description : Administrateur équivalent (Ce champ facultatif est purement
indicatif)
 DisplayName : Admin.Local (Ce champ facultatif stipule le nom convivial du
compte)
 Group : Administrators (Ce champ indique le groupe d'appartenance de
l'utilisateur - Si ce champ est vide, le compte sera implicitement membre du
groupe "Utilisateurs" locaux de la machine)
 Name : Admin.Local (Ce champ obligatoire stipule l'identifiant de connexion
du compte (LoginName)
Page 166 / 409

 Pour définir le mot de passe associé à ce compte, il est nécessaire d'accéder

à un sous-élément de cet objet. A partir du cadre "Fichier de réponse",
développez l'arborescence "7 oobeSystem … UserAccounts …
LocalAccounts … LocalAccount" du compte d'utilisateur puis sélectionnez le
dernier élément "Password". Au niveau de la zone "Paramètres" du cadre
"Propriétés de Password" entrez le mot de passe.
 Value : Pa$$w0rd
Notez que ce mot de passe est saisi normalement mais sera par défaut
encodé dans le fichier résultant, afin d'éviter sa divulgation.
Si vous effectuer cette opération uniquement dans le but de passer l'écran de

création du premier compte, vous pouvez détruire ce compte selon le même
principe en utilisant l'option "RemoveListItem".
 Méthode N°2 :
Pour réactiver le compte "Administrateur intégré, il n'existe pas de composant
ni d'élément de configuration spécialisé. De ce genre de cas, il est possible de
recourir à une commande spécifique qui sera exécutée durant le processus
d'installation, via la méthode suivante :
Deployment_6.1.7600.16385_neutral … RunSynchronous", sélectionnez
l'avant-dernier élément "RunSynchronousCommand" puis utilisez le menu
contextuel ou le menu "Edition …" puis "Ajouter le paramètre à la passe 4
Specialize"
RunSynchronousCommand" entrez les valeurs suivantes :
Page 167 / 409

 Description : EnableAdmin
 Order : 1
 Path : cmd /c net user Administrator /active:yes
 WillReboot : Never (Permet d'indiquer si un redémarrage de l'ordinateur est
nécessaire)
Notez que ce mécanisme de gestion des comptes ne s'appuie pas sur les
identifiants uniques (SID) des comptes prédéfinis. Dans cet exemple le
recours aux noms en anglais (Administrator, Administrators, Users,
Guests…) s'applique initialement à une distribution officielle mais peut
dépendre ensuite de votre distribution préparée via "sysprep". Autrement dit,
il peut être nécessaire d'adapter ces commandes afin de référencer le nom
précis des comptes en fonction de la distribution à laquelle le fichier de
réponse doit s'appliquer.
Exemple :
 cmd /c net user Administrateur /active:yes
Pensez à définir un mot de passe pour ce compte de la même manière que

précédemment. N'oubliez pas que l'adhésion à un domaine peu appliquer
des contraintes éventuellement bloquantes pour une réactivation ultérieure
au processus d'installation.
Le mot de passe de l'administrateur peut également être défini en aval via les
préférences de stratégie de groupe
Définir les préférences de sécurité et d'utilisation
En premier lieu, il convient de rappeler que les préférences régionales

dépendent directement des packs linguistiques disponibles dans la distribution
lors de l'installation.
Si plusieurs packs de langue sont présents dans une même image, le
processus d'installation automatisé demandera le choix de la langue affecté
au système et par défaut aux utilisateurs de cet ordinateur. Reportez-vous au
chapitre précédent au sujet des packs de langue.
Page 168 / 409

Ne confondez pas ces réglages destinés aux préférences d'utilisateur final

avec les réglages régionaux WinPE uniquement exploités durant les
processus d'installation et pouvant être définies via le composant " x86_
Microsoft-Windows-International-Core-WinPE _6.1.7600.16385_neutral"
Pour définir la langue par défaut des utilisateurs, procédez comme suit :
 A partir du cadre "Image Windows", sélectionnez directement dans
l'arborescence des composants, l'élément "Components … x86_ Microsoft-
Windows-International-Core _6.1.7600.16385_neutral", puis utilisez le menu
contextuel ou le menu "Edition …" pour "Ajouter le paramètre à la passe 7
oobeSystem"
Windows-International-Core" entrez les valeurs suivantes :
 inputLocale : fr-FR
 systemLocale : fr-FR
 UILanguage : fr-FR
 UILanguageFallback : fr-FR
 userLocale : fr-FR
Dans la même logique, l'assistant d'installation propose la vérification de la

date, de l'heure et du fuseau horaire.
Page 169 / 409

Pour automatiser cette étape et définir le fuseau horaire par défaut, procédez
comme suit:
composants "Components … x86_Microsoft-Windows-Shell-
Setup_6.1.7600.16385_neutral", sélectionnez l'élément "OOBE" puis utilisez
passe 7 oobeSystem"
A partir du cadre "Fichier de réponse", sélectionnez directement la racine de
l'élément x86_Microsoft-Windows-Shell-Setup_6.1.7600.16385_neutral" situé
juste au-dessus du sous-élément "OOBE"
Windows-Shell-Setup" modifiez uniquement la valeur suivante :.
 TimeZone : Romance Standard Time
Conservez les autres valeurs par défaut.
Les derniers réglages de la phase finale concernent essentiellement les

préférences de sécurité relatives aux mises à jour automatiques Windows
Update et au profil affecté à l'emplacement réseau (et donc au pare-feu
associé). Pour automatiser ces étapes, procédez comme suit:

Setup_6.1.7600.16385_neutral", sélectionnez l'élément "OOBE" puis utilisez
passe 7 oobeSystem"
Au niveau de la zone "Paramètres" du cadre "Propriétés de OOBE" entrez
les valeurs suivantes :
Page 170 / 409

 HideEULAPage : true
 HideWirelessSetupInOOBE : vide
 NetworkLocation: Work (Cette valeur indique que le premier emplacement
réseau détecté sera affecté à un profil privé - A défaut de valeur, la fenêtre
de sélection d'emplacement réseau s'ouvrira. Ce réglage pouvant être
modifié à postériori ou configuré via les stratégies de groupe - Notez
également que l'adhésion à un domaine modifiera automatiquement
l'emplacement réseau en profil de domaine)
 ProtectYourPC : 1 (La valeur "1" indique d'utiliser les paramètres de sécurité

recommandés pour les mises à jour automatiques Windows Update - Entrez
la valeur "2" pour autoriser uniquement l'installation des mises à jour
critiques, ou la valeur "3" pour inhiber les mises à jour automatiques)
Page 171 / 409

 SkipMachineOOBE: vide (Ce paramètre a été déprécié depuis Vista sp1)

 SkipUserOOBE : vide (Ce paramètre a été déprécié depuis Windows 7)
A ce stade, vous pouvez valider vos modifications et enregistrer le fichier XML

dans un dossier provisoire. Eg."C:\DEPLOY\OTO\W7x86Setup.xml". Pour
information, le fichier résultant devrait ressembler à ceci :
<?xml version="1.0" encoding="utf-8"?>

<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="windowsPE">
<component name="Microsoft-Windows-Setup"
processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"
language="neutral" versionScope="nonSxS"
xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<DiskConfiguration>
<Disk wcm:action="add">
<CreatePartitions>
<CreatePartition wcm:action="add">
<Order>3</Order>
<Size>10</Size>
<Type>Primary</Type>
</CreatePartition>
<Order>2</Order>
<Size>20000</Size>
</CreatePartition>
<Order>1</Order>
<Size>100</Size>
</CreatePartition>
</CreatePartitions>
<DiskID>0</DiskID>
<WillWipeDisk>true</WillWipeDisk>
<ModifyPartitions>
<ModifyPartition wcm:action="add">
<Order>3</Order>
<Format>NTFS</Format>
<Label>DATA</Label>
<PartitionID>3</PartitionID>
<Letter>D</Letter>
</ModifyPartition>
<Label>W7x86-SYS</Label>
<Order>2</Order>
<Letter>C</Letter>
</ModifyPartition>
<Active>true</Active>
<Label>Boot</Label>
<Order>1</Order>
</ModifyPartition>
</ModifyPartitions>
</Disk>
</DiskConfiguration>
<ImageInstall>
<OSImage>
<InstallFrom>
<MetaData wcm:action="add">
Page 172 / 409

<Key>/image/index</Key>
<Value>1</Value>
</MetaData>
</InstallFrom>
<InstallTo>
<DiskID>0</DiskID>
</InstallTo>
</OSImage>
</ImageInstall>
<UserData>
<AcceptEula>true</AcceptEula>
<FullName>ENI</FullName>
<Organization>ENI</Organization>
</UserData>
</component>
</settings>
<settings pass="specialize">
<component name="Microsoft-Windows-Deployment"
<RunSynchronous>
<RunSynchronousCommand wcm:action="add">
<Path>cmd /c net user Administrator
/active:yes</Path>
<Description>EnableAdmin</Description>
<Order>1</Order>
</RunSynchronousCommand>
</RunSynchronous>
</component>
</settings>
<settings pass="oobeSystem">
<component name="Microsoft-Windows-Shell-Setup"
<OOBE>
<HideEULAPage>true</HideEULAPage>
<NetworkLocation>Work</NetworkLocation>
<ProtectYourPC>1</ProtectYourPC>
</OOBE>
<TimeZone>Romance Standard Time</TimeZone>
<UserAccounts>
<LocalAccounts>
<LocalAccount wcm:action="add">
<Password>
<Value>UABhACQAJAB3ADAAcgBkAFAAYQBzAHMAdwBvAHIAZAA=</Value>
<PlainText>false</PlainText>
</Password>
<Description>Default User</Description>
<DisplayName>AdminLocal</DisplayName>
<Group>Administrators</Group>
<Name>AdminLocal</Name>
</LocalAccount>
</LocalAccounts>
</UserAccounts>
</component>
<component name="Microsoft-Windows-International-Core"
<InputLocale>fr-FR</InputLocale>
<SystemLocale>fr-FR</SystemLocale>
Page 173 / 409

<UILanguage>fr-FR</UILanguage>
<UILanguageFallback>fr-FR</UILanguageFallback>
<UserLocale>fr-FR</UserLocale>
</component>
</settings>
<cpi:offlineImage
cpi:source="catalog:f:/sources/install_windows 7 enterprise.clg"
xmlns:cpi="urn:schemas-microsoft-com:cpi" />
</unattend>
Pour une meilleure lisibilité, ce fichier est disponible en téléchargement via les
fichiers complémentaires de ce livre.
Remarque : Les composants standards mentionnés dans cet exemple sont

relatifs à une version 32 bits de Windows 7. Il est toutefois possible de
remplacer toutes les chaines de caractères "x86" par "amd64" afin que le
fichier de réponse soit pratiquement compatible avec une version 64 bits
équivalente. Dans tous les cas, utilisez l'éditeur WSIM pour valider le
contenu du fichier modifié avec une véritable distribution 64 bits.
 Cf Mise en œuvre du fichier de réponse
2.2.4. La post-installation
Dans certains cas, il peut s'avérer utile de poursuivre le processus

d'installation d'un système par une autre phase automatisée, déclenchée lors
des premières ouvertures de session sur l'ordinateur.
Cette particularité, appelée "autologon", peut ainsi déclencher des installations
d'applications sans assistance ou un script quelconque, sous réserve
d'exécution des commandes avec le niveau de privilège approprié.
En fonction de l'image utilisée, le fichier de réponse doit définir cette directive
ainsi que les identifiants appropriés (nom et mot de passe) du compte
d'ouverture de session automatique
Attention, sur un poste Windows, disposant d'un compte local unique,

l'absence de mot de passe engendre également une ouverture de session
automatique.(cas d'une réactivation du compte d'administrateur intégré d'une
image originale de distribution). Ce comportement étant postérieur au
traitement du fichier de réponse aucune directives ou commandes contenues
dans la phase "oobeSystem" de ce dernier ne sera 'exécutée.
En d'autres termes, pour bénéficier d'un comportement entièrement

automatisé incluant des traitements de post-installation, le fichier de réponse
doit contenir les instructions suivantes :
 Création d'un compte local pour passer l'écran d'installation correspondant
(cf fichier d'exemple précédemment cité) - Cette opération ne vous interdit
aucunement de réactiver le compte d'administrateur intégré. En effet, soyez
conscient que cette phase "oobe" correspond à l'ultime étape de l'installation
et de fait, les commandes seront soumises à l'approbation du contrôle de
compte d'utilisateur (UAC)
Page 174 / 409

 Indication du compte et le mot de passe (même vide) du compte utilisé pour

l'ouverture de session automatique
 Précision du nombre d'ouvertures de session automatiques nécessaire. Ce
processus est initialisé lors de chaque (re)démarrage de l'ordinateur.
 Contenir les commandes ou scripts à exécuter
Pour mettre en œuvre l'ouverture de session automatique, éditez le fichier de
réponse avec le gestionnaire d'image système Windows (WSIM) puis
procédez comme suit:
Setup_6.1.7600.16385_neutral", sélectionnez l'élément "Autologon" puis
utilisez le menu contextuel ou le menu "Edition …" pour "Ajouter le
paramètre à la passe 7 oobeSystem"
 Au niveau de la zone "Paramètres" du cadre "Propriétés de Autologon"
 Domain : <vide> (Laissez ce champ vide du fait qu'il s'agit d'un compte
local)
 Enable : True (Active la fonctionnalité "autologon")
 AutologonCount : 2 (Stipule le nombre d'ouverture(s) de session
automatique(s) désirée(s) - Cette valeur est décrémentée à chaque
fermeture de session puis désactive la fonctionnalité lorsque le nombre
atteint zéro.
 Username : Administrator (indique le compte à utiliser - ce compte
Développez l'élément "Autologon" afin de faire apparaitre puis sélectionner
l'élément "Password"
 Value : <vide> (Du fait que nous utilisons le compte d'administrateur intégré
précédemment réactivé, et qu'il s'agit d'une distribution originale, ce champ
est donc vide)
 Après avoir sélectionné ce champ, utilisez le menu "Edition … Ecrire une
chaine vide" ou le menu contextuel.
Bien que la propriété (en lecture seule) indique "PlainText=True", le mot de

passe est malgré cela encodé par défaut. Modifiez cet élément via le bloc-
notes si vous souhaitez saisir le mot de passe en clair
Setup_6.1.7600.16385_neutral", sélectionnez l'élément
"SynchronousCommand" situé sous l'élément "FirstlogonCommands" puis
utilisez le menu contextuel ou le menu "Edition …" pour "Ajouter le
paramètre à la passe 7 oobeSystem"
SynchronousCommand" entrez les valeurs suivantes :
 CommandLine : winver.exe (Ligne de commande à exécuter suivie des
éventuels paramètres - Le chemin complet peut être omis lorsque le
programme est localisé dans les chemins de recherche - variable path)
Page 175 / 409

 Description : Pour la demo (Permet d'indiquer un commentaire facultatif sur

les finalités de la commande.
 Order : 1 (Précise l'ordre d'exécution des commandes - Chaque ligne de
commande attend la fin de la précédente - mode synchrone)
 RequireUserInput : vide (Cette valeur binaire, "False" par défaut, permet de
marquer un point d'arrêt de 2 minutes avant l'exécution de la commande,
afin d'effectuer une éventuelle intervention manuelle)
 Réitérez cette dernière opération afin d'entrer une seconde commande. Au
niveau de la zone "Paramètres" du cadre "Propriétés de
SynchronousCommand" entrez les valeurs suivantes
 CommandLine : Shutdown /R /T 0
 Description : Redémarrage automatique
 Order : 2
 RequireUserInput : vide
Le code injecté dans le fichier résultant ressemble à ceci :
<AutoLogon>
<Enabled>true</Enabled>
<LogonCount>1</LogonCount>
<Username>Adinistrator</Username>
<Password>
<Value>UABhAHMAcwB3AG8AcgBkAA==</Value>
</Password>
<Domain />
</AutoLogon>
<FirstLogonCommands>
<SynchronousCommand wcm:action="add">
<CommandLine>winver.exe</CommandLine>
<Description>Pour la demo</Description>
<Order>1</Order>
</SynchronousCommand>
<SynchronousCommand wcm:action="add">
<CommandLine>Shutdown /R /T 0</CommandLine>
<Description>Redémarrage automatique</Description>
<Order>2</Order>
</SynchronousCommand>
</FirstLogonCommands>
2.2.5. Particularités du fichier de réponse (Sysprep)
Après avoir détaillé quelques principes d'automatisation du processus

d'installation "setup" à partir d'une distribution originale, il peut s'avérer utile de
rappeler que les fichiers de réponse sont également capables de piloter les
directives de préparation liées à l'outil "sysprep"
En conséquence, si vous envisagez de créer votre propre distribution, vous
constaterez que l'étape de préparation de l'outil "sysprep" engendre un certain
nombre d'effets potentiellement indésirables. Bien que cette énumération
arbitraire ne soit pas exhaustive, voici quelques palliatifs applicables à l'outil
"sysprep" afin de modifier certaines directives de nettoyage par défaut.
Page 176 / 409

Note : Il est possible d'utiliser un même fichier de réponse pour piloter une
installation et les directives d'exécution de l'outil "sysprep" sans qu'il soit
nécessaire de constituer 2 fichier séparés.
Pour simplifier les explications sur les manipulations, nous considérons qu'un
nouveau fichier de réponse ou un fichier existant est déjà ouvert dans l'éditeur
WSIM et qu'une distribution d'image système (x86) lui est associé.
1 - Réinitialisation du compteur de réarmement de la licence
Lors de l'exécution de "sysprep", la clé de licence et l'activation

éventuellement associée sont supprimées. Le compteur de réinitialisation,
généralement égal à "3" est décrémenté. (Similaire au résultat obtenu via la
commande "SLMGR -REARM")
Pour pallier cette particularité, procédez comme suit :
composants "Components" et sélectionnez directement le composant
"x86_Microsoft-Windows-Security-SPP_neutral", Utilisez ensuite le menu
generalize"
 Au niveau de la zone "Paramètres" du cadre "Propriétés de Microsoft-
Windows-Security-SPP" entrez la valeur suivante :
 SkipRearm : 1
Notez que cette action ne fige pas la période de grâce restante et que la
distribution va donc "vieillir". Autrement dit, toute installation ultérieure au
crédit de jours restants au moment de "sysprep" fera passer le système de
licence en mode notification, impliquant un réarmement ou la saisie d'une clé
de licence.
En conséquence, ce réglage doit être utilisé ponctuellement et pour préserver
le quota de réarmement, dans le cas où vous souhaitez réutiliser plusieurs fois
la même image de référence, typiquement dans un cadre de tests ou de mise
au point.
2 - Le profil d'utilisation par défaut n'est pas conservé
Dans les versions antérieures de Windows, la modification du profil par défaut

consistait à copier un profil d'utilisateur de référence vers le dossier "Default
User" et octroyer les droits à "Tout le monde" : ceci via l'interface de gestion
des profils d'utilisateurs dans les propriétés avancées du système.
Depuis Vista, non seulement l'organisation des dossiers a changé mais cette
interface n'a d'utilité que pour réappliquer le profil par défaut vers un profil
d'utilisateur existant.
Page 177 / 409

Depuis Vista, le bouton "Copier dans…" de cette interface est toujours

désactivé. Bien que fonctionnel en apparence, le recours à un outil tiers tels
que "windows Enabler" dans le but de réactiver ce bouton et procéder à une
copie de profil selon les anciens principes n'est pas une bonne pratique. Cette
technique non supportée par Microsoft, risque d'engendrer des effets
indésirables et une instabilité des profils à terme.
Pour modifier le profil par défaut dans Windows NT6, utilisez un compte
d'utilisateur local (Idéalement celui du compte d'administrateur intégré après
l'avoir réactivé au besoin) puis effectuez ensuite vos réglages préférentiels de
manière classique.
Une fois la préparation terminée et avant d'exécuter la commande "sysprep",
vous devrez modifier le fichier de réponse comme suit :
composants "Components" et sélectionnez directement le composant
"x86_Microsoft-Windows-Shell-Setup_6.1.7600.16385_neutral", Utilisez
ensuite le menu contextuel ou le menu "Edition …" pour "Ajouter le
paramètre à la passe 4 specialize"
Windows- Shell-Setup" entrez la valeur suivante :
 CopyProfile : true
 Laissez les autres paramètres par défaut
Pour que ce paramètre soit pris en compte, et éviter les effets du contrôle de
compte d'utilisateur, il est souhaitable d'utiliser le compte administrateur
intégré (préalablement réactivé). N'oubliez pas de fermer la session afin
d'enregistrer les modifications réalisées dans le profil courant, puis exécutez
la commande "sysprep" avec le fichier de réponse lors de la prochaine
ouverture de session.
Page 178 / 409

3 - Emplacement par défaut des dossiers d'utilisateurs
Ce réglage ne constitue pas une contrainte mais peut être issu d'un choix de
gestion consistant à stocker les données et le système sur des partitions
distinctes, ou des dossiers différents.
En fait, depuis Vista, les profils et données des utilisateurs sont
respectivement stockés par défaut dans les dossiers "%systemdrive%\Users"
et "%systemdrive%\ProgramData"
Un fichier de réponse, utilisé conjointement avec le programme d'installation
ou l'outil "sysprep", peut facilement remplacer ces emplacements. Pour cela
modifiez le fichier de réponse via l'éditeur WSIM en procédant comme suit :
Setup_6.1.7600.16385_neutral" puis sélectionnez l'élément
"FolderLocations". Utilisez ensuite le menu contextuel ou le menu "Edition
…" pour "Ajouter le paramètre à la passe 7 oobeSystem"
Windows- Shell-Setup" entrez les valeurs suivantes :
 ProfilesDirectory : D:\Users (Profils des utilisateurs)
 ProgramData : D:\ProgramData (Données applicatives des utilisateurs)
Pour que ce paramétrage soit pris en compte, la partition doit être formatée
et la lettre de lecteur correctement assignée en amont (cf "Gestion des
partitions" traité précédemment)
Pour information, la cohabitation de profils itinérants entre des versions NT6 et

antérieures n'est pas supportée. Autrement dit, suite à l'ouverture d'un profil
de génération XP à partir d'un poste Windows 7, le profil modifié sera
dédoublé et enregistré vers un dossier " LoginName.V2".
De manière générale, pour les postes de travail, il est recommandé de
privilégier les redirections de dossier au détriment des profils itinérants.
Depuis Vista, un plus grand nombre de dossiers peut être redirigé et la
granularité de ces derniers a été affinée. Pour cette raison, il est souhaitable
de dissocier les stratégies de redirection appliquées aux versions antérieures
afin de ne pas pénaliser ce mécanisme.
Page 179 / 409

L'écran ci-dessus, illustre typiquement les réglages préconisés d'une stratégie

de groupe applicable aux postes Vista et ultérieurs : la case "Appliquer aussi
la stratégie de redirection …" n'est pas cochée.
La distinction de ce genre de stratégie doit être étudiée dans une politique
globale de gestion et d'organisation Active Directory. En effet, il peut s'avérer
judicieux de dupliquer les stratégies en fonction des plateformes auxquelles
elles s'appliquent, afin de ne pas pénaliser ces mécanismes ayant fortement
évolué depuis Vista. (Redirection de dossiers, fichiers hors connexion, taches
planifiées, indexation, etc.)
4 - Les pilotes de périphériques tiers sont supprimés
Comme évoqué dans le chapitre précédent, la phase de préparation de l'outil

"sysprep" effectue par défaut un nettoyage de tous les pilotes tiers. Pour
conserver ces pilotes additionnels au sein d'une image de référence, vous
avez la possibilité d'ajouter la directive "PersistAllDeviceInstalls =
True" dans le fichier de réponse utilisé par "sysprep"
Bien que cette approche paraisse plus simple, l'intégration des pilotes tiers
dans une image de référence n'est pas une solution pérenne. Une gestion
dissociée des pilotes est généralement plus appropriée. Pour rappel, nous
avons traité l'intérêt de l'outil DISM et la possibilité pour la mise à jour d'une
image "Hors-ligne". Vous découvrirez également dans les chapitres suivants
la gestion de pilotes tiers dans les services de déploiement WDS et le MDT.
Si vous souhaitez cependant opter pour cette stratégie, modifiez le fichier de
réponse via l'éditeur WSIM en procédant comme suit :
PnpSysprep_neutral" puis utilisez ensuite le menu contextuel ou le menu
"Edition …" pour "Ajouter le paramètre à la passe 7 oobeSystem"
Windows-PnpSysprep" entrez les valeurs suivantes :
 DoNotCleanUpNonPresentDevices : True (Indique de ne supprimer aucun
pilote même si les périphériques correspondants ne sont pas actifs ou
Page 180 / 409

détectés sur le poste - Cette directive complète l'option suivante et n'a

aucun effet si cette dernière n'est pas définie ("False" par défaut).
 PersistAllDeviceInstalls : True (Cette option stipule de conserver l'ensemble
des pilotes additionnels déjà installés sur le poste, sauf si l'option
précédente n'est pas définie ("False" par défaut) - Dans ce cas, seuls les
pilotes actifs durant la phase de spécialisation sont conservés)
5 - Le compte "Administrateur intégré" est systématiquement désactivé
Chaque exécution de l'outil "sysprep" engendre par défaut, la désactivation du

compte d'administrateur intégré. Pour pallier ce comportement, il n'existe pas
de directive spécifique. Vous pouvez cependant ajouter une ligne de
commande chargée de rétablir cet état d'origine en modifiant le fichier de
réponse via l'éditeur WSIM comme suit :
Deployment_neutral_6.1.7600.16385_neutral " puis sélectionnez l'élément
"RunSynchonous … RunSynchonousCommand". Utilisez ensuite le menu
specialize"
RunSynchonousCommand" entrez les valeurs suivantes :
 Action : AddListItem (par défaut).
 Description : Réactivation Admin (Indication facultative sur l'utilité de la
commande)
 Order : 1 (Numéro de séquence obligatoire)
 Path : cmd /c net user Administrator /active:yes (Ligne de commande
chargée de réactiver le compte administrateur intégré - le nom du compte
doit correspondre à celui défini dans l'image - Les commandes ou scripts
indiqués ici ne requiert aucune intervention utilisateur. En cas d'erreur, le
processus d'installation n'est pas affecté - En cas de doute ou pour
l'application d'un même fichier de réponse destiné à des images différentes,
vous pouvez réitérer l'action via une autre commande "cmd /c net user
Administrateur /active:yes")
 WillReboot : Never (Cette opération ne nécessite aucun redémarrage)
2.3. Mise en œuvre du fichier de réponse

Maintenant que nous en avons balayé les principaux réglages, nous vous
proposons une phase de test et de validation du fichier de réponse. Pour cela,
nous allons recourir à une méthode déjà éprouvée lors des déploiements de
versions antérieures de Windows. Cette technique consiste à utiliser un média
amovible (historiquement une disquette) contenant le fichier de réponse en
complément du support d'installation traditionnel CD/DVD.
En effet, suite au démarrage sur ce genre de média CD/DVD, le processus
d'initialisation recherche par défaut, un éventuel fichier de réponse présent
dans le dossier du programme d'installation ou sur la racine d'un média
amovible (Disquette, Disques ou clés USB). Le fichier doit être nommé
Page 181 / 409

"AUTOUNATTEND.XML" ("Winnt.sif " pour les versions antérieures de

Windows - hors support USB) et le cas échéant, est automatiquement associé
au programme d'installation.
Sous réserve de reprendre la main sur le processus d'installation, tel que

dans une invite de commande WinPE, vous pouvez également tester votre
fichier de réponse de manière explicite via l'instruction suivante
"\Sources\SETUP /unattend:A:\AUTOUNATTEND.XML"
Pour les besoins de ce test, nous pourrions recourir à une disquette virtuelle
.VFD, associée à l'image .ISO du DVD original de Windows 7 Enterprise 32
bis le tout étant affectée à une nouvelle machine virtuelle. Cependant, à moins
d'utiliser un outil tiers tel que "Winimage", le contenu des disquettes virtuelles
utilisées dans l'environnement Hyper-V n'est pas accessible directement dans
la machine hôte. Afin de simplifier la procédure, nous opterons pour un test
manuel du fichier de réponse.
Toutefois, si vous retenez la solution d'installation automatique, n'oubliez pas

de vérifier l'ordre d'amorçage des médias au niveau du BIOS de la machine
virtuelle (ou physique) à déployer. En effet, le démarrage doit être réalisé en
priorité sur le CD/DVD, et non sur le média contenant le fichier de réponse
(disquette ou USB)
 A partir de la console "Gestionnaire Hyper-V", créez un nouvel ordinateur
virtuel nommé "W7x86-Auto". Affectez-lui un minimum de "512 Mo" de
mémoire, connectez-le au réseau virtuel "INTERNE HOTE".
 Au niveau de la fenêtre "Connecter du disque dur virtuel", conservez les
valeurs par défaut (disque de 127 Go à extension dynamqiue) puis cliquez sur
le bouton "Suivant".
 Au niveau de la fenêtre "Options d'installation ", choisissez "Installer un
système d'exploitation à partir d'un CD/DVD-ROM de démarrage", puis
sélectionnez l'option "Fichier image (.iso)" et utilisez le bouton "Parcourir"
afin de localiser le fichier .iso correspondant à la version d'évaluation de
Windows 7 x86 Entreprise, précédemment téléchargée.
 Cliquez sur le bouton "Suivant" puis sur le bouton "Terminer"
Page 182 / 409

A ce stade, nous considérons que le fichier de réponse a été créé selon les
instructions décrites dans ce chapitre. Bien que le nom et l'emplacement
soient sans conséquence dans cette procédure, nous supposons que ce
dernier est stocké sur la machine hôte
"C:\DEPLOY\OTO\AUTOUNATTEND.XML". Nous présumons également que
le dossier "C:\DEPLOY" à précédemment partagé
 Démarrez le nouvel ordinateur virtuel et affichez la console correspondante de
celui-ci afin de constater le démarrage sur le support d'installation (aucune
autre possibilité d'amorçage n'étant possible du fait que le disque dur virtuel
est actuellement vierge)
 Lors de l'affichage de l'écran "Installer Windows", cliquez sur le bouton
"Suivant"
Si un média amovible contenant un fichier de réponse avait été détecté,
l'affichage aurait été sensiblement différent en proposant directement l'écran
suivant :
Dans ce cas, le bouton "Suivant" déclenche l'interprétation des directives

contenues dans le fichier de réponse. Dans notre exemple, nous allons
reprendre l'initiative du processus d'installation en procédant comme suit:
 Ouvrez une invite de commande WinPE en appuyant simultanément sur les
touches "MAj" + "F10" +

Entrez ensuite chacune des commandes suivantes :
 Startnet
Page 183 / 409

Pour rappel, cette commande à pour but d'initialiser la couche réseau et

devrait engendrer l'obtention d'une adresse IP valide via le service DHCP de
la machine hôte.
 net use z: \\192.168.255.254\deploy /user:administrateur
Pa$$w0rd
 setup /unattend:z:\OTO\AUTOUNATTEND.XML
Microsoft Windows [version 6.1.7600]
X:\Sources>startnet
X:\Sources>wpeinit
X:\Sources>ipconfig

fe80::a899:ae59:1760:14d3%2
Adresse IPv4. . . . . . . . . . . . . .: 192.168.255.11
Passerelle par défaut. . . . . . . . . : 192.168.255.254
X:\Sources>net use z: \\192.168.255.254\deploy

/user:administrateur Pa$$w0rd
X:\Sources>setup /unattend:z:\OTO\AUTOUNATTEND.XML
X:\Sources>
A l'issue de ces commandes, après lecture du fichier de réponse associé

explicitement, un écran identique à celui d'une détection automatique est alors
affiché.
Le fichier contenant les directives de partitionnement et la distribution n'étant
composé que d'une seule image, le processus d'installation se poursuit sans
aucune confirmation.
Page 184 / 409

Laissez le processus d'installation, incluant un redémarrage automatique, se

poursuivre sans aucune intervention.
Après quelques minutes, incluant l'installation des périphériques, l'application
des paramètres système par défaut, ainsi que second redémarrage, la phase
de finalisation devrait vous demander d'indiquer un nom d'ordinateur ("PC" par
défaut)
Page 185 / 409

Notez que cet écran ne propose pas la création d'un compte d'utilisateur (par
défaut l'administrateur équivalent) du fait que cette opération est réalisée via
le fichier de réponse.
 Entrez un nom d'ordinateur, comme par exemple "W7x86-Auto" puis cliquez
sur le bouton "Suivant"
Si le fichier de réponse inclut la directive "autologon" mentionnée en amont de

ce chapitre, une ouverture automatique de session est alors effectuée et les
commandes indiquées sont alors exécutées.
A l'issue de ces commandes, le poste est opérationnel pour l'utilisateur final
sous réserve d'affecter une clé de licence et de réaliser une éventuelle
jonction manuelle à un domaine Active Directory non traitée dans cet
exemple.
3. Personnalisation automatique WinPE 3.0 avec WAIK

3.1. Présentation des objectifs de cet atelier facultatif
Maintenant que vous avez découvert quelques facettes du kit de déploiement
WAIK, nous vous proposons d'aller un peu plus loin en matière de
personnalisation de cet environnement.
Cet atelier facultatif va vous conduire à la réalisation d'un petit script
"MAKEPE3.cmd" chargé de créer automatiquement un environnement WinPE
32 bits en y ajoutant votre touche personnelle.
Pour rappel, contrairement au noyau WinPE d'un DVD d'installation, le noyau
WinPE du kit WAIK est très épuré : il n'y a donc que très peu d’outils (diskpart,
Page 186 / 409

chkdsk, notepad…) et plusieurs fonctionnalités intéressantes sont désactivées

(WSH, WMI, HTA…) - Notez que ce socle de base initialise la couche réseau
(si la carte et un pilote associé est disponible) et qu'il sera alors possible
d'aller chercher les outils et autres compléments sur un serveur. Notez
également que par défaut, il n'y a aucun outil pour générer ou restaurer un
fichier .WIM
Enfin, pour rappel, WinPE ne propose aucun bureau, ni d'authentification de
session.
Avant de créer puis exécuter le script de création automatique, nous allons

détailler et commenter chacune des étapes :
3.1.1. La structure de personnalisation
Les prérequis :
- Le WAIK doit être préalablement installé et le script devra être exécuté à
partir d'une invite de commande des outils de déploiement.
- Le script sera stocké dans un dossier quelconque "C:\DemoPE" contenant
un sous-dossier arbitrairement nommé "PersoPE"
MD C:\DemoPE
CD C:\DemoPE
ECHO SET PE=%~dp0 > MAKEPE3.cmd
Le script utilise une variable %PE% chargée de récupérer le chemin du script

"MAKEPE3.cmd" (soit "C:\DemoPE " dans cet exemple)
En premier lieu, il convient de créer une structure destinée à recevoir les
fichiers de personnalisation. Cette arborescence de dossiers sera
arbitrairement stockée dans un sous-dossier "PersoPE" et aura la composition
suivante :
Page 187 / 409

Dans l'immédiat, créez simplement cette structure via l'explorateur Windows

ou une invite de commande:
MKDIR %PE%
MKDIR %PE%\PersoPE\Drivers
MKDIR %PE%\PersoPE\KernelTools
MKDIR %PE%\PersoPE\MediaTools
Pour expliquer cette structure, nous allons poser quelques questions :
3.1.2. Est-ce que tous les périphériques sont nativement reconnus

par WinPE ?
En effet, en fonction des matériels utilisés dans mon environnement, certain

périphériques peuvent restés inconnus et donc inutilisables sous WinPE
Focalisez principalement vos recherches sur les périphériques réseau, les
disques durs et contrôleurs associés, ainsi que les composants intégrés
(chipsets). Dans les environnements virtuels ou exotiques vous pouvez être
amené à identifier et récupérer les pilotes de carte graphique et/ou
d'intégration …
Notez que WinPE détecte dynamiquement l'USB et que vous pourrez

toujours utiliser l'outil intégré "DRVLOAD" pour charger et/ou tester un pilote
manquant à partir d'une clé USB.
Le sous-dossier "Drivers" est donc destiné à recevoir les pilotes à intégrer au
noyau dans le format .INF. Ne copiez sans aucun exécutable d'installation de
pilote - Utilisez des produits d'extraction tels que "DriverBackup" si le
constructeur ne propose pas d'autre solution. Ces pilotes peuvent
éventuellement être rangés dans leurs sous-dossiers respectifs.
Le script se chargera de l'intégration comme suit :
:Drivers
if not exist %PE%PersoPE\Drivers\nul goto KTools
Echo - Ajout des pilotes additionnels
DISM /image:.\mount /add-driver /driver:%PE%PersoPe\Drivers
/recurse /forceunsigned
3.1.3. Où dois-je installer mes outils ?
Le stockage au sein même du noyau WinPE est une solution plus pratique car
la lettre de affectée ay système WinPE est toujours "X:" mais cela va alourdir
la quantité de mémoire utilisée par le "Ramdrive".
Le stockage sur le média WinPE, est plus intéressant, surtout dans le cas
d'outils volumineux ou utilisés très ponctuellement. Cependant, la lettre du
média est variable et il peut s'avérer nécessaire d'employer un script pour
localiser la bonne lettre d'unité.
GetPEMedia.cmd
@ECHO OFF
FOR %%i IN (C D E F G H I J K L M N O P Q R S T U V W Y Z) DO IF
EXIST %%i:\SOURCES\Boot.wim SET MEDIAPE=%%i
ECHO MediaPE = %MEDIAPE%:
Page 188 / 409

Pour rappel, les outils doivent être autonomes (binaires simples, ou

ensemble de fichiers qui ne requièrent aucun processus d'installation, ni
dépendance avec des composants Windows tels que le framework .NET)
Nous opterons donc pour la création de 2 sous-dossiers distincts:

Le premier nommé "KernelTools" est destiné aux outils qui seront intégrés
dans le noyau. Vous pouvez y copier quelques outils essentiels tels que
"IMAGEX", quelques outils graphiques plus conviviaux ainsi que le script de
localisation du média WinPE évoqué précédemment.
Afin de bénéficier du chemin de recherche (Path), évitez de créer des sous-
dossiers pour ces programmes qui seront copiés dans le répertoire Windows.
:KTools
if not exist %PE%PersoPE\KernelTools\nul goto Media
Echo - Ajout des outils additionnels
xcopy %PE%PersoPE\KernelTools\*.* .\Mount\Windows\*.* /S
COPY "C:\Program Files\Windows AIK\Tools\x86\imagex.exe"

%PE%PersoPE\KernelTools
Téléchargement : http://www.autoitscript.com/site/autoit-tools/gimagex/
COPY C:\DL\GIMAGEX_2.0.17\Install\x86\GIMAGEX.exe
%PE%PersoPE\KernelTools
Téléchargement :http://www.explorerplusplus.com/
COPY C:\DL\Explorer++\Explorer++_x86.exe %PE%PersoPE\KernelTools
Téléchargement :http://www.nu2.nu/nu2menu/
COPY C:\DL\NU2menu\*.* %PE%PersoPE\KernelTools
Les programmes proposés par "NU2menu" doivent être définis dans le fichier
de configuration spécifique : "%PE%\PersoPE\KernelTools\nu2menu.xml"
<?xml version="1.0"?>
<NU2MENU ID="Nu2MenuSystem001"
AUTHOR="Henk de Jong"
DATE="2005-02-17, 20:15"
VERSION="V0.350"
COPYRIGHT="(c)2003-2005 Nu2 Productions"
REMARK="ALL NODES ARE CASE-SENSITIVE!!!!!">
<MENU ID="mainmenu">
<MITEM TYPE="ITEM">Host name: @GetHostName()</MITEM>

<MITEM TYPE="ITEM" DISABLED="@SetMenuPos( 'L','B'
)@Not(@FileExists( @GetWinDir()\system32\notepad.exe ))"
CMD="RUN" FUNC="@GetWinDir()\system32\notepad.exe" PARM="1">Bloc-
Notes</MITEM>
<MITEM TYPE="SEPARATOR"></MITEM>
<MITEM TYPE="POPUP" MENUID="admin">Admin</MITEM>

<MITEM TYPE="POPUP" MENUID="scripts">Scripts</MITEM>
Page 189 / 409

<MITEM TYPE="ITEM" CMD="RUN" FUNC="@Null(

@ChangeDir('X:\') )cmd.exe">Invite de commande</MITEM>
<MITEM TYPE="ITEM" CMD="RUN"
FUNC="@GetWinDir()\system32\Diskpart.exe">Diskpart</MITEM>
<MITEM TYPE="ITEM" CMD="RUN" FUNC="@Null(
@ChangeDir(@GetFolderDialog( 'Select directory',
'c:\')))cmd.exe">Invite de commande vers un dossier</MITEM>
FUNC="explorer++_x86.exe">Explorateur</MITEM>
FUNC="gimagex.exe">GImageX</MITEM>
FUNC="WDSCapture.exe">WDSCapture</MITEM>
<MITEM TYPE="ITEM" CMD="EXIT">Quitter</MITEM>
</MENU>
<MENU ID="admin">
FUNC="@GetWinDir()\system32\taskmgr.exe">Gestionnaire des
taches</MITEM>
FUNC="@GetWinDir()\system32\regedit.exe">Edition du
registre</MITEM>
<MITEM TYPE="ITEM" CMD="RELOAD">Rechargement
menu</MITEM>
FUNC="@GetWinDir()\system32\notepad.exe
@GetProgramDir()\nu2menu.xml">Edition menu</MITEM>
</MENU>
<MENU ID="scripts">
<MITEM TYPE="ITEM" CMD="RUN" FUNC="WMIC LOGICALDISK GET
NAME,DESCRIPTION">Liste des lecteurs</MITEM>
<MITEM TYPE="ITEM" CMD="RUN" FUNC="WPEUTIL
INITIALIZENETWORK">Initialisation des couches reseau</MITEM>
<MITEM TYPE="ITEM" CMD="RUN" FUNC="DRVLOAD">Chargement
de pilote</MITEM>
</MENU>
</NU2MENU>
Le second sous-dossier nommé "MediaTools" sera chargé de contenir les

outils à intégrer au média WinPE (Ces programmes doivent également être
des exécutables autonomes ne nécessitant pas d'installation) - Ils seront
injectés dans un répertoire "Tools" situé à la racine du média WinPE.
Vous pouvez trouver de nombreux outils graphiques opérationnels sous
WinPE et susceptibles de vous faciliter les opérations de dépannage d'un
système Windows.
Attention à respecter le cadre d'utilisation de WinPE et les contraintes légales
d'utilisation des logiciels. Pour rappel, WinPE n'inclut aucune licence au sens
"utilisateur" et l'ajout de programmes doit rester dans les limites des outils liés
diagnostics, de réparation ou de déploiement d'un système.
Pour information, dans le cadre d'une souscription à un contrat "Software
Assurance" ou "MSDN", vous pouvez prétendre au "Microsoft Desktop
Optimization Pack", incluant le "Microsoft Diagnostics and Recovery
Toolset". Ce produit particulier consiste à inclure une véritable boite à outils
techniques construite à partir d'un socle WinPE.
Le résultat s'inscrit dans un écran "WinRE" sensiblement modifié, incluant un
nouveau lien vers la boite à outils de Microsoft
Page 190 / 409

Aperçu de la boite à outils "MsDaRT Tools"
CH4-17c.png
Page 191 / 409

A titre d'exemple, voici un petit tableau d'équivalence approximative

susceptible de constituer votre propre boite à outils.
Outil Description Equiv. MsDaRT

NTPWEdit Réactivation des comptes locaux Locksmith
et réinitialisation des mots de
passe.
Regedit Edition du registre ERD Registry
Editor
Explorer++ Explorateurs de fichiers Explorer
A43
Q-Dir
PENetwork Gestion d'adresse IP et TCP/IP Config
connexion de lecteur réseau
ClamWin Antivirus Standalone
System Sweeper
Stinger Outil de suppression des logiciels
malveillants Microsoft®
Windows® (KB890830)
Ultra File Recherche de fichiers Search
Search
Recuva Récupération de fichiers effacés File Restore
Eraser Suppression définitive de Disk Wipe
contenu
N/A Hotfix Uninstall
N/A Computer
Management
N/A ERD Disk
Commander
Resysinfo Affichage d'information système N/A
sur le matériel et les logiciels
SIW
HD Tune Testeur/vérificateur de disque dur N/A
Checkdisk
Disk2VHD Clonage d'un disque physique N/A
vers un fichier de disque virtuel
.VHD
Partition Outil de repartionnement N/A
Wizard Home
Edition
AOMEI
Parition
Assistant
HxD Editeur hexadécimal N/A
PStart Utilitaire de lancement N/A
Page 192 / 409

d'applications
NU2Menu
BS Explorer
Vous pouvez consulter des sites spécialisés tels que

http://www.portablefreeware.com/

:Media
if not exist %PE%PersoPE\MediaTools\nul goto Fin
Echo - Copie des outils complementaires sur le media PE
MKDIR .\ISO\Tools
xcopy %PE%PersoPE\MediaTools\*.* .\ISO\Tools\*.* /S
3.1.4. Est-ce que qu'un ou plusieurs outils doivent démarrer

automatiquement ?
Par défaut, le chargement de WinPE fournit dans le kit s'achève par une invite
de commande après l'exécution du script d'initialisation "startnet.cmd" des
couches réseaux.
Pour exécuter vos propres commandes ou programmes immédiatement après
le démarrage de WinPE, vous pouvez opter pour l'une des possibilités
suivantes:
 Unattend.xml : Cette technique de lancement consiste à créer un fichier
"unattend.xml" chargé de piloter le programme d'initialisation "\setup" qui à
défaut, affiche l'écran d'accueil "\Setup". Bien qu'il s'agisse d'un fichier de
réponse, il n'est pas possible de recourir à l'assistance de l'éditeur WISM pour
créer ce type de fichier du fait que les images "WinPE (Boot.wim) ne peuvent
pas être cataloguées, ni associées via l'outil.
Pour information, voici le fichier utilisée par le Microsoft Deployment Toolkit.
xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State">
<Display>
<ColorDepth>16</ColorDepth>
<HorizontalResolution>1024</HorizontalResolution>
<RefreshRate>60</RefreshRate>
<VerticalResolution>768</VerticalResolution>
</Display>
<RunSynchronous>
<Description>Lite Touch PE</Description>
<Order>1</Order>
<Path>wscript.exe
X:\Deploy\Scripts\LiteTouch.wsf</Path>
</RunSynchronous>
</component>
</settings>
</unattend>
Page 193 / 409

 Startnet.cmd : Nous avons déjà utilisé ce point d'entrée "startnet.cmd" dans le

chapitre 2 et vous pouvez réutiliser ce fichier personnalisé ou recréer un fichier
standard par la commande suivante:
ECHO WPEINIT > %PersoPE%\STARNET.CMD
 Winpeshl.ini : Cette troisième possibilité de lancement automatique est

probablement la plus adaptée à notre besoin. En effet, il suffit de créer un
simple fichier nommé "Winpeshl.ini" dans le dossier "X:\Windows\System32"
afin qu'il soit interprété par le shell WinPE "Winpeshl.exe".
La syntaxe de ce fichier "Winpeshl.ini" est détaillée dans les fichiers d'aide du
kit WAIK et dans cet exemple contiendra les lignes suivantes :
[LaunchApp]
AppPath = %SYSTEMDRIVE%\WINDOWS\nu2menu.exe
Pour information, cette technique est utilisée par la console de gestion des
services de déploiement Windows WDS lorsque vous sollicitez l'assistant de
déclinaison des images de démarrage (Cf Chapitre 5)
Pour une image de capture le contenu est le suivant.
[LaunchApps]
%SYSTEMROOT%\system32\wdscapture.exe
Pour une image de découverte le contenu est le suivant.

[LaunchApps]
%SYSTEMDRIVE%\sources\setup.exe,"/wds /wdsdiscover
/WdsServer:wdssrv.labs.eni"
Cette technique est également employée pour les images de récupération

(WinRE) dont le contenu est le suivant.
[LaunchApp]
AppPath=X:\sources\recovery\recenv.exe
A ce stade la structure de personnalisation est quasiment achevée et vous

pouvez apporter une touche finale en modifiant le fond d'écran par défaut.
Pour cela vous devez simplement déposer à la racine de cette structure, au
même niveau que les fichiers de lancement automatique, un fichier nommé
"winpe.bmp".
En fonction de vos aspirations vous pouvez créer votre propre image de type
"bitmap" et/ou vous inspirer de l'image existante par défaut;
Page 194 / 409

3.2. Le script de création "MAKEPE3.cmd"
3.2.1. Préparation de la structure de travail
Le script "MAKEPE3.cmd" va se charger de préparer la structure de travail en

appelant le script du WAIK prévu à cet effet:
COPYPE x86 ..\%PE%MyPE_x86
L'exécution de ce batch génère un dossier à l'emplacement indiqué dont la

structure comprend principalement :
 Un dossier "ISO" -> Son contenu correspond au média final (un CD, une clé
USB ou un disque)
 Un fichier "Winpe.wim" -> Le noyau de WinPE 32 bit (x86) qui sera chargé en
mémoire (ramdrive) lors d’un démarrage sur le média final. Afin d'éviter des
redondances et les confisions, le script le déplacera immédiatement dans son
dossier définitif.
MOVE winpe.wim ISO\Sources\boot.wim

 Le fichier "etfsboot.com" est un binaire de démarrage CD/DVD (ElTorito Boot
Sector). Ce fichier est uniquement nécessaire si le média final est un CD/DVD
amorçable. (cf OSCDIMG)
 Le répertoire "Mount" est un dossier vide utilisé pour le montage et la
personnalisation du noyau WinPE.
3.2.2. Ajout des fonctionnalités dans le noyau
Avant de procéder à l'ajout des fonctionnalités dans le noyau, il convient de

souligner que le WAIK 3.0.ne fournit malheureusement plus les outils de
réparation SRT (System Repair Tool), en tant que package indépendant.
Page 195 / 409

Cette option est habituellement disponible sur un DVD original via le lien
"Réparer l'ordinateur"
Si vous souhaitez disposer des outils de réparation dans votre noyau WinPE
personnalisé vous devez extraire un noyau spécialisé nommé "winre.wim" à
partir d'une distribution originale de Windows 7. Pour des raisons de
simplicité, le script ne prend pas en charge cette particularité.
Insérez un DVD original Windows 7 ou l'image .ISO équivalente dans le
lecteur que nous nommerons "H:" puis exécutez les commandes suivantes
MD %PE%TEMP
IMAGEX /MOUNT H:\Sources\install.wim 1 %PE%TEMP
COPY %PE%TEMP\windows\system32\recovery\winre.wim
%PE%MyPE_86\ISO\Sources\boot.wim /Y
IMAGEX /UNMOUNT %PE%TEMP
RD %PE%TEMP
Ce noyau inclut déjà les packages suivants :

WinPE-SRT
WinPE-Scripting
WinPE-Setup
WinPE-WDS
WinPE-WMI
Pour ajout des packages de fonctionnalités supplémentaires dans le noyau, il

faut modifier le contenu de BOOT.WIM, et "monter" ce fichier en
lecture/écriture dans le répertoire de travail prévu à cet effet, via l'une des
IMAGEX /MOUNTRW .\ISO\Sources\boot.wim 1 .\MOUNT
ou
DISM /Mount-WIM /WimFile:.\ISO\Sources\boot.wim /index:1
/MountDir:.\mount
Au titre d'une vérification, la commande suivante permet d'obtenir la liste et

l’état des packages de fonctionnalités intégrées dans le noyau WinPE,
DISM /Image:.\mount /Get-Packages
Notez qu'il n'y a que le package de base (Foundation) actuellement installé

ainsi que son pack de langue associé. L’ensemble de ces packages
linguistiques (x86 français) sont situés dans le répertoire :
"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\fr-fr\*.cab"
LE script va donc procéder à l'ajout des packages pratiquement
indispensables WSH, WMI, HTA ainsi que des composants plus spécialisés
tels que MDAC, WDS-Tools
Page 196 / 409

Notez que pour chaque package, il faut également penser à ajouter le pack de
langue associé. Pour simplifier la saisie, le script positionne 2 variables
d’environnement %FP% et %LP% chargées de référencer respectivement les
chemins d'accès aux packages (features) et aux packs linguistiques
SET FP=C:\Program Files\Windows AIK\Tools\PETools\ x86\WinPE_FPs
SET LP=fr-fr
Vous pouvez vérifier que les variables fonctionnent correctement en listant les
fichiers via les commandes suivantes (pensez aux guillemets en raison des
espaces contenus dans les noms des dossiers)
DIR "%FP%\*.cab"
DIR "%FP%\%LP%\*.cab"
Le pack de langue de base "fr-fr\lp_fr-fr.cab" est déjà intégré du fait que le

WAIK utilisé est déjà localisé en version française. Pour cette même raison,
le clavier AZERTY est également actif par défaut.
 Ajout de la fonctionnalité Windows Scripting Host : (Prise en charge des scripts

.vbs, .wsf …)
DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpe-
scripting.cab"
DISM /image:.\mount /Add-Package /PackagePath:"%FP%\%LP%\winpe-

scripting_%LP%.cab"
 Ajout de la fonctionnalité Windows Management Iinfrastrcuture : (Prise en

charge de l'infrastructure de gestion Windows et de la commande "WMIC")
wmi.cab"

wmi_%LP%.cab"
 Ajout de la fonctionnalité HTml Applications : (Support des applications HTML -

Prises en charge via Interpréteur "MSHTA.exe")
hta.cab"

hta_%LP%.cab"
Page 197 / 409

 Ajout de la fonctionnalité Microsoft Data Access Components : (Support des

composants de base de données "ActiveX Data Object", Open DataBase
Connectivity…)
mdac.cab"

mdac_%LP%.cab"
 Ajout de la fonctionnalité Windows Deployment Services : (Ajoute les outils des

services de déploiement Windows tel que l'outil "WDSCapture")
DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpe-wds-
tools.cab"

wds-tools_%LP%.cab"
Vous pouvez de nouveau vérifier que les fonctionnalités ont été correctement
installées dans le noyau WinPE via la commande suivante:
DISM /image:.\mount /Get-Packages
3.2.3. Modification du registre WinPE
Dans cette démonstration, nous proposons d'ajouter un explorateur graphique

de fichiers. Par défaut, les fichiers protégés du système (portant l'attribut
"Système") ne sont pas visibles et il est nécessaire de réaliser une petite
modification du registre WinPE pour pallier ce comportement. (Cette
particularité a déjà été évoquée au chapitre 2)
REG LOAD HKLM\WinPE .\Mount\Windows\System32\config\DEFAULT
REG ADD
anced
REG ADD
anced /v ShowSuperHidden /t REG_DWORD /d 1
REG ADD
anced /v SuperHidden /t REG_DWORD /d 0
REG UNLOAD HKLM\WinPE
3.2.4. Finalisation
Le script se charge de l'intégration des pilotes, des outils et des fichiers de

démarrage préalablement copiés dans la structure de personnalisation.
Page 198 / 409

 La finalisation
Il ne reste plus qu'à démonter l'image du noyau WinPE modifié, en n'oubliant
surtout pas de la valider les changements (/commit) via l'une des commandes
suivantes :
IMAGEX /UNMOUNT .\MOUNT /commit
ou
DISM /Unmount-Wim /MountDir:.\mount /commit
 Enfin, si vous souhaitez graver le résultat sur un CD ou le tester dans une

machine virtuelle, utilisez la commande de génération du fichier ISO suivante:
OSCDIMG -n -betfsboot.com .\ISO MyPE_x86.iso
Aperçu du résultat obtenu dans une machine virtuelle
Contenu global du script "MAKEPE3.cmd"

@Echo off
Echo Attention : Ce script doit etre lance a partir de l'invite
de commande Windows AIK
SET PE=%~dp0
Echo Chemin des personnalisations : %PE%PersoPE
TREE %PE%PersoPE
Echo .
Echo Attention : Ce script doit être execute a partir de l'invite
de commande Windows AIK
if "%1"=="d" Echo --- Mode Demo/Debug actif ----
Echo Appuyez sur CTRL + C pour stopper ce script ou
Page 199 / 409

Pause
Echo - Preparation de la structure de travail

if exist %PE%MyPE_x86\nul rmdir %PE%MyPE_x86 /S /Q
call COPYPE x86 %PE%MyPE_x86
Rem le dossier courant devient %PE%MyPE_x86
Echo - Deplacement du noyau au bon endroit

MOVE winpe.wim ISO\Sources\boot.wim
Echo .
Rem Remplacer eventuellement ce noyau par WinRE

Rem CALL CopyRE.cmd
if "%1"=="d" pause
Echo .
Echo - Montage du noyau WinPE en lecture-ecriture
DISM /Mount-WIM /WimFile:.\ISO\Sources\boot.wim /index:1
/MountDir:.\mount
Echo .
if "%1"=="d" Echo - Verification de la disponibilite des packages

dans le Kit
SET FP=C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs
SET LP=fr-fr
if "%1"=="d" DIR "%FP%\*.cab"
if "%1"=="d" pause
if "%1"=="d" DIR "%FP%\%LP%\*.cab"
if "%1"=="d" pause
Echo .
Echo - Enumerer les fonctionnalites du noyau WinPE (Avant)
DISM /image:.\mount /get-Packages
Echo .
if "%1"=="d" pause
Echo - Ajout des fonctionnalites dans le noyau WinPE

scripting.cab"
scripting_%LP%.cab"
wmi.cab"
wmi_%LP%.cab"
hta.cab"
hta_%LP%.cab"
mdac.cab"
mdac_%LP%.cab"
DISM /image:.\mount /Add-Package /PackagePath:"%FP%\winpe-wds-
tools.cab"
wds-tools_%LP%.cab"
Echo - Enumerer les fonctionnalites du noyau WinPE (Apres)

DISM /image:.\mount /get-Packages
Echo .
if "%1"=="d" pause
Echo - Modification du registre

REG LOAD HKLM\WinPE .\Mount\Windows\System32\config\DEFAULT
REG ADD
anced
Page 200 / 409

REG ADD
anced /v
ShowSuperHidden /t REG_DWORD /d 1
REG ADD
anced /v
SuperHidden /t REG_DWORD /d 0
REG UNLOAD HKLM\WinPE
Echo .
:Drivers
if not exist %PE%Drivers\nul goto KTools
Echo - Ajout des pilotes additionnels
DISM /image:.\mount /add-driver /driver:%PE%Drivers /recurse
/forceunsigned
Echo .
if "%1"=="d" pause
:KTools
if not exist %PE%PersoPE\KernelTools\nul goto Media
Echo - Ajout des outils additionnels
xcopy %PE%PersoPE\KernelTools\*.* .\Mount\Windows\*.* /S
Echo .
if "%1"=="d" pause
:Media
if not exist %PE%PersoPE\MediaTools\nul goto Fin
Echo - Copie des outils complementaires sur le media PE
MKDIR .\ISO\Tools
xcopy %PE%PersoPE\MediaTools\*.* .\ISO\Tools\*.* /S
Echo .
if "%1"=="d" pause
:Fin
Echo - Ajout des fichiers complementaires
if exist %PE%PersoPE\winpe.bmp copy /Y %PE%PersoPE\winpe.bmp
.\Mount\Windows
\System32\winpe.bmp
if exist %PE%PersoPE\startnet.cmd copy /Y
%PE%PersoPE\startnet.cmd .\Mount\Windows
\System32\startnet.cmd
if exist %PE%PersoPE\winpeshl.ini copy /Y
%PE%PersoPE\winpeshl.ini .\Mount\Windows
\System32\winpeshl.ini
if exist %PE%PersoPE\unattend.xml copy /Y
%PE%PersoPE\unattend.xml .\Mount\unattend.xml
Echo .
if "%1"=="d" pause
Echo - Finalisation et validation des modifications

DISM /Unmount-Wim /MountDir:.\mount /commit
Echo .
Echo Fin du processus de personalisation !..

Echo Pour generer l'image ISO prete a graver, utilisez la
commande suivante
Echo OSCDIMG -n -betfsboot.com .\ISO MonPE.iso
Echo Pour une utilisation sur clef USB, utilisez DISKPART pour
creer la partition
Echo puis copiez integralement le contenu du repertoire ISO vers
cette clef USB.
Page 201 / 409

CD ..
Note : Vous pouvez ajouter le paramètre "d" lors de l'appel du script afin
d'activer le mode "demo/debug" et ainsi déclencher des pauses durant
l'exécution.
Page 202 / 409

Chapitre 5 : Services de déploiement Windows (WDS)
Chapitre 5 : Services de déploiement

Windows (Windows Deployment Services)
1. Introduction
Ce chapitre a pour objectif de vous faire découvrir l''intérêt des Services de
déploiement Windows.
Complémentaire aux solutions de déploiement de machines, le recours à un
serveur "PXE" ( Pre-boot eXecution Environment) permet de centraliser et
simplifier la gestion des distributions et des outils de maintenance.
Contraintes des médias
Depuis plusieurs années, Microsoft propose ce type de service autour de

produits complémentaires tels que SMS (Systems Managment Server), puis
SCCM (System Center Configuration Manager) ou intégrés aux distributions
"Windows Server", tel que RIS (Remote Installation Services) puis (WDS -
Windows Deployment Services).
Les Services de déploiement Windows - WDS (Windows Deployment

Services), sont intégrés aux distributions "Windows Server 2003 sp2" et
ultérieures. Ils reposent principalement sur un service PXE fournissant le
processus d'amorçage des clients via le réseau et d'un service TFTP (Trivial
File Transfer Protocol) pour le téléchargement des images vers ces clients.
Les Services de déploiement Windows prennent naturellement en charge le

format d’images WIM , intégrant le support de WinPE - Il est également
possible d'installer WDS en tant que mise à des Services d'installation à
distance (RIS) afin d'assurer la cohabitation des 2 solutions sur un même
serveur (mode "Mixte") - Par opposition, le mode "Natif" indique que le serveur
ne prend pas en charge les Services d'installation à distance d'ancienne
génération.
Pour ne pas développer inutilement l'historique, et focaliser notre présentation

sur la solution actuelle voici un schéma résumant les évolutions des solutions
de déploiement Windows
Page 203 / 409

Afin de resituer notre contexte de travail, le schéma ci-après symbolise les

principaux éléments clés d'un processus de déploiement. Partant d'un poste
de référence dument préparé avec "sysprep", les images résultantes sont
stockées sur un média puis déployées vers les ordinateurs cibles.
Le poste du technicien est aussi mentionné à titre indicatif pour l'édition des
fichiers de réponse et la personnalisation des images .WIM et .ISO mais
n'intervient pas directement dans ce processus.
L'élément "WDS (PXE)" situé au centre de ce dessin est également au cœur
des propos de ce chapitre et symbolise toute une infrastructure que nous
allons détailler maintenant.
Présentation de la maquette.
Afin de tendre vers un véritable scénario d'exploitation, nous avons opté pour
une séparation totale des principaux rôles de serveur composant cette
infrastructure.
Ainsi, les rôles de contrôleur de domaine Active Directory (ADDS) et les

services de déploiement Windows (WDS) seront installés au sein de 2
Page 204 / 409

machines virtuelles distinctes. Les services DHCP seront fournis par la

plateforme physique au même titre qu'un serveur indépendant ou un
équipement réseau autonome.
Les clients sont des machines virtuelles configurées pour démarrer sur le
réseau (Clients PXE avec carte réseau héritée).
2. Préparation de la maquette
Avant de procéder à l'installation des Services de déploiement Windows
(WDS), un certain nombre de prérequis doivent être vérifiés:
Le futur serveur WDS doit être installé au minimum sur Windows Server 2003
sp1 et membre d'un domaine Active Directory
Un service DHCP doit être présent sur le réseau
Idéalement, une partition NTFS ou un disque dédié au stockage des images
.WIM
Afin de gagner un peu de temps lors de l'installation de ces 2 machines

virtuelles supplémentaires, tout en balayant une de nouvelles facettes
techniques d'installation, nous vous proposons une procédure fortement
inspirée de la configuration réalisée au chapitre 3 - B2a (variante graphique).
Cette technique de préparation est très employée pour provisionner des

modèles "Prêt à installer" au sein des environnements virtuels (Templates)
mais peut servir également de technique de déploiement Windows 7 via les
services de déploiement Windows (WDS) dans le cadre d'un démarrage natif
sur disque virtuel.
Page 205 / 409

2.1. Installation et configuration des prérequis

2.1.1. (1°) Création du disque VHD
 A partir du menu "Démarrer" de la machine physique, exécutez

"DISKMGMT.msc", puis dans la console "Gestion des disques" utilisez le
menu "Action … Créer un disque dur virtuel". Dans la fenêtre "Créer et
attacher un disque dur virtuel", dans le champ "Emplacement" entrez un
nom complet désignant le fichier de disque dur virtuel à créer, "C:\Hyper-
V\VHDs\W2008R2-Base.vhd".
 Au niveau de la ligne "Taille du disque dur virtuel :", entrez la valeur "40" dans
le champ de saisie, sans oublier de sélectionner l'unité de grandeur "Go" dans
la liste déroulante.
 Dans le cadre "Format du disque dur virtuel", sélectionnez l'option "Taille
dynamique" (Ce choix permet d'accélérer le processus de création au
détriment des performances de ce disque virtuel mais ce dernier pourra
ultérieurement être converti en disque à taille fixe pour des besoins de
production)
 Cliquez sur le bouton "OK" pour terminer.

Dans la console "Gestion des disques", l'opération de création d'un disque dur
virtuel enchaine automatiquement l'attachement de ce dernier. Un nouveau
disque dur apparait dans cette interface graphique, symbolisé par une icône
bleuté indiquant qu'il s'agit d'un disque virtuel.
Page 206 / 409

 Sélectionnez la zone à gauche "Disque n", puis utilisez le menu "Action …

Toutes les taches … initialiser le disque" ou le menu contextuel.
 Dans la fenêtre "Initialiser le disque", le disque doit être déjà sélectionné et
l'option du type de partition positionné sur "Secteur de démarrage principal"
(Master Boot Record)
Précisions : MBR versus GuidPT
Depuis NT6 , Windows supporte 2 types de gestion de partition y compris

pour les disques système, contrairement au versions précédentes.
 Le format traditionnel "Secteur de démarrage principal", communément
dénommé disque "MBR" supporte une taille maximale de 2 To, dont il limite le
"découpage" à 4 partitions. C'est d'ailleurs pour cette raison que la console
"Gestion des disques", refuse la création d'une 4ème partition principale et
impose le type "Etendue" sur le reste disque afin d'exploiter au maximum cet
espace via un ou plusieurs les lecteurs logiques
 Le format "Partition GPT (GUID Partition Table)" permet d'outrepasser les
limites MBR tant en termes de taille que du nombre de partitions. Cependant,
pour un disque système, ce type d'amorçage ne sera supporté que par des
machines EFI ou UEFI (Unified Extended Firmware Interface). Véritable
microsystème (pourquoi pas même un hyperviseur) intercalé entre un système
d'exploitation et le matériel, l'UEFI développé en langage C, est à terme appelé
à remplacer le BIOS traditionnel de nos bons vieux ordinateurs.
La conversion de ce format peut être réalisée tant que le disque est vierge
(via le gestionnaire de disques ou l'outil DISKPART). Autrement dit, une fois
en exploitation, il est nécessaire de sauvegarder puis détruire le contenu pour
réaliser ce changement de format.
 Revenons à notre manipulation : Cliquez sur le bouton "OK" pour initialiser le

disque au format MBR.
 Sélectionnez la zone correspondant à l'espace non alloué puis utilisez le
menu "Action … Toutes les taches … Nouveau volume simple" ou le menu
contextuel.
Page 207 / 409

 Dans l'assistant de création d'un volume simple, cliquez sur le bouton

"Suivant ", vérifiez que la taille proposée occupe l'intégralité de l'espace
disponible puis cliquez de nouveau sur le bouton "Suivant ". Relevez ou
changez la lettre d'unité proposée, par exemple "H:" puis cliquez sur le
bouton "Suivant ". Au niveau de l'écran "Formater une partition", conservez
les valeurs par défaut, système de fichier "NTFS", taille d'unité d'allocation
"Par défaut", et la case "Effectuer un formatage rapide" cochée. Entrez
éventuellement un nom de volume tel que "W2K8R2-SYS" puis cliquez sur le
bouton "Suivant ".
 Cliquez sur le bouton "Terminer". Après quelques secondes le disque est

prêt. Fermez l'éventuelle fenêtre d'exécution automatique
Note : A l'instar d'un disque SCSI enfichable à chaud ("Hot-plug") un disque

virtuel peut être assimilé à un support amovible
 Sélectionnez cette nouvelle partition "H:" puis utilisez le menu "Action …

Toutes les taches … Marquer la partition comme active " ou le menu
contextuel.
Conservez la console de gestion des disques ouverte puis ouvrez une fenêtre
dans l'explorateur Windows.
2.1.2. (2°) Extraction de l'iso Windows server 2008R2 vers le VHD
 Sélectionnez le fichier correspondant à l'image ISO de Windows Server 2008

R2 utilisé précédemment pour l'installation de la plateforme physique. (eg.
"7601.17514.101119-1850_x64fre_server_eval_fr-fr-
Page 208 / 409

GRMSXEVAL_FR_DVD.iso") puis utilisez le menu contextuel "Monter

(Virtual CloneDrive G:)".
 Exécutez ensuite l'outil "GImageX.exe" utilisé lors de manipulations
précédentes sur WinPE et théoriquement déjà présent dans le dossier
"C:\Deploy\DL\GImagex\install\x64"
 Dans la fenêtre "GImagex v2", sous l'onglet "Apply", utilisez les boutons
"Browse" afin d'indiquer respectivement la source "G:\sources\install.wim"
et la destination "H:\". Utilisez le bouton "Select" pour sélectionner l'index "3"
correspondant à l'image "Windows Server 2008 R2 SERVERENTERPRISE"
puis cliquez sur le bouton "Apply" pour débuter l'extraction.
 Une fois l'opération correctement terminée, cliquez sur le bouton "Close" puis
fermez la fenêtre "GImagex v2".
Ajoutez la structure d'amorçage en ouvrant une invite de commande en tant

qu'Administrateur, via la commande suivante
 BCDBOOT H:\windows /s H: /l fr-fr
C:\> BCDBOOT H:\windows /s H: /l fr-fr

 Fermez la fenêtre de l'invite de commande puis revenez sur la console de

gestion des disques. Sélectionnez la zone "Disque n", correspondant au
disque virtuel puis utilisez le menu "Action … Toutes les taches … Détacher
un disque dur virtuel " ou le menu contextuel. Cliquez sur le bouton "OK"
Page 209 / 409

Facultatif : Afin de prévenir d'éventuelles erreurs de configuration par la suite,

vous pouvez affecter l'attribut de lecture seule à ce fichier .VHD
2.1.3. (3°) Création des machines virtuelles
Avant de procéder à la création des machines virtuelles, nous allons préparer

2 disques virtuels de différentiation. Cette technique de maquettage permet
d'utiliser un disque parent (en lecture seulement) associé à un disque "fils" qui
contiendra les données (différentielles) en écriture. Similaire aux techniques
des captures instantanées proposées par Hyper-V (.AVHD), cette astuce de
provisionnement rapide est à éviter pour les machines virtuelles en production
(évolution inéluctable de la volumétrie). Il sera néanmoins possible de
fusionner, à postériori, ces disques virtuels afin d'obtenir un disque virtuel
unique plus performant.
 Démarrez la console du "Gestionnaire Hyper-V" puis utilisez le menu "Action

… Nouveau … Disque dur …" Passez l'écran d'accueil de l'assistant en
cliquant sur le bouton "Suivant", puis cochez l'option "Différentiation" et
cliquez sur le bouton "Suivant".
Page 210 / 409

 Entrez le nom désignant le futur disque propre à chaque machine virtuelle,

comme par exemple "HD0-DC-Labs.vhd" pour l'un et "HD0-WDS-Labs.vhd"
pour l'autre. Cliquez sur le bouton "Suivant", puis le bouton "Parcourir" afin
de sélectionner le disque parent "C:\Hyper-V\VHDs\W2008R2-Base.vhd"créé
lors de l'étape précédente. Cliquez sur le bouton "Terminer". Réitérez ces
opérations pour le second disque virtuel.
 A partir de la console du "Gestionnaire Hyper-V" utilisez le menu "Action …

Nouveau … Ordinateur Virtuel…". Passez l'écran d'accueil de l'assistant en
cliquant sur le bouton "Suivant", entrez un nom désignant la machine virtuelle
comme par exemple "DC-Labs" pour l'une et "WDS-Labs" pour l'autre.
Cliquez sur le bouton "Suivant", spécifiez ou conservez la quantité mémoire
proposée "512" puis cliquez de nouveau sur le bouton "Suivant". Au niveau
de l'écran "Configurer la mise en réseau", sélectionnez "INTERNE HOTE"
dans la liste déroulante "Connexion" puis cliquez sur le bouton "Suivant".
 Au niveau de l'écran "Connecter un disque virtuel", cochez la seconde option
"Attacher un disque dur virtuel existant" puis utilisez le bouton "Parcourir"
afin de sélectionner respectivement le disque différentiel, soit "C:\Hyper-
V\VHDs\HD0-DC-Labs.vhd" ou C:\Hyper-V\VHDs\HD0-WDS-Labs.vhd"
correspondant à la machine virtuelle. Cliquez sur le bouton "Terminer".
Réitérez ces opérations pour la seconde machine virtuelle.
2.1.4. (4°) Configuration initiale commune aux 2 machines virtuelles
A ce stade, vous pouvez démarrer chacune des machines virtuelles et après

quelques minutes, la technique d'installation employée doit s'achever par
l'ouverture d'une première fenêtre "Configurer Windows". Confirmez les
préférences régionales et cliquez sur le bouton "Suivant".
Page 211 / 409

 Cochez la case pour accepter le contrat de licence, et cliquez sur le bouton

"Démarrer". Après le message de finalisation des paramètres, vous êtes
invité à saisir un mot de passe obligatoire respectant les exigences de
complexité. (cf Chapitre 1), Entrez par exemple "Pa$$w0rd".
 Entrez par exemple "Pa$$w0rd", et après validation du mode passe, l'écran

de l'assistant "Taches de configuration initiales" s'ouvre automatiquement.
Page 212 / 409

 Cliquez sur le lien "Configurer le réseau" de l'assistant, afin d'affectez une

adresse IPv4 statique. A partir des propriétés de l'interface réseau,
sélectionnez "Protocole Internet version (TCP/IPv4)" puis cliquez sur le
bouton "Propriétés".
 Sur la machine virtuelle "DC-Labs", entrez les valeurs suivantes:

 Adresse IP : 192.168.255.250
 Serveur DNS préféré : 127.0.0.1
 Cliquez sur le bouton "OK", puis le bouton "Fermer". Vous pouvez également
fermer ou réduire la fenêtre "Connexions réseau" afin de revenir sur l'assistant
"Taches de configuration initiales".
 Cliquez sur le lien "Indiquer un nom d'ordinateur et un domaine " puis
cliquez sur le bouton "Modifier" de la fenêtre "Propriétés système". Entrez le
nom "DC01" dans le champ "Nom de l'ordinateur", puis cliquez sur le bouton
"OK" pour valider. Cliquez de nouveau sur le bouton "OK" pour acquitter le
message vous informant qu'un redémarrage de l'ordinateur est nécessaire.
 Cliquez sur le bouton "Fermer" de la fenêtre "Propriétés système", puis

cliquez sur le bouton "Redémarrer maintenant" lorsque vous y êtes invité:
Page 213 / 409

 Sur la machine virtuelle "WDS-Labs", répétez ces même opérations de

finalisation jusqu’à l'écran de l'assistant "Taches de configuration initiales"
 Cliquez sur le lien "Configurer le réseau" puis procédez de la même manière
afin de saisir les paramètres réseau suivants:
 Adresse IP : 192.168.255.251
 Serveur DNS préféré : 192.168.255.250
 Cliquez sur le lien "Indiquer un nom d'ordinateur et un domaine " puis
cliquez sur le bouton "Modifier" de la fenêtre "Propriétés système". Entrez le
nom "WDS" dans le champ "Nom de l'ordinateur", puis cliquez sur le bouton
"OK" pour valider. Cliquez de nouveau sur le bouton "OK" pour acquitter le
message vous informant qu'un redémarrage de l'ordinateur est nécessaire.
Cliquez sur le bouton "Fermer" de la fenêtre "Propriétés système", puis
cliquez sur le bouton "Redémarrer maintenant" lorsque vous y êtes invité.
Nous reprendrons la configuration de cette machine lors de l'installation des
services de déploiement, traitée plus loin dans ce chapitre.
2.1.5. (5°) Configuration du domaine Active Directory
Ce passage traite succinctement l'installation d'un domaine Active Directory.

En raison de l'ampleur d'un tel sujet, nous procéderons à une configuration
par défaut. Le détail des étapes de configuration étant destiné aux néophytes
en la matière.
 Sur la machine virtuelle "DC-Labs", ouvrez une session avec le compte
"Administrateur" et son mot de passe "Pa$$w0rd".
Si vous le souhaitez, vous pouvez cocher la case en bas de l'assistant
"Taches de configuration initiales" afin que celui-ci ne soit plus
systématiquement affiché à l'ouverture de session. (Au besoin, vous pourrez
le rappeler en exécutant la commande "OOBE.exe").
De la même manière, le "Gestionnaire de serveur" est automatiquement
ouvert avec les sessions des administrateurs. Etant donné que cet outil de
gestion global est disponible dans la barre des taches ainsi que dans le menu
contextuel "Gérer" de l'icône "Ordinateur", vous pouvez également cocher la
case "Ne plus afficher cette fenêtre à l'ouverture de session" et fermer cet
outil.
Page 214 / 409

Notez que cet écran permet également de configurer la configuration

renforcée d'Internet Explorer, relativement gênante lors de l'affichage d'une
page web locale, tel qu'un rapport de stratégie. A condition d'en assumer les
risques potentiels, vous pouvez désactiver cette confirmation de sécurité
pour les administrateurs.
Pour installer un domaine, il est théoriquement nécessaire d'installer

préalablement le rôle "Service de domaine Active Directory " (AD-DS) puis
procéder à sa configuration dans un deuxième temps. Dans la même logique,
les services DNS associés devraient être préalablement vérifiés et configurés
le cas échéant.
Page 215 / 409

 Pour faire simple, nous vous proposons d'exécuter directement la commande

"DCPROMO" via le menu "Démarrer … Recherche". Ce qui aura pour
conséquence d'installer le rôle ainsi que les binaires nécessaires et
enchainera "l'assistant d'installation Active Directory"
 Une fois les fichiers du rôle "Service de domaine Active Directory" installés,
l'assistant de configuration s'ouvre automatiquement. Cliquez sur le bouton
"Suivant"
 Cliquez de nouveau sur le bouton "Suivant", afin accepter le message relatif à

la compatibilité du système d'exploitation (cf KB942564).
Cochez ensuite l'option "Créer un domaine dans une nouvelle forêt" puis
cliquez sur le bouton "Suivant"
 Entrez "labs.local" dans le champ "Nom de domaine complet du nouveau
domaine racine de la forêt" puis cliquez sur le bouton "Suivant"
Page 216 / 409

Un message de vérification du nom NetBIOS apparait furtivement.
 Sélectionnez le mode fonctionnel de la forêt "Windows Server 2008 R2" et

Page 217 / 409

Ce choix irréversible est uniquement dans un but de simplifier la procédure et

impose de fait ce même mode fonctionnel maximal pour le domaine. Ceci
induit que tous les contrôleurs du domaine "labs.local", y compris dans des
domaines supplémentaires, soient sous Windows Server 2008 R2 et ultérieur.
Ce mode n'a aucune conséquence sur les postes ou serveurs membres du
domaine et le mode "Windows Server 2003" aurait pu suffire.
 Après un message furtif relatif à l'analyse de la configuration DNS, vérifiez

que la case "Serveur DNS" est cochée et cliquez sur le bouton "Suivant".
Une boite de dialogue relative à la délégation DNS, apparaît Celle-ci vous

informe que pour respecter les préconisations d'une structure de noms DNS,
et garantir des résolutions de noms à partir de l'extérieur, une délégation de
ce domaine devrait être créée dans la zone parente "local." (Cette dernière
devrait également être déléguée au niveau de la racine).
 Ignorez cet avertissement et cliquer sur le bouton "Oui"
Page 218 / 409

 Acceptez les chemins par défaut et cliquez sur le bouton "Suivant". Entrez un
mot de passe de restauration des services d'annuaire, tel que "Pa$$w0rd"
puis cliquez sur le bouton "Suivant". Vérifiez le résumé des sélections puis
cliquez sur le bouton "Suivant" pour démarrer le processus de configuration
Active Directory.
 Cochez éventuellement la case "Redémarrer à la fin de l'opération"

 Après le redémarrage de la machine virtuelle ", ouvrez une session avec le
compte "LABS\Administrateur" et le mot de passe "Pa$$w0rd".
2.1.6. (6°) Configuration du DHCP
Pour garantir un mécanisme d'amorçage PXE, il est nécessaire d'offrir un

adressage IP dynamique aux clients via un serveur BOOTP ou DHCP. Les
clients peuvent ensuite télécharger un système d'amorçage via un serveur
Page 219 / 409

Trivial FTP. Le schéma ci-après symbolise les principales étapes de ce

processus.
Ce service DHCP pourrait être assuré par le serveur de déploiement WDS

lui-même, ou encore par le contrôleur de domaine de cette maquette.
Toutefois, afin d'aborder quelques subtilités importantes en la matière et nous
opterons pour une configuration du serveur DHCP déjà installé sur la
plateforme physique.
La première remarque porte sur l'autorisation d'un serveur DHCP. En effet, si

vous ouvrez la console DHCP (DHCPMGMT.msc) à partir de la machine
physique, vous constaterez que le service est probablement arrêté (Les
icones correspondantes à "IPv4" et "IPv6" devraient être estampillées d'une
flèche rouge). Si ce n'est pas le cas, ce n'est qu'une question de minutes et
pour forcer la détection, tentez un redémarrage du service à partir de la
console.
Page 220 / 409

Ceci est lié au fait que le service DHCP à détecter la présence d'un domaine
Active Directory, via une trame 'DHCP Inform' et qu'il n'a reçu aucune
approbation. Ce comportement propre aux serveurs Microsoft, permet d'éviter
certaines installations sauvages de serveurs DHCP pouvant déstabiliser un
réseau de production.
Ajouter la fonctionnalité "Console DHCP"
Nous allons donc procéder à l'autorisation de ce serveur DHCP au sein

d'Active Directory, à partir de la machine virtuelle "DC-Labs" sur laquelle une
session Administrateur (d'entreprise) est normalement en cours.
En l'absence de serveur DHC P dans cet environnement virtuel de domaine, il

est nécessaire d'ajouter les outils de gestion. Sur une machine Windows
Server 2008/R2, ces derniers sont disponibles au niveau des fonctionnalités
"Outils d'administration de serveur à distance". En fonction de vos
préférences, utilisez le lien "Ajouter des fonctionnalités" au niveau du
"Gestionnaire de serveur" ou de l'assistant des taches de configuration initiale
"OOBE.exe".
Vous pouvez également recourir à DISM via les lignes de commandes

suivantes :
DISM /online /enable-feature /featureName:DHCPServer-
Tools
Page 221 / 409

DISM /online /enable-feature /featureName:DHCPServer-

RSATClient-Tools
 Ouvrez la console DHCP à partir des outils d'administration du menu

"Démarrer". Utilisez le menu "Action … Gérer les serveurs autorisés" ou le
menu contextuel.
 Cliquez sur le bouton "Autoriser" puis entrez l'adresse "192.168.255.254"
dans le champ de saisie puis cliquez sur le bouton "OK". N'ayant pas réussi à
résoudre le nom du serveur, une nouvelle fenêtre "Confirmer l'autorisation"
apparait, dans laquelle vous devez ajouter un nom de machine tel que
"DHCP-HOTE" puis cliquez sur le bouton "OK" pour valider.
 Cliquez sur le bouton "Fermer" puis fermez également la console DHCP.
 Ouvrez la console DHCP à partir des outils d'administration du menu

"Démarrer" de la machine physique ou exécutez la commande
"DHCPMGMT.msc". Les icones correspondantes à "IPv4" et "IPv6" devraient
être estampillées d'une flèche verte. Si ce n'est pas le cas, forcez la détection
en sélectionnant le nom du serveur puis le menu "Action … Toutes les
taches … Redémarrer" ou le menu contextuel.
Page 222 / 409

Configurer les options DHCP
Maintenant que le serveur est potentiellement opérationnel pour les clients du

domaine nous allons stipuler les options DNS de l'Active Directory et préparer
les options relatives aux services de déploiement.
 A partir de la console DHCP de la machine physique, développez

l'arborescence afin de sélectionner la rubrique "Etendue [192.168.225.0]
INTERNE HOTE" … "Options d'étendue". Utilisez le menu "Action …
Configurer les options" ou le menu contextuel
 Cochez la case "003 Routeur ", entrez la valeur "192.168.255.254" dans le
champ "Adresse IP" puis cliquez sur le bouton "Ajouter" - Cette valeur reste
inchangée si vous avez défini cette option lors de l'implémentation du
routage NAT dans le chapitre 1.
 Cochez la case "006 Serveur DNS", entrez la valeur "192.168.255.250"
dans le champ "Adresse IP" puis cliquez sur le bouton "Ajouter". Si vous
avez défini cette option lors de l'implémentation du routage dans le chapitre
1, vous devrez reprendre ces adresses DNS de fournisseur d'accès Internet
afin de les renseigner dorénavant au niveau des redirecteurs DNS du
contrôleur de domaine.
 Cochez la case "015 Nom de domaine DNS", entrez la valeur "labs.local"
dans le champ "Valeur de chaine"
Options spéciales PXE
L'installation d'un service DHCP sur la même machine que les services de
déploiement Windows (WDS) simplifie grandement cette configuration en
ajoutant automatiquement une option spéciale nommée "060 PXE Client".
Cette option permet d'indiquer qu'un client PXE peut localiser lui-même le
serveur WDS présent sur son réseau local.
Cette option utilise un mécanisme de diffusion générale et n'est

opérationnelle que dans le cas où les clients sont sur le même réseau local
que les serveurs d'amorçage PXE.
Dans le cas où le serveur DHCP est membre d'un Active Directory, mais qu'il
n'assure pas les services PXE, vous devez procéder à une configuration
manuelle de cette option. Pour ajouter une option DHCP qui ne fait pas partie
de la liste proposée par défaut, vous devez solliciter l'outil en ligne de
commande "NETSH". Pour cela, ouvrez une invite de commande en tant
Page 223 / 409

qu'administrateur sur la machine physique puis entrez les commandes

suivantes:
 NETSH
 dhcp server \\192.168.255.254
 add optiondef 60 PXEClient STRING 0 comment="Option
speciale PXE"
 set optionvalue 60 STRING PXEClient
 show optionvalue all
 exit
c:\Users\Administrateur>NETSH
netsh> dhcp server \\192.168.255.254
netsh dhcp server> add optiondef 60 PXEClient STRING 0
comment="Option speciale PXE"

netsh dhcp server> set optionvalue 60 STRING PXEClient

netsh dhcp server> show optionvalue all
DHCP Standard Options :

Valeurs d'options générales :
IDoption : 60
Valeur option :
Nombre d'éléments d'option = 1
Type d'élément d'option = STRING
Valeur élément d'option = PXEClient
netsh dhcp server> exit
Afin de vérifier la présence de cette option, utilisez la console DHCP. Cette

option devrait apparaitre au niveau des "options de serveur" et sera donc
répercutée dans toutes les étendues. Il est possible que l'option fraichement
déclarée soit mentionnée "inconnu". Pour pallier cette erreur d'affichage,
fermez ou rouvrez la console DHCP.
Suite à ces opérations, vous devriez obtenir le résultat suivant :
Page 224 / 409

Si le serveur DHCP avait été membre du domaine, cette configuration aurait

été opérationnelle.
Dans le cas de cette maquette, le serveur DHCP est membre d'un groupe de
travail et alors que le serveur de déploiement est nécessairement membre
d'un Active Directory. Hors, tout serveur WDS doit être considéré comme un
serveur DHCP. C’est-à-dire que qu'il doit être également autorisé au sein de
l'Active Directory. Cette autorisation devenant prioritaire à celle du serveur
DHCP n'appartenant pas au domaine, ce dernier va cesser de répondre aux
demandes de ces clients.
Pour résoudre ce cas de figure, vous devez opter pour une configuration des
options "066" et "067" traditionnellement réservées aux serveurs PXE. Cette
configuration est compatible et applicable aux serveurs PXE Microsoft ou
alternatifs (Non Microsoft). Contrairement à l'option "060" cette configuration
présente la possibilité d'ouvrir le service PXE à des machines situées sur
d'autres réseaux locaux que celui du serveur.
 Au niveau de la console DHCP de la machine physique, développez

l'arborescence afin de sélectionner "DHCP … NomDuServeur … IPv4 …
Etendue 192.168.255.0 [INTERNE HOTE] … Options d'étendue" puis
utilisez le menu "Action … Configurer les options" ou le menu contextuel.
 Cochez la case "066 Nom d'hôte du serveur de démarrage", entrez la

valeur "192.168.255.251" dans le champ "Valeur de chaine"
 Cochez la case "067 Nom du fichier de démarrage", entrez la valeur
"Boot\x86\wdsnbp.com" dans le champ "Valeur de chaine"
 Si vous avez préalablement activez l'option "060 PXEClient ", sélectionnez la

rubrique "DHCP … NomDuServeur … IPv4 … Options de serveur" puis
sélectionnez l'option "060 PXEClient ". Utilisez le menu "Action …
Supprimer" ou la menu contextuel, puis cliquez sur 'Oui' à la demande de
confirmation.
Suite à ces opérations, vous devriez obtenir le résultat suivant :
Page 225 / 409

Important : Afin d'éviter le conflit avec ce serveur DHCP connecté à un

réseau local commun, il sera nécessaire de désactiver le port d'écoute
UDP/67 dans la console du serveur WDS (Cochez la case appropriée au
niveau de l'onglet "DHCP" des propriétés du serveur).
2.1.7. Configuration d'amorçage "affinée" d'un serveur WDS/PXE
Cet aparté s'adresse à un public averti ayant pour objectif d'implémenter des
solutions alternatives de déploiement ou de proposer des serveurs
d'amorçage PXE hébergés sur des réseaux locaux différents de ceux des
clients PXE
Toutefois, en première lecture, ou pour une mise en œuvre simplifiée,
reportez-vous directement au paragraphe B2 traitant l'installation classique.
Exemple 1 : Choix d'un serveur WDS au démarrage
Les options DHCP que nous venons d'évoquer permettent d'orienter le client
sur le serveur PXE de votre choix. Pour des raisons de charge ou de secours,
il est parfois intéressant de disposer de plusieurs serveurs sur un même
réseau. Si le client PXE ne reçoit que l'option "060", il se connecte au premier
serveur WDS qui lui répond. Hors, bien que Microsoft ne commente pas cette
possibilité, il est possible de choisir sur quel serveur WDS le client PXE doit se
connecter lors de la phase d'initialisation en appuyant sur la touche
Pour activer cette possibilité, propre à Windows Server 2008 R2, il est
nécessaire de modifier la clé de registre suivante sur chacun des serveurs
WDS qui doivent répondre au client PXE.
HKLM\SYSTEM\CurrentControlSet\Services\WDSServer\Provider
s\WDSPXE\Providers\BINLSVC
Modifiez ensuite la donnée "AllowServerSelection" en entrant la valeur
"1".
Vous pouvez effectuer cette opération via Regedit ou via la ligne de

commande suivante :
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE
\Providers\BINLSVC /v AllowServerSelection /t REG_DWORD /d 1 /f
Comme pour toute modification de configuration du serveur de déploiement, il

est préférable de redémarrer le service "WDSServer", via la console WDS en
sélectionnant le serveur puis le menu "Action … Toutes les taches …
Redémarrer" ou le menu contextuel, ou encore plus globalement via la
console "Services.msc", ou finalement via la rubrique "Services système"
propre à chaque rôle dans le "Gestionnaire de serveur"
Page 226 / 409

Pour les inconditionnels de la ligne de commande, vous pouvez également

procéder comme suit:
C:\> NET STOP WDSSERVER && NET START WDSSERVER
Lors de la procédure d'amorçage du client PXE, que nous détaillerons plus

tard, vous aurez alors une option supplémentaire "F11 for server selection".
En appuyant sur [F11], le client PXE pourra découvrir tous les serveurs WDS
dont la clé de registre précédemment mentionnée est à "1".
Exemple 2 : Cohabitation d'un serveur WDS et SYSLinux
Pour de nombreuses sociétés, universités ou centres de formation, la solution

de déploiement ne se cantonne pas toujours à des machines sous Windows
et peut conduire à des choix difficiles. Dans le cadre d'une complémentarité
avec les systèmes d'exploitation que WDS ne prend pas en charge, nous vous
Page 227 / 409

proposons une approche alternative, prétexte à une analyse plus approfondie

des mécanismes du chargeur de démarrage WDS ("bootstrap loader"),
En premier lieu, il convient de présenter la structure des dossiers retenue par

Microsoft pour son serveur WDS. La racine, dénommée "TFTP Root", est
située dans le dossier défini lors de l'installation (ie. "E:\RemoteInstall\" ) mais
les clients ont un droit de lecture par défaut uniquement sur les sous-dossiers
"boot" et "tmp". Ces réglages sont respectivement stipulés sous la clé de
registre suivante :
"HKLM:\SYSTEM\CurrentControlSet\Services\WDSServer\Provide
rs\WDSTFTP"
 Pour l'emplacement de la racine via l'entrée [REG_SZ] "RootFolder" =
"E:\RemoteInstall"
 Pour les droits de lecture des clients PXE via l'entrée [REG_MULTI_SZ]
"ReadFilter" = "\boot\* \tmp\* boot\* tmp\*".
Au niveau de la racine TFTP, on distinguera 2 dossiers essentiels :

 "Boot" : Contient la structure composée principalement des fichiers
d'amorçage ( ) et des images .WIM de démarrage (Autrement dit, les
images système WinPE).
 "Images" : Contient les images .WIM d'installation (Autrement dit, les
distributions Windows préparées avec "sysprep")
Dans la structure de dossier "Boot", il semblerait que Microsoft ai choisi

d'utiliser un sous-répertoire propre à chaque plateforme (x86, x64, IA64), dans
lesquels sont stockés les fichiers d'amorçage (tels que bootmgr.exe ,
default.bcd, pxeboot.com, wdsnbp.com …) et un sous-dossier "Images" dans
lequel sont placés les images .WIM de WinPE ainsi qu'un fichier ".WIM.bcd"
associé.
Sur le plan pratique, il apparait que les fichiers situés dans les dossiers x86 et
x64 sont identiques et le répertoire x86x64 ne contient que le fichier de
configuration d'amorçage. Nous nous concentrerons donc uniquement sur le
dossier x86 qui reste pleinement opérationnel pour les 2 architectures.
Page 228 / 409

Schéma simplifié de la structure TFTP de WDS :
Le premier chargeur d'amorçage PXE, nommé "wdsnbp.com" commence par

valider l'architecture processeur du client puis, initialise l'amorçage
correspondant. En fonction des réglages du serveur la machine peut attendre
une confirmation (cf périphériques en attente) ou initialiser le chargeur par
défaut "pxeboot.com"(son équivalent, le fichier "pxeboot.n12" évite la
confirmation du chargement via un second appui sur la touche [F12]). En
fonction des images de démarrage disponibles, un éventuel menu est ensuite
affiché puis le chargement du noyau WinPE est effectué.
Ce processus peut être modifié au niveau des propriétés du serveur sous
l'onglet "Démarrer" (Sensiblement modifié et simplifié depuis Windows Server
2008R2)
Page 229 / 409

Le principe d'amorçage standard PXE pourrait schématiquement être

représenté comme suit :
Page 230 / 409

Dans cette présentation ostensiblement marginale, nous souhaitons

démontrer qu'il est possible de substituer ce système d'amorçage par un
chargeur Linux ayant la possibilité de rendre la main au chargeur WDS initial
en cas de besoin.
Pour modifier ce processus d'amorçage, vous devez préalablement

télécharger un noyau "syslinux" v3.72 ou supérieur à l'adresse suivante
"http://www.kernel.org/pub/linux/utils/boot/syslinux/".
Sachant que certains de ces fichiers spéciaux ne portent pas d'extension,

pensez à démasquer les extensions de fichiers connus afin d'éviter les
confusions, surtout si vous effectuez ces manipulations via l'interface
graphique de Windows.
 Choisissez l'un des packages proposé, portant idéalement une extension

".zip" afin de le gérer au sein de l'explorateur Windows. Vous devrez ensuite
extraire de cette archive les 3 fichiers suivants vers le dossier "Boot\x86"
situé sous la racine TFTP du serveur WDS, soit "\RemoteInstall".
 modules/pxechain.com
 core/pxelinux.0
 com32/menu/menu.c32
 Téléchargez un noyau d'amorçage réseau Linux comme par exemple celui

d'une distribution Ubuntu à l'adresse suivante :
http://archive.ubuntu.com/ubuntu/dists/hardy/main/installer-
i386/current/images/hd-media
 Enregistrez les 2 fichiers "vmlinuz" et "initrd.gz" dans le même dossier
"boot\x86" situé sous la racine TFTP du serveur WDS.
Faites bien attention à respecter les extensions. En effet, lors du

téléchargement d'un fichier spécial tel que "vmlinuz" une extension ".txt" peut
être ajoutée à votre insu via l'explorateur Windows.
Pour compléter cet exemple, nous ajouterons le célèbre outil de test mémoire
"Memtest86" que vous pouvez télécharger à l'adresse suivante :
http://www.memtest.org/download/4.10/memtest86+-4.10.bin.gz
 Ouvrez cette archive avec "7-Zip" et faites une extraction de l'unique fichier
dans ce même dossier "boot/x86" sous la racine TFTP du serveur WDS, puis
renommez ce fichier "memtest86" sans extension.
 A partir de l'explorateur Windows ou en ligne de commande, créez un sous-

répertoire nommé "pxelinux.cfg" au niveau du sous-dossier "Boot" :
Page 231 / 409

C:> MD "E:\RemoteInstall\Boot\pxelinux.cfg"
 Le fichier de configuration nommé "Default." (sans extension) doit être stocké

dans ce dossier. Pour éviter d'utiliser le bloc-notes, et simplifier l'explication,
tapez les commandes suivantes :
C:> E:
E:> CD RemoteInstall\Boot\pxelinux.cfg
E:\RemoteInstall\Boot\pxelinux.cfg>copy con default.
#
# Fichier de configuration PXE
#
default menu.c32
prompt 0
menu title Demarrage PXE / Installation
label WDS (Services d'installation Windows)

menu default
kernel pxechain.com
append 192.168.255.251::\boot\x86\wdsnbp.com
label Test memoire

kernel memtest86
label Installation Ubuntu

kernel vmlinuz
append initrd=initrd.gz vga=788
label Demarrage sur disque local

localboot 0
^Z
1 fichier(s) copié(s).
E:\RemoteInstall\Boot\pxelinux.cfg>
 Pour terminer la saisie," appuyez sur les touches + ou
 Il ne reste plus qu'à modifier l'option DHCP stipulant le fichier d'amorçage.

Au niveau de la console DHCP de la machine physique, développez
l'arborescence afin de sélectionner "DHCP … NomDuServeur … IPv4 …
Etendue 192.168.255.0 [INTERNE HOTE] … Options d'étendue"
 Si vous n'avez pas déjà configuré cette option, utilisez le menu "Action …
Configurer les options" ou le menu contextuel. Cochez la case "067 Nom
du fichier de démarrage", puis entrez la valeur "Boot\x86\pxelinux.0" dans
le champ "Valeur de chaine". Dans le cas contraire, éditez simplement
l'option existante afin d'en modifier la valeur.
Utilisez une machine virtuelle de test pour le client PXE. Le résultat devrait
ressembler à ceci :
Page 232 / 409

Le premier choix aura pour conséquence de poursuivre l'initialisation de

l'amorce WDS classique (wdsnbp.com).
2.2. Installation du rôle "Services de déploiement Windows"

(WDS)
2.2.1. Installation du rôle WDS
 Sur la machine virtuelle "WDS-Labs", ouvrez une session avec le compte

"Administrateur" et son mot de passe "Pa$$w0rd". L'assistant "Taches de
configuration initiales" devrait s'ouvrir automatiquement.
 Cliquez sur le lien "Indiquer un nom d'ordinateur et un domaine" puis
cliquez sur le bouton "Modifier" de la fenêtre ". Dans le cadre "Membre d'un",
cochez l'option "Domaine" et saisissez "labs.local", puis cliquez sur le bouton
"OK". Dans la fenêtre de sécurité, entrez le compte "Administrateur"(*) et
son mot de passe "Pa$$w0rd" puis cliquez sur le bouton "OK".
(*) (Il s'agit du seul compte de domaine disponible pour l'instant, mais nous
reviendrons sur les privilèges nécessaires pour cette adhésion au domaine)
 Lorsque le message de bienvenue dans le domaine s'affiche, cliquez sur le
bouton "OK".
Page 233 / 409

 Cliquez sur le bouton "OK" pour acquitter le message vous informant qu'un
redémarrage de l'ordinateur est nécessaire.
 Cliquez sur le bouton "Fermer" de la fenêtre de propriétés système puis

Cliquez sur le bouton "Redémarrer maintenant" lorsque vous y êtes invité.

 Appuyez sur "Ctrl" + "Alt" + "Suppr" une fois l'ordinateur redémarré, et

remarquez que la fenêtre propose l'ouverture de session par défaut avec le
compte local "WDS\Administrateur" (En fait, c'est le dernier compte
d'utilisateur ayant ouvert un session sur cet ordinateur) . Dans ce genre de
situation, il est possible de le confondre avec le compte du domaine qui a pour
l'instant le même nom et mot de passe, mais pas les mêmes privilèges sur le
domaine. (cf commande "WHOAMI" en cas de doute).
 Cliquez sur le bouton "Changer d'utilisateur" puis sur l'icône "Autre

utilisateur" puis entrez "LABS\Administrateur" et "Pa$$w0rd" dans les
champs respectifs, puis cliquez sur la flèche à droite du mot de passe.
Contrairement aux générations antérieures de Windows, cet écran d'ouverture

de session n'offre plus de liste déroulante pour choisir entre l'utilisation d'un
compte local ou un compte de domaine. Sur un ordinateur membre d'un
Page 234 / 409

domaine, cette information est affichée juste au-dessous du champ du mot de

passe "Ouvrir une session sur : ….".
Pour ouvrir une session avec un compte local, il est nécessaire de préfixer le
nom de l'utilisateur par le nom de la machine ou plus simplement par un point
Dans notre exemple, ".\Administrateur" équivaut à "WDS\Administrateur"
Il est possible de s'affranchir de ce préfixe pour un compte de domaine, SAUF
si le nom correspond au compte d'administrateur intégré dans la base locale
de l'ordinateur. En fait, dans notre exemple, sans ce préfixe "LABS\", le
système aurait automatiquement basculé sur le compte d'administrateur local.
(Pour rappel, ce compte est désactivé par défaut sur les postes de travail
NT6) . Dans la pratique, il est conseillé de renommer ces comptes
d'administration pour des raisons de sécurité et en l'occurrence lever ces
ambiguïtés homonymiques
Une fois l'ouverture de session achevée, l'assistant "Taches de

configuration initiales" devrait s'ouvrir automatiquement.
 Cliquez sur le lien "Ajouter des rôles" puis cliquez sur le bouton "Suivant
"afin de passer l'écran d'accueil de l'assistant.
 Cochez la case "Services de déploiement Windows" et cliquer sur le bouton
"Suivant".
 Au niveau de l'écran "Vue d'ensemble des Services de déploiement

Windows", cliquez sur le bouton "Suivant". Vérifier que les cases "Serveur
de déploiement" et "Serveur de transport" sont cochées et cliquer sur le
bouton "Suivant", puis sur le bouton "Installer".
Page 235 / 409

Pour information, l'option "Serveur de transport" correspond à une

fonctionnalité de diffusion multiple des images (Multicast Mode) disponible
depuis Windows Server 2008.
 Cliquez sur le bouton "Fermer", une fois l'installation terminée.
2.2.2. Configuration initiale du rôle WDS
Si vous le souhaitez, vous pouvez cocher la case en bas de l'assistant

"Taches de configuration initiales" afin que celui-ci ne soit plus
systématiquement affiché à l'ouverture de session. De la même manière, le
"Gestionnaire de serveur" est automatiquement ouvert avec les sessions
des administrateurs. Etant donné que cet outil de gestion global est disponible
dans la barre des taches ainsi que dans le menu contextuel "Gérer" de l'icône
"Ordinateur", vous pouvez également cocher la case "Ne plus afficher cette
fenêtre à l'ouverture de session" et fermer cet outil.
 Ouvrez la console "Services de déploiement Windows" à partir des outils

d'administration du menu "Démarrer" ou exécutez la commande
"WDSMGMT.msc".
En sélectionnant le nom du serveur "WDS.labs.local" dans la console, un

message d'avertissement vous indique que les services de déploiement ne
sont pas encore configurés.
Facultatif : Avant de procéder à la configuration proprement dite, il est

conseillé de disposer d'un volume NTFS réservé au stockage des images de
déploiement. Cette préconisation n'est pas bloquante et l'installation reste
possible sur la partition système mais engendre un risque de saturation de ce
dernier à plus ou moins long terme.
A défaut d'un disque dédié, vous pouvez utiliser la capacité de réduction
dynamique des partitions NTFS apparue depuis Vista, en procédant comme
suit :
Page 236 / 409

 Ouvrez la console de "Gestion des disques" à partir "Démarrer … Exécuter

… DISKMGMT.msc". Sélectionnez la partition marquée "(C:)" correspondant
au volume système puis utilisez le menu "Action … Toutes les taches …
Réduire le volume" ou le menu contextuel. Suite au message furtif d'analyse,
une fenêtre vous propose la taille maximale de réduction possible sur le
volume sélectionné. Entrez la valeur "20000" puis cliquez sur le bouton
"Réduire ".
 Après quelques instants, un espace contigu "Non alloué" devrait apparaitre.

Sélectionnez cet espace puis utilisez le menu "Action … Toutes les taches
… Nouveau volume simple" ou le menu contextuel. Cliquez sur le bouton
"Suivant" de l'assistant, conservez la valeur proposée "19999" et cliquez de
nouveau sur le bouton "Suivant". Conservez ou modifiez la lettre de lecteur
"E:", puis cliquez sur le bouton "Suivant". Conservez le système de fichier
"NTFS" ainsi que la taille d'unité d'allocation "Par défaut"et entrez un nom de
volume tel que "Images WDS" puis cliquez sur le bouton "Suivant" et enfin
sur le bouton "Terminer".
Dans la console de gestion des disques, la configuration devrait ressembler à

ceci:
 Fermez la console de gestion des disques et revenez sur la console de

gestion des "Services de déploiement Windows" et développez la rubrique
"Serveurs", afin de sélectionner le nom du serveur "WDS.labs.local", puis
utilisez le menu "Action … Configurer le serveur" ou le menu contextuel.
Page 237 / 409

 L'assistant de configuration commence par rappeler les prérequis. Après avoir

constaté que ces conditions sont remplies, cliquez sur le bouton "Suivant".
 Dans le champ "Chemin d'accès", remplacez par la valeur

"E:\RemoteInstall" correspondant au volume dédié précédemment créé puis
La fenêtre suivante, mentionnée à titre indicatif, n'apparait que lorsque

l'assistant détecte la présence d'un service DHCP sur le serveur et permet de
définir les réglages de cohabitation de ces services sur un même serveur.
Page 238 / 409

Le port 67 correspond au port d'écoute par défaut des serveurs DHCP. En

écoutant sur ce même port, les services de déploiement peuvent s'annoncer
aux clients grâce à l'option "PXE Client". Nous reviendrons sur ces réglages
au niveau des propriétés du serveur WDS, importants lors d'une installation
DHCP à postériori, ou d'un serveur DHCP "indépendant".
Dans notre cas, en l'absence de serveur DHCP sur la machine, l'assistant

affiche directement l'écran de "réponse aux clients PXE". Nous reviendrons
particulièrement sur ces réglages qui méritent d'être commenté.
 Dans l'immédiat, le serveur n'ayant rien à proposer pour l'instant, conservez
l'option "Ne répondre à aucun ordinateur client" puis cliquer sur le bouton
"Suivant".
Quelques instants, après la progression de la tâche, l'assistant de

configuration propose d'ajouter des images dans la foulée. Cette option
masque quelque peu le principe de gestion des images, et n'offre pas de choix
d'importation dans les cas d'images WIM multiples. Afin de mieux comprendre
le principe de ces images, nous allons décomposer cette procédure de
gestion des images.
 Décocher la case "Ajouter les images au serveur maintenant" puis cliquer
sur le bouton "Terminer".
Maintenant que la configuration initiale du serveur WDS est achevée, il est

nécessaire de procéder à l'autorisation de celui-ci au sein d'Active Directory,
au même titre qu'un serveur DHCP.
Page 239 / 409

 A partir de la machine virtuelle "DC-Labs" puis ouvrez la console DHCP à

partir des outils d'administration du menu "Démarrer". Utilisez le menu
"Action … Gérer les serveurs autorisés" ou le menu contextuel.
 Cliquez sur le bouton "Autoriser" puis entrez l'adresse "192.168.255.251"
dans le champ de saisie puis cliquez sur le bouton "OK". Une nouvelle
fenêtre "Confirmer l'autorisation" apparait, et devrait normalement avoir
compléter la résolution d'adresse par le nom DNS du serveur
"WDS.labs.local". Cliquez sur le bouton "OK" pour valider.
Cliquez sur le bouton "Fermer" puis fermez également la console DHCP.
2.3. Configuration détaillée de WDS

De retour sur la machine virtuelle "WDS-Labs", la console "Services de
déploiement Windows" propose un environnement de gestion graphique
relativement complet. Toutefois, certaines fonctionnalités ou réglages avancés
sont disponibles uniquement son équivalant d'administration en ligne de
commande "WDSUTIL"
La console est construite autour de rubriques spécialisées que nous allons
détailler par la suite.
Page 240 / 409

Vue d'ensemble
Pour que le serveur soit rapidement opérationnel, il faudra lui ajouter à minima
une image de démarrage WinPE (eg. BOOT.wim) et une image d'installation
ou une distribution préparée (eg. INSTALL.wim)
En fait, pour débuter, les premières étapes vont consister à transposer un
DVD original d'un système Windows 7 vers le serveur WDS afin que les
capacités de démarrage et d'installation du DVD soient disponibles via PXE
sur le réseau. Pour alléger la lecture, les exemples suivants porteront
uniquement sur les images 32 bits.
2.3.1. Ajout d'une image de démarrage
En premier lieu, nous allons ajouter une première image de démarrage

(WinPE) qui sera retournée au client PXE (via TFTP).
 A partir de la console de la machine virtuelle "WDS-Labs", utilisez le menu

"Support … Lecteur DVD … Insérer un disque". Sélectionnez le fichier .ISO
correspondant à la version d'évaluation de Windows 7 32bits Entreprise (eg."
7600.16385.090713-1255_x86fre_enterprise_fr-fr_EVAL_Eval_Enterprise-
GRMCENEVAL_FR_DVD.iso") puis cliquez sur le bouton "Ouvrir".
Annulez l'exécution automatique liée à l'insertion du DVD (D:).
 Au niveau de la console "Services de déploiement Windows", sélectionnez

la rubrique "Images de démarrage" puis utilisez le menu "Action … Ajouter
une image de démarrage" ou le menu contextuel. Utilisez ensuite le bouton
"Parcourir" afin de sélectionner le fichier "D:\Sources\Boot.wim" puis cliquez
sur le bouton "Suivant"
Page 241 / 409

 Cliquer sur le bouton "Suivant" (Les métadonnées du fichier .WIM sont

affichées)
 Modifier éventuellement le contenu des champs "Nom de l'image " et

"Description de l'image" par "Installation Windows (x86)" puis cliquer deux
fois sur le bouton "Suivant". Cliquer sur le bouton "Terminer" une fois que
l'image à correctement été ajoutée au serveur.
A ce stade, nous avons ajouté une seule image d'amorçage et les clients PXE
démarreront sur celle-ci sans afficher aucun menu de démarrage. Nous allons
donc ajouter une seconde image de démarrage afin d'afficher un menu au
niveau des clients PXE.
Là encore, vous n'êtes peut être pas familiarisé avec les mécanismes de
WinPE, mais la console WDS vient à votre secours en proposant la
génération automatique d'une "image de capture". Ce genre d'image est
destiné aux préparateurs des postes de référence (master) qui auront été
Page 242 / 409

préparés avec SYSPREP, et pour lesquels une image WIM d'installation sera
réalisée (via l'outil WDSCapture que nous reverrons plus tard).
 Sélectionnez une image "compatible" de démarrage dans le volet de détail

(c'est le cas de l'image Setup du DVD qui contient déjà le package
nécessaire) puis utiliser le menu "Action … Créer une image de capture" ou
le menu contextuel.
 Dans la fenêtre de l'assistant, modifiez éventuellement le nom et la description

de l'image par "Capture Windows (x86)" et utilisez le bouton "Parcourir"
pour définir l'emplacement du fichier temporaire modifié. Sélectionnez par
exemple le volume des images "E:", créez un nouveau dossier "E:\Temp" puis
entrez un nom de fichier résultant "WDSCapture_x86.wim".
 Cliquez sur le bouton "Suivant" et laissez le processus s'exécuter (plusieurs

minutes)
Page 243 / 409

Pour information, cette opération consiste à extraire l'intégralité du fichier

.WIM original, créer un fichier "WINPESHL.ini" (un des points d'entrée
d'exécution automatique de WinPE), d'y inclure la directive de lancement de
l'outil de capture, puis de re-capturer le tout dans une version modifiée, c'est
dire le fichier "WDSCapture.wim".
Contenu du fichier "WINPESHL.ini":

[LaunchApps]
%SYSTEMROOT%\system32\wdscapture.exe
Vous aurez peut être également remarqué le menu ""Action … Créer une
image de découverte". Ce choix quelque peu équivoque est destiné aux
clients non compatibles avec PXE. Très similaire dans le principe, cette
option permet de modifier l'amorçage du noyau en y intégrant un fichier
"WINPESHL.ini" modifié comme suit :
Contenu du fichier "WINPESHL.ini":
[LaunchApps]
%SYSTEMDRIVE%\sources\setup.exe,"/wds /wdsdiscover
/WdsServer:wds.labs.local"
L'intégration de cette image modifiée au sein d'un média de type CD ou USB

amorale restera toutefois à votre charge.
Il est malgré tout intéressant, lors des phases de tests ou de mises au point,
d'en connaitre l'existence afin de "raccrocher" un serveur de déploiement ou
simplement le poste a démarré sur WinPE sans recourir à l'amorçage PXE.
 Une fois l'image générée, il reste à l'inclure en tant que nouvelle image de
démarrage. Cochez la case "Ajouter une image au serveur de déploiement
Windows" (Cette option est propre à WDS2008R2 - Pour les versions
antérieures, vous deviez effectuer cette action via le menu traditionnel.)
Page 244 / 409

 Le champ "Emplacement du fichier" doit être déjà correctement renseigné.

Cliquez sur le bouton "Suivant".
 Les métadonnées de l'image "Capture Windows (x86)" doivent également

être correctes. Cliquez deux fois sur le bouton "Suivant". Cliquez sur
"Terminer" une fois que l'image à correctement été ajoutée au serveur.
2.3.2. Ajout d'images d'installation
Précédemment, nous avons ajouté 2 images de démarrage, il reste encore à

ajouter une ou plusieurs distributions (Equivalentes au fichier INSTALL.wim
d'un DVD original).
Pour information, WDS utilise une gestion très particulière de ces images. En
effet, habituellement, un fichier .WIM est composé d'une ou plusieurs images
disque (Structure de dossiers et de fichiers) et de métadonnées XML
décrivant le contenu. (Vous pouvez consulter ces métadonnées via des outils
spécialisés tels que "IMAGEX /INFO…")
WDS utilise un dossier dédié, appelé "Groupe d'images" dans lequel il stocke
un fichier unique de "ressource" nommé "RES.RWM" et un fichier .WIM de
métadonnées uniquement, et ce par image. Ainsi, un fichier INSTALL.wim,
contenant 5 images (déclinaisons d'installation) engendre un fichier de
ressource unique .RWM et 5 fichiers de descriptions portant l'extension .WIM.
Ces répertoires seront utilisés pour ajouter des images de même type (c'est-à-
dire proches l'une de l'autre) et éventuellement de définir par la suite des
autorisations NTFS qui limiteront la visibilité d'un installateur.
A 'instar des fichiers WIM traditionnels, le stockage d'images multiples au

sein d'un même groupe à pour finalité un gain d'espace significatif lorsque
les images sont proches mais en rend la gestion plus délicate. Il est donc
préférable d'opter pour des fichiers mono-image afin d'en simplifier la
maintenance et la granularité des distributions exposées par le serveur
WDS.
Page 245 / 409

Nous allons démontrer ce comportement en ajoutant la distribution

actuellement présente dans le lecteur DVD de machine virtuelle "WDS-Labs"
 Sélectionner la rubrique "Images d'installation" dans la console WDS, puis

utiliser le menu "Action … Ajouter un groupe d'images" ou le menu
contextuel.
Entrez un nom significatif des images qui y seront ajoutées, par exemple
"Windows 7 DVD (x86)" puis cliquer sur le bouton "OK"
 Sélectionner le groupe d'image nouvellement créé et utilisez le menu "Action

… Ajouter une image d'installation" ou le menu contextuel. Utilisez le
bouton "Parcourir" afin de sélectionner le fichier
"[DVD]:\Sources\INSTALL.wim"
 Cliquez sur le bouton "Suivant". Vous constaterez que dans cet exemple, le
fichier .WIM ne contient qu'une seule image.
Page 246 / 409

A titre d'exemple, l'écran suivant montre un autre fichier INSTALL.wim

provenant d'"une distribution d'abonné MSDN et contenant plusieurs
déclinaisons d'installation.
 Ne cochez que les images à conserver et à importer sur votre serveur WDS,
puis cliquez sur le bouton "Suivant"
 Cliquez de nouveau sur le bouton "Suivant" pour confirmer l'importation puis

après quelques minutes, (la taille d'une image Windows 7 32 bits est d'environ
2Go), cliquez sur le bouton "Terminer" une fois que les images ont été
correctement ajoutées au serveur.
Page 247 / 409

2.3.3. Réponse aux clients PXE
A ce stade, le serveur WDS est presque opérationnel. Il manque cependant

un réglage décisif que nous avons laissé de côté durant la phase de
configuration initiale, par défaut : "Ne pas répondre aux clients PXE".
Avant d'activer ce paramètre, il convient d'expliquer la notion de "client connu

ou inconnu". Un client connu est un compte d'ordinateur reconnaissable par
un identifiant physique dans un domaine Active Directory. Sans aucun lien
avec le "Security IDentifier " (SID), ces identifiants, à l'instar des numéros de
série, sont tatoués au sein des équipements électroniques par les fabricants
et peuvent garantir l'unicité d'une machine.
Grâce à une déclaration préalable d'un compte d'ordinateur auquel est
associé un numéro de type "Globally Unique IDentifier" (GUID) ou
"Universally Unique IDentifier" [UUID] ou encore l'adresse physique de carte
réseau (adresse MAC), les services de déploiement Windows sont en mesure
de reconnaitre une machine précise. Ainsi l'opération de création de compte
liée à la jonction du domaine n'est plus nécessaire. Cette technique est aussi
connue par l'anglicisme "Prestaging".
Les ordinateurs déjà installés et joints au domaine via les services de

déploiement Windows sont considérés comme des clients connus en cas de
réinstallation.
Le fabriquant peut proposer d'apposer l'identifiant GUID sur le carton
d'emballage afin de renseigner de manière industrielle les postes qui seront
installés (option généralement payante)
 L'identifiant UUID (Numéro de carte mère) peut être obtenu via WMI, via la
commande suivante :
WMIC CSPRODUCT GET UUID
L'identifiant d'adresse physique de carte réseau (MAC) peut être obtenu de

différentes manières, via la commande "IPCONFIG /ALL", par script ou
encore au niveau des baux actifs du serveur DHCP. Cette adresse composée
de 6 octets (12 caractères) doit être précédée de 20 zéros. (Astuce de saisie :
Entrer l'adresse MAC, supprimer les séparateurs, ajouter des zéros au début
jusqu'à ce que le bouton "suivant" ne soit plus grisé.)
Dans tous les cas, les séparateurs doivent être supprimés
Il existe plusieurs méthodes pour effectuer la déclaration préalable de ces

identifiants afin de faciliter la jonction au domaine. :
1°/ Déclaration à partir de l'outil WDSUTIL

Cette technique en ligne de commande peut être associée à un processus
industriel, tel qu'un script, voire un programme de lecture de codes à barre ou
base de données.
Page 248 / 409

WDSUTIL /Add-Device /Device:<nom_ordinateur> /ID:<Identifiant>
2°/ Déclaration à partir de la console "Utilisateurs et ordinateurs Active

Directory"
La création du compte d'ordinateur s'effectue à partir de la console
"Utilisateurs et ordinateurs Active Directory" sur un serveur de déploiement
Windows.
 A moins que celui-ci soit également contrôleur de domaine, vous devrez
installer cet outil d'administration via l'ajout de fonctionnalités "Composants
logiciels enfichables et outils en ligne de commande AD DS"
 Une fois le composant installé sur la machine virtuelle "WDS-Labs", ouvrez la

console "Utilisateurs et ordinateurs Active Directory" à partir des outils
d'administration ou exécutez directement la commande "DSA.msc".
Sélectionnez un conteneur tel que "computers" puis utilisez le menu "Action
… Nouveau … Ordinateur" ou le menu contextuel.
 Cette même opération réalisée à partir du contrôleur de domaine "DC-Labs",

n'offre qu'une seule boite de dialogue où le bouton "OK" en lieu et place du
bouton "Suivant".
 Entrez un nom d'ordinateur dans les champs prévus à cet effet
Page 249 / 409

 Cliquez sur le bouton "Suivant". C'est cette boite de dialogue qui va

déterminer si l'ordinateur est un client connu ou non, c'est-à-dire un ordinateur
pris en charge par WDS.
En cochant la case "Ceci est un ordinateur pris en charge", vous serez

invité à saisir un identifiant unique qui permettra de reconnaitre cet ordinateur
Page 250 / 409

durant un processus d'installation et de jonction au domaine et ainsi de

l'associer automatiquement à ce compte.
 Cliquer sur le bouton "Suivant". Par défaut, tous les serveurs de déploiement
pourront prendre en charge l'installation de ce client mais il est possible de lui
associé un serveur WDS particulier. Cliquez de nouveau sur le bouton
"Suivant" puis sur le bouton "Terminer".
Un client connu est donc un ordinateur préalablement créé dans Active

Directory avec un identifiant unique. Tout autre ordinateur est considéré
comme un client inconnu, toutefois il est possible de nommer l'ordinateur et de
laisser le serveur de déploiement joindre automatiquement le poste au
domaine.
Accorder les droits au serveur WDS:

Pour que ce processus de jonction au domaine s'effectue sans erreur, il est
nécessaire d'octroyer les droits de création d'un compte d'ordinateur dans le
domaine.
 Pour cela, utilisez la console "Utilisateurs et ordinateurs Active Directory" à
partir des outils d'administration ou exécutez directement la commande
"DSA.msc". Sélectionnez le conteneur "computers" puis utilisez le menu
"Action … Délégation de contrôle"
Dans cet exemple, nous utilisons le conteneur de stockage par défaut. Il est
tout à fait possible de créer une unité d'organisation propre aux postes
déployés, sur laquelle vous octroyer ces mêmes autorisations. Il vous suffira
ensuite de stipuler cet emplacement sous l'onglet "AD DS" du serveur WDS
Page 251 / 409

CH5-15a.png
 Cliquez sur le bouton "Suivant" puis sur le bouton "Ajouter", et sur le bouton
"Types d'objet …" puis cochez la case "des ordinateurs" et cliquez sur le
bouton "OK". Dans le champ "Entrez les noms des objets à sélectionner",
saisissez "WDS" et cliquez sur le bouton "Vérifier les noms". Si le nom est
valide, cliquez sur le bouton "OK"
 Cliquez sur le bouton "Suivant", choisissez l'option "Créer une tache

personnalisée à déléguer" puis cliquez sur le bouton "Suivant".
 Choisissez l'option "Seulement des objets suivants dans le dossier " puis
cochez la case "Objets Ordinateur" ainsi que la case " Créer les objets
sélectionnés dans le dossier "
Page 252 / 409

 Cliquez sur le bouton "Suivant". Cochez la case "Spécifiques aux

propriétés" ainsi que la case "Ecrire toutes les propriétés" dans la liste des
"Autorisations".
Page 253 / 409

Cliquez sur le bouton "Suivant" puis sur le bouton "Terminer".
Pour obtenir le détail des autorisations relatives aux services de déploiement

Windows, consultez l'adresse suivante (en anglais) :
http://technet.microsoft.com/en-us/library/cc754005(WS.10).aspx
 Au niveau de la console des "Services de déploiement Windows",

sélectionnez le serveur "WDS" puis utilisez le menu "Action ... Propriétés" ou
le menu contextuel. Sélectionnez ensuite l'onglet "Réponse PXE". Dans cette
boite de dialogue, nous retrouvons le réglage décisif que nous avons laissé de
côté durant la phase de configuration initiale, par défaut : "Ne répondre à
aucun ordinateur client"
 Cochez la 3ème option "Répondre à tous les ordinateurs clients (connus

et inconnus)" et remarquez la case "Exiger l'approbation administrateur".
Ce choix permet de marquer un point d'arrêt au niveau du client PXE inconnus
en affichant par défaut "Message from Administrator". Ce message peut être
personnalisé via la commande :
WDSUTIL /Set-Server /Server:WDS.labs.local /AutoAddPolicy

/Message:"Veuillez attendre l'approbation de l'administrateur
WDS"
Page 254 / 409

Vue du côté client PXE, l'écran se présente comme suit :
L'administrateur du serveur WDS verra apparaitre le(s) ordinateur(s) en

attente d'installation, dans la rubrique "Périphériques en attente" de la
console WDS. Il aura alors accès aux choix suivants :
 "Refuser" - Le client échoue l'initialisation PXE et poursuit son démarrage le

cas échéant sur un autre périphérique.
 "Approuver" - Le client poursuit l'amorçage PXE et affiche l'éventuel menu
ou charge l'unique image de démarrage. L'ordinateur sera joint au domaine
selon la convention de nommage de l'onglet "AD DS" - Par défaut le nom du
poste sera égal au nom du compte d'installation complété d'un incrément
conformément au modèle " %61Username%# ". Vous pouvez changer la
règle de nommage par une autre convention telle que " Win%03# ". Pour
plus d'information sur cette règle, cliquez sur le lien "Comment spécifier ce
format".
Vous pouvez également stipuler l'emplacement de création du compte
d'ordinateur. (cf Accorder les droits au serveur WDS)
Page 255 / 409

 "Nommer et approuver" - Identique au choix précédent en stipulant le nom

qui sera affecté à l'ordinateur lors de la jonction au domaine. Cette 3ème
option vous invite à entrer le nom de l'ordinateur
Page 256 / 409

Par défaut, toute installation réalisée via les services de déploiement Windows
entraine une jonction automatique du poste au domaine (AutoAddPolicy).
Vous pouvez modifier ce comportement via la commande "WDSUTIL " ou plus
simplement depuis Windows Server 2008 R2 au niveau de l'onglet "Client"
Pour toutes les versions de WDS, la jonction au domaine ou un groupe de

travail peut être définie en ligne de commande et ce par type de plateforme :
wdsutil /set-server /AutoAddSettings /Architecture:x86
/JoinDomain:No
Précision : Un poste ayant déjà joint le domaine, sera considéré comme un

client connu et de nouveau joint au domaine lors d'une réinstallation via WDS
malgré le changement de la stratégie. Il faudra, si besoin, détruire le compte
d'ordinateur correspondant pour que la réinstallation laisse le poste dans le
groupe de travail par défaut "Workgroup".
 Vous pourrez remarquer que cet onglet propose également depuis Windows
Server 2008 R2, la possibilité de consigner les messages d'erreur des clients
"Activer la journalisation des clients"
Page 257 / 409

 Sélectionner l'onglet "Démarrer", afin de définir la stratégie de démarrage

PXE.
En effet, pour qu'un poste démarre à partir d'un réseau, la normalisation PXE
recommande l'appui de la touche de fonction [F12]. (L'action ou un éventuel
menu dépend ensuite du BIOS et du fabriquant de l'ordinateur). Par défaut, le
serveur WDS demande une confirmation et nécessite donc un second appui
de la touche [F12] pour confirmer le démarrage PXE. Depuis Windows Server
2008R2 ce réglage a été affiné:
En général, dans un "monde réel", la 3ème option est plus appropriée

puisque l'on peut considérer que l'installeur a déjà appuyé une première fois
sur [F12] et appuiera sur [Echap] en cas d'erreur. Selon l'environnement
virtuel retenu pour nos tests, tels que Hyper-V, l'ordre d'amorçage (du BIOS)
n'est pas accessible sans que la machine virtuelle ne soit arrêtée. Cette
dernière bouclera donc sans cesse sur la première phase de démarrage.
Dans ce cas, la 1ère option est plus adéquate.
Désactivation du port 67
Comme nous l'avons mentionné lors de la configuration des options PXE sur
le serveur DHCP, ces services DHCP et WDS écoutent sur le même port
réseau et engendre nt donc un conflit de réponse aux clients lors de diffusion
générale (Broadcast).
 Pour pallier cet effet de bord, rendez-vous au niveau de la console des
services de déploiement Windows. Sélectionnez le serveur "WDS" puis
utilisez le menu "Action ... Propriétés" ou le menu contextuel et sélectionnez
ensuite l'onglet "DHCP". Cochez la case "Ne pas écouter sur le port 67" puis
cliquez sur le bouton "OK".
Page 258 / 409

Pour information, de nombreux réglages "affinés" sont disponibles uniquement

via la commande WDSUTIL :
wdsutil /set-server /?
2.4. Validation et tests fonctionnels

A ce stade le serveur WDS est opérationnel, et il vous reste donc à valider le
fonctionnement correct de la plateforme au sein de cet environnement de test.
Pour cela, nous allons créer une machine virtuelle destinée à tester le
comportement d'un poste client PXE.
2.4.1. Tests d'installation
 A partir de la console du "Gestionnaire Hyper-V" utilisez le menu "Action …

Nouveau … Ordinateur Virtuel…". Passez l'écran d'accueil de l'assistant en
cliquant sur le bouton "Suivant", entrez un nom désignant la machine virtuelle
comme par exemple "Test-PXE". Cliquez sur le bouton "Suivant", spécifiez
ou conservez la quantité mémoire proposée "512" Mo puis cliquez de
nouveau sur le bouton "Suivant". Au niveau de l'écran "Configurer la mise
en réseau", sélectionnez "INTERNE HOTE" dans la liste déroulante
"Connexion" puis cliquez sur le bouton "Suivant".
 Au niveau de l'écran "Connecter un disque virtuel", conservez l'option
"Créer un disque dur virtuel" et modifiez éventuellement la taille par "40" Go
puis cliquez le bouton "Suivant".
 Au niveau de l'écran "Options d'installation", sélectionnez l'option "Installer
un système d'exploitation à partir d'un serveur d'installation réseau",
Page 259 / 409

puis cliquez sur le bouton "Terminer". Cette dernière option, propre à Hyper-
V 2008 R2, permet de configurer automatiquement le démarrage PXE en
ajoutant une carte réseau de type "Héritée" dans la machine virtuelle. Vous
pouvez vérifier ces réglages à postériori via le manu "Paramètres" de la
machine virtuelle.
Démarrez l'ordinateur virtuel, et attendez l'initialisation DHCP durant quelques

secondes.
Appuyez sur la touche [F12] dès que le message apparait
Page 260 / 409

Le menu suivant devrait apparaitre (pendant 30 secondes) :
 Sélectionnez "Installation Windows (x86)" avec les touches de curseur et

validez votre choix en appuyant sur la touche [Entrée]
Après le chargement du noyau WinPE,("\boot\x86\images\boot.wim"),le

programme d'installation démarre
Vous pouvez remarquer une légère différence au niveau de cet écran

d'installation qui porte la mention ("Service de déploiement Windows")
 Cliquez sur le bouton "Suivant" puis entrez vos identifiants de connexion.
Page 261 / 409

Ces identifiants de connexion peuvent correspondre à ceux d'un simple

utilisateur membre du domaine. De cette identité, peut dépendre la visibilité
des images d'installation (cf " Visibilité des images d'installation" plus loin dans
ce chapitre).
La procédure d'installation suivante pourrait être automatisée partiellement

ou totalement via un fichier de réponse associé à l'image sélectionnée.
Pour plus d'explications sur ce sujet, reportez-vous au chapitre précédent
(Création d'un fichier de réponse et/ou association d'un fichier de réponse)
 Après avoir cliqué sur le bouton "OK", la liste des images d'installation
disponibles apparait
Notez que la notion de "groupe d'images" utilisée sur le serveur WDS

n'apparait pas. Toutes les images disponibles dans l'ensemble des groupes
Page 262 / 409

d'images seront affichées coté client. Il faudra donc agir sur les autorisations
NTFS des dossiers correspondants à chaque groupe d'images pour limiter la
visibilité des installateurs.
Pour plus d'explications, reportez-vous au paragraphe 2.5.1 sur la gestion

des autorisations
Attention, le démarrage à partir d'une image WinPE X64 peut également

affecter la visibilité des images d'installation x86.
Sélectionnez l'image Windows à installer puis cliquez sur le bouton "Suivant"
Dans cet exemple d'installation manuelle, nous conservons les partitions qui
sont créées par défaut. (100Mo pour la partition d'amorçage "Réservé au
système" et le reste du disque pour la partition Windows) - Le processus
d'installation se poursuit donc par l'extraction des fichiers durant une dizaine
de minutes. (Cette étape consiste à transférer via le réseau le fichier de
distribution)
Page 263 / 409

A la fin de cette opération, l'ordinateur redémarre automatiquement

Laissez le démarrage PXE échouer afin de démarrer sur le disque dur et
laissez le processus d'installation suivre son cours.
Page 264 / 409

Après un second et dernier redémarrage, l'installation reprend la phase finale

de personnalisation (OOBE)
 Cette distribution ne contenant qu'une seule langue "Français", vérifiez les

valeurs et cliquez sur le bouton "Suivant".
Page 265 / 409

Le second écran de configuration demande un nom d'utilisateur qui sera

affecté au groupe des administrateurs locaux.
Le nom d'ordinateur n'est demandé qu'à la condition d'avoir choisi l'option "Ne
pas joindre un domaine" au niveau des propriétés du serveur WDS (Onglet
"Client"). Dans cet exemple, le compte d'ordinateur est automatiquement joint
au domaine selon les règles de nommage définies au niveau des propriétés
du serveur WDS (Onglet "AD DS").
 Entrez un nom d'utilisateur puis cliquez sur le bouton "Suivant".
Page 266 / 409

 Entrez ensuite un mot de passe (facultatif) affecté à ce compte puis cliquez

sur le bouton "Suivant". (Une indication de mot de passe est obligatoire dès
lors que vous entrez un mot de passe)
 Cochez la case "J'accepte les termes du contrat de licence" puis cliquez
sur le bouton "Suivant".
Selon la distribution retenue, une clé de licence peut vous êtes demandée.
Celle-ci reste cependant facultative et vous pourrez toujours utiliser l'outil
SLMGR par la suite.
Page 267 / 409

 Sélectionnez votre préférence pour les mises à jour automatiques puis vérifiez
la date, l'heure et le fuseau horaire et cliquez sur le bouton "Suivant"
Page 268 / 409

Notez que l'adhésion automatique au domaine n'affiche pas le choix de

l'emplacement réseau, auquel le "profil avec domaine" est implicitement
affecté.
De la même manière, l'écran d'ouverture de session n'affiche pas l'écran
d'accueil des comptes locaux et nécessite la combinaison des touches
+ +
2.4.2. Association d'un fichier de réponse
Les installations via WDS peuvent être partiellement ou entièrement

automatisées via un fichier de réponse. Nous ne reviendrons pas sur
l'élaboration d'un fichier de réponse déjà traitée dans le chapitre précédent
mais sur l'association avec les images d'installation disponibles sur un serveur
de déploiement Windows.
Sur un serveur WDS, il convient de distinguer 2 types de fichier de réponse :
1 - Le fichier de réponse général :

Ce fichier doit être stocké dans le répertoire "\WDSClientUnattend" à la
racine des services de déploiement Windows (eg E:\RemoteInstall\
WDSClientUnattend \unattend_x86.xml). Il permet d'automatiser les taches
préliminaires tels que l'authentification de l'installateur, la sélection d'une
image de distribution ou la préparation des supports disques ou partitions.
Page 269 / 409

Au niveau de la console WDS, éditez les "propriétés" du serveur, puis

sélectionnez l'onglet "Client". Cochez la case "Activer l'installation sans
assistance" puis utilisez les boutons "Parcourir" afin de sélectionner le fichier
.xml correspondant aux différentes architectures.
 Cliquez sur le bouton "OK" pour valider les changements.
Exemple de fichier de réponse (eg WDSGlobalUnattend_x86.xml) :
<?xml version="1.0" ?>

publicKeyToken="31bf3856ad364e35"
processorArchitecture="x86">
<WindowsDeploymentServices>
<Login>
<WillShowUI>OnError</WillShowUI>
<Credentials>
<Username>Install</Username>
<Domain>labs.local</Domain>
<Password>Pa$$w0rd</Password>
</Credentials>
</Login>
<ImageSelection>
<InstallTo>
<DiskID>0</DiskID>
</InstallTo>
</ImageSelection>
</WindowsDeploymentServices>
<DiskConfiguration>
<Disk>
<DiskID>0</DiskID>
<WillWipeDisk>false</WillWipeDisk>
<CreatePartitions>
<CreatePartition>
Page 270 / 409

<Order>1</Order>
<Size>20000</Size>
</CreatePartition>
</CreatePartitions>
<ModifyPartitions>
<ModifyPartition>
<Order>1</Order>
<Letter>C</Letter>
<Label>W7-SYS</Label>
<Active>true</Active>
<Extend>true</Extend>
</ModifyPartition>
</ModifyPartitions>
</Disk>
</DiskConfiguration>
</component>
<component name="Microsoft-Windows-International-Core-
WinPE" publicKeyToken="31bf3856ad364e35"
processorArchitecture="x86">
<SetupUILanguage>
</SetupUILanguage>
</component>
</settings>
</unattend>
Idéalement, ce genre de fichier de réponse ne doit pas faire référence à des

composants intrinsèques de l'image afin qu'il puisse s'appliquer à des images
de génération antérieures telles que Windows XP.
Attention, si vous utilisez un fichier de réponse global ET un fichier de

réponse propre à une image, seules les phases préliminaires "WinPE" et
"OfflineServicing" du fichier global seront traitées. Ces mêmes phases ne
seront donc pas traitées par le fichier associé à une image.
2 - Le fichier spécifique à une image :

Ce fichier doit être nommé "ImageUnattend.xml" et être stocké dans un sous-
dossier "\Install\Unattend" du groupe d'image. Son contenu peut reprendre
les mêmes directives ou compléter des réglages spécifiques à l'image. En cas
de redondance des directives, c'est ce fichier qui est prioritaire.
 Pour associer un fichier de réponse spécifique, accédez aux "propriétés"
d'une image d'installation, cochez la case "Autoriser l'image à s'installer en
mode sans assistance" puis utilisez le bouton "Sélectionner un
fichier…"afin de choisir le fichier associé. (Peu importe le nom du fichier qui
sera automatiquement nommé et stocké au bon emplacement)
Page 271 / 409

Pour les versions antérieures telles que Windows XP, vous devrez stocker
manuellement les fichiers de réponse (sysprep.inf) dans une structure de
sous-dossier spécifique du groupe d'image correspondant telle que :
"\$OEM$\$1\sysprep\sysprep.inf"
Exemple de fichier de réponse (eg WDSImageUnattend_x86.xml) :

<UserData>
<AcceptEula>true</AcceptEula>
<FullName>ENI</FullName>
<Organization>ENI</Organization>
</UserData>
</component>
</settings>
Page 272 / 409

<component name="Microsoft-Windows-Deployment"
<RunSynchronous>
<Path>cmd /c net user Administrator
/active:no</Path>
<Description>EnableAdmin</Description>
<Order>1</Order>
</RunSynchronous>
</component>
</settings>
<OOBE>
<HideEULAPage>true</HideEULAPage>
<NetworkLocation>Work</NetworkLocation>
<ProtectYourPC>1</ProtectYourPC>
</OOBE>
<TimeZone>Romance Standard Time</TimeZone>
<UserAccounts>
<LocalAccounts>
<LocalAccount wcm:action="add">
<Password>
<Value>UABhACQAJAB3ADAAcgBkAFAAYQBzAHMAdwBvAHIAZAA=</Value>
</Password>
<Description>Default User</Description>
<DisplayName>AdminLocal</DisplayName>
<Name>AdminLocal</Name>
</LocalAccount>
</LocalAccounts>
</UserAccounts>
</component>
<component name="Microsoft-Windows-International-Core"
<InputLocale>fr-FR</InputLocale>
<SystemLocale>fr-FR</SystemLocale>
<UILanguageFallback>fr-FR</UILanguageFallback>
<UserLocale>fr-FR</UserLocale>
</component>
</settings>
</unattend>
Bien que cet exemple soit fonctionnel, dès lors qu'un fichier de réponse est
associé à une image, il prend le pas sur les réglages par défaut. Par exemple,
le poste restera dans un groupe de travail "Workgroup" bien que l'option
"Joindre un domaine" soit active. De plus, par sécurité, nous avons inversé la
commande de réactivation du compte d'administrateur intégré qui aurait un
Page 273 / 409

mot de passe vide si ce fichier de réponse est associé à une distribution

originale.
Emplacements des fichiers de réponse CH5-21c.png
------------ REDACTION EN COURS--------------

L'association d'un fichier de réponse à une image fait perdre le bénéfice du
nommage et de l'éventuelle jonction automatique au domaine. Pour pallier ce
comportement vous devrez stipuler les variables correspondantes dans le
fichier de réponse
Extrait de la doc. WDS

Dans l’exemple qui suit, les Services de déploiement Windows remplacent
automatiquement les variables %USERDOMAIN%, %USERPASSWORD%,
%USERNAME% et %MACHINEDOMAIN% par les valeurs correctes. Pour
plus d’informations, voir la rubrique sur l’utilisation de variables pour obtenir
des informations du client dans Scénarios d’installation sans assistance
avancés http://technet.microsoft.com/fr-FR/library/cc771508 .

Page 274 / 409

<component name="Microsoft-Windows-UnattendedJoin"
<Identification>
<Credentials>
<Domain>%USERDOMAIN%</Domain>
<Password>%USERPASSWORD%</Password>
<Username>%USERNAME%</Username>
</Credentials>
<JoinDomain>%MACHINEDOMAIN%</JoinDomain>
</Identification>
</component>
<ComputerName>%MACHINENAME%</ComputerName>
</component>
</settings>
language="neutral"
versionScope="nonSxS"
<UserAccounts>
<DomainAccounts>
<DomainAccountList wcm:action="add">
<Domain>%USERDOMAIN%</Domain>
<DomainAccount wcm:action="add">
<Name>%USERNAME%</Name>
</DomainAccount>
</DomainAccountList>
</DomainAccounts>
</UserAccounts>
<RegisteredOrganization>%ORGNAME%</RegisteredOrganization>
</component>
</settings>
</unattend>
2.4.3. Exemple de capture d'un poste Windows XP
Un autre aspect intéressant des services de déploiement, est la capacité

d'intégrer vos propres images d'installation. Pour la démonstration nous allons
générer une image d'installation de Windows XP. Vous pouvez utiliser une
procédure similaire afin de capturer votre poste de référence Windows 7 décrit
dans le chapitre précédent.
Pour rappel au sujet de Windows XP, contrairement à Vista et ultérieure,

cette opération ne lèvera pas les dépendances importantes avec le matériel -
cette contrainte étant liée à la version du système d'exploitation - L'image
obtenue sera donc fortement liée au matériel)
Page 275 / 409

En premier lieu, on considère que la préparation du poste de référence a été

effectuée dans les règles d l'art et s'est donc achevée par une commande
sysprep afin de mettre l'ordinateur en condition de déploiement.
Vous pouvez trouver un tutoriel sur ce sujet à l'adresse suivante (en anglais)
http://www.vernalex.com/guides/sysprep/
De plus, la machine virtuelle retenue pour les tests dispose d'une capacité de
démarrage PXE (A l'instar du test d'installation précédemment décrit)
 Au niveau du serveur WDS, il faut préparer le groupe d'image (destiné à

recevoir l'image du poste de référence qui va être capturé). Dans la console
WDS, sélectionnez la rubrique "Images d'installation" puis utiliser le manu
"Action … Ajouter un groupe d'image…" ou le menu contextuel. Entrer un
nom distinctif pour décrire le groupe d'image
Dans notre exemple, nous n'ajouterons qu'une seule image liée à un matériel
spécifique mais on peut envisager d'y stocker d'autres images similaires
propres à d'autres matériels.
Démarrez la machine virtuelle Windows XP et appuyez sur la touche [F12]

afin d'enclencher l'amorce PXE.
 Choisissez l'option "Capture Windows (x86)" et appuyez sur la touche

[Entrée] - Après l'initialisation du noyau WinPE, le programme "WDSCapture"
devrait s'afficher automatiquement.
Page 276 / 409

 Cliquez sur le bouton "Suivant" pour passer l'écran de bienvenue.
 Dans la fenêtre "Répertoire à capturer ", en développant la liste déroulante

"Volume à " (on suppose "à capturer"), vous devriez voir une lettre d'unité
indiquant l'emplacement d'un système d'exploitation préalablement préparé
(L'absence de lettre indique qu'aucun système d'exploitation préparé avec
"sysprep" n'a été détecté et le processus de capture ne donc pas se
poursuivre)
Page 277 / 409

En fonction de la configuration des disques au moment de la capture, la lettre

d'unité peut être différente de celle associée au système durant son
exploitation. Ceci n'affecte en rien le processus.
Entrez un nom et une description pour l'image puis cliquez sur le bouton
"Suivant".
 Dans la fenêtre "Nouvel emplacement de l'image", entrez le nom et

l'emplacement du fichier d'image WIM résultant ou utilisez le bouton
"Parcourir". Paradoxalement, si aucun support local n'est disponible, il est
possible d'utiliser le même support que celui que l'on va capturer. (Pour
information, il est souhaitable de ne pas utiliser un lecteur réseau mais un
disque amovible en cas de pénurie d'espace disque.)
 Cochez la case "Télécharger l'image sur serveur de services de

déploiement Windows (facultatif)", entrez le nom du serveur ("WDS") ou
l'adresse IP ("192.168.255.251") puis cliquez sur le bouton "Connexion".
Page 278 / 409

 Entrer les identifiants complets de connexion au serveur WDS (Ayant les

droits d'importer une image) - "LABS\Administrateur" "Pa$$w0rd" et cliquez
sur le bouton "OK".
Si la connexion est établie, la liste déroulante "Nom du groupe d'images :"
permet d'afficher les groupes d'images disponible sur le serveur.
Sélectionnez le groupe "Windows XP (x86) Hyper-V "précédemment créé,
puis cliquez sur le bouton "Suivant" afin de déclencher le processus de
capture.
L'opération s'effectue en 2 phases distinctes. En cas d'échec lors de

l'importation, tel qu'un problème réseau ou une insuffisance de droits, il sera
toujours possible de transférer le fichier WIM manuellement vers le serveur
de déploiement.
Cliquez sur le bouton "Terminer" une fois l'opération achevée. Cette action a
pour effet de redémarrer l'ordinateur. A ce stade, vous pouvez éteindre, la
machine virtuelle "Test-PXE"
 Sur le serveur WDS, vérifiez la disponibilité de cette nouvelle image

d'installation. Au niveau de la console des "Services de déploiement
Windows", l'affichage n'est pas dynamique. Sélectionnez le nom du serveur
puis utilisez le menu "Action … Actualiser" ou le menu contextuel ou encore
la touche [F5]. Développez la rubrique "Images d'installation"
Page 279 / 409

A ce stade, l'image peut être déployée sur un autre poste similaire

Créez des groupes d'image pour y stocker des images similaires (déclinaisons
d'un même système d'exploitation) et/ou affecter des autorisations selon les
installeurs. Un groupe d'image correspond à un dossier contenant un fichier
de ressource unique "RES.RWM" et un fichier .WIM de métadonnées par
image.
Notez qu'à l'instar des autres outils, il est possible d'automatiser le processus
de capture et/ou modifier les options via un fichier de réponse. Ce fichier
nommé "WDSCapture.inf" doit être stocké dans le dossier
"\Windows\System32" au même niveau que l'outil exécutable.
Exemple :
[Capture]
Unattended=Yes
VolumeToCapture=C:
SystemRoot=windows
ImageName="Windows 7"
ImageDescription="Socle Win7 Entreprise + bureautique"
DestinationFile=C:\Capture.wim
Overwrite=Yes
[ExclusionList]
$ntfs.log
hiberfil.sys
pagefile.sys
"System Volume Information"
RECYCLER
winpepge.sys
%SYSTEMROOT%\CSC
[WDS]
UploadToWDSServer=Yes
WDSServerName=WDS.labs.local
WDSImageGroup="ImageGroup1"
Username=AdminWDS
Domain=Labs
Password=Pa$$w0rd
DeleteLocalWimOnSuccess=No
Page 280 / 409

2.5. Aménagements et extensions liés à la gestion WDS

2.5.1. Gestion des autorisations
Afin d'arriver rapidement à un premier résultat fonctionnel, nous avons utilisé

le compte Administrateur du domaine. En production, la délégation de ces
opérations de déploiement, devient une évidence. Voici donc le détail des
autorisations à octroyer en fonction de chaque interaction avec WDS et les
postes clients.
Pour notre exemple, nous utiliserons un compte "Install" pour le technicien de
déploiement. (Idéalement, et en fonction de la taille de votre organisation, il
serait plus judicieux de créer des groupes globaux pour les délégations et d'y
inclure les comptes d'utilisateurs concernés, (Administrateurs WDS,
Installateurs des postes, Techniciens chargés des postes de référence et des
images, etc.), mais c'est un autre sujet.
Les rôles et autorisations étant un thème relativement long à détailler, nous ne
traiterons que les fondamentaux de l'installation dans ce document. Pour
obtenir plus de détail sur la gestion WDS et des autorisations en particulier,
téléchargez le document (en anglais):
http://download.microsoft.com/download/6/4/1/64186d69-f7cd-4366-9161-
4b21eead884e/WDSUpdate.exe
Ouvrez une session "Administrateur" à partir de l'ordinateur virtuel "DC-Labs".
En premier lieu, nous allons créer un groupe global "Techniciens Postes"

auquel vous devrez ajouter les comptes d'utilisateur des personnes habilitées,
puis lui associer les privilèges nécessaires.
 Ouvrez la console "Utilisateurs et ordinateur Active Directory" à partir des

outils d'administration ou exécutez "DSA.msc". Sélectionnez le conteneur
"Users" situé sous le domaine "labs.local" (ou l'unité d'organisation
appropriée selon votre structure), puis utilisez le menu "Action … Nouveau
… Groupe". Dans la boite de dialogue "Nouvel objet - Groupe" entrez la
valeur "Techniciens Postes ", conservez les options "Globale" et "Sécurité"
pour l'étendue et le type du groupe puis cliquez sur le bouton "OK"
Page 281 / 409

 Pour la démonstration utilisez le menu "Action … Nouveau … Utilisateur".

Dans la boite de dialogue "Nouvel objet - Utilisateur", entrez la valeur
"Install", au niveau des champs "Nom" et " Nom d'ouverture de session
d'utilisateur" puis cliquez sur le bouton "Suivant".
 Entrez un mot de passe (respectant la complexité) tel que "Pa$$w0rd",

décochez la case "L'utilisateur doit changer le mot de passe à la
Page 282 / 409

prochaine ouverture de session" puis cliquez sur le bouton "Suivant" et sur

le bouton "Terminer".
Sélectionnez ce nouveau compte "Install" puis utilisez le menu "Action …
Ajouter à un groupe" ou le menu contextuel. Entrez "Tech" dans le champ
de sélection et cliquez sur le bouton "Vérifier les noms" afin de faire
apparaitre le nom du groupe, puis cliquez 2 fois sur le bouton "OK".
Jonction d'un ordinateur au domaine
Dans notre exemple, nous avons utilisé le compte du serveur WDS pour
effectuer automatiquement la jonction au domaine.
Notez que par défaut, un simple compte d'utilisateur du domaine dispose du
privilège de joindre 10 fois un ordinateur dans son domaine Active Directory.
Ce réglage est stipulé au niveau de a la partition de domaine et peut être
consulté ou modifié en procédant comme suit :
 Lancez l'outil d'administration "Modification ADSI" ou exécutez
"ADSIEDIT.msc", puis utilisez le menu "Action … Connexion" ou le menu
contextuel. Conservez l'option proposée "Contexte d'attribution de noms par
défaut" et cliquez sur le bouton "OK". Développez cette rubrique afin de
sélectionner la partition de domaine "DC=labs,DC=Local" puis utilisez le
menu "Action … Propriétés" ou le menu contextuel.
L'attribut "msDS-MachineAccountQuota" défini cette limite transmise à

chaque compte d'utilisateur.
Pour vérifier si des utilisateurs standard s ont déjà eu recours à cette
possibilité, vous devrez consulter les propriétés des comptes d'ordinateur au
sein desquels l'attribut "msDS-CreatorSID", indique l'identifiant unique de
l'utilisateur. L'absence de valeur indique que la jonction au domaine n'a pas
été réalisée par un utilisateur standard.
Page 283 / 409

Il est déconseillé d'augmenter cette valeur mais plutôt de déléguer cette

capacité de jonction Active Directory à un compte spécialisé selon la
procédure suivante :
 Au niveau de la console "Utilisateurs et ordinateur Active Directory",
sélectionnez le domaine "labs.local", puis utilisez le menu "Action …
Délégation de contrôle…" ou le menu contextuel. Cliquez sur le bouton
"Suivant" pour passer l'écran de bienvenue.
 Cliquez sur le bouton "Ajouter" puis entrez "Tech" dans le champ de

sélection et cliquez sur le bouton "Vérifier les noms" afin de faire apparaitre
le nom du groupe, puis cliquez sur le bouton "OK".
 Cliquez sur le bouton "Suivant". Au niveau de l'écran des tâches à déléguer,

cochez simplement la case "Joindre un ordinateur au domaine"
Page 284 / 409

Cliquez sur le bouton "Suivant" puis sur le bouton "Terminer"
Administrateurs des postes
En général, les techniciens sont administrateurs des postes afin d'effectuer

les opérations de configuration, d'installation et de dépannage. Un compte
"local" tel que l'administrateur intégré peut suffire (pour rappel, ce compte est
désactivé par défaut depuis Vista) et il est donc plus judicieux de recourir à
des comptes de domaine. A moins d'avoir anticipé ce besoin au niveau des
postes (images) de référence ou dans le processus de déploiement, il peut
être intéressant d'utiliser les groupes restreints ou une préférence de stratégie
de groupe pour définir les appartenances aux groupes locaux. A défaut de
maitrise de ces concepts, voici un exemple de mise en œuvre:
 A partir du contrôleur de domaine "DC-Labs", ouvrez la console "Gestion des
stratégies de groupe" disponible dans les outils d'administration ou exécutez
"GPMC.msc".
 Développez l'arborescence afin de sélectionner l'élément "Forêt : labs.local
… Domaines … labs.local ", puis utilisez le menu "Action … Nouvelle unité
d'organisation". (L'affectation d'une la liaison de stratégie de groupe au
niveau du domaine "labs.local", engloberait les comptes de serveur).
 Entrez par exemple, la valeur "Postes" puis cliquez sur le bouton "OK"
Page 285 / 409

 Sélectionnez cette unité d'organisation destinée à accueillir les comptes

d'ordinateurs des postes de travail, puis utilisez le menu "Action … Créer un
objet GPO dans ce domaine, et le lier ici …" ou le menu contextuel. Entrez
un nom pour décrire l'objet de stratégie tel que "Config. Postes" puis cliquez
sur le bouton "OK".
Développez l'unité d'organisation "Postes" et sélectionnez l'objet de stratégie
"Config. Postes" puis utilisez le menu "Action … Modifier…" ou le menu
contextuel.
 Au niveau de la fenêtre de l'éditeur de stratégie de groupe, développez
l'arborescence afin de sélectionner "Configuration Ordinateur … Stratégies
… Paramètres Windows … Paramètres de sécurité … Groupes
restreints". Utilisez le menu contextuel "Ajouter un groupe…" puis entrez la
valeur "Administrateurs" sans recourir au bouton "Parcourir" et cliquez sur
le bouton "OK".
Nous avons recours à une saisie manuelle des comptes du fait que cette
console n'est pas exécutée à partir d'un poste de travail. La visibilité des
groupes locaux est sensiblement différente sur un contrôleur de domaine
 Dans la boite de dialogue " Administrateurs - Propriétés", cliquez sur le

bouton "Ajouter". Là encore, entrez le nom "Administrateur" sans recourir au
bouton "Parcourir" et cliquez sur le bouton "OK".
Cliquez de nouveau sur le bouton "Ajouter", puis cliquez sur le bouton
"Parcourir", entrez la valeur "Admin" dans le champ de saisie, cliquez sur le
bouton "Vérifier les noms", sélectionnez l'entrée "Admins du domaine" et
cliquez 3 fois sur le bouton "OK".
 Cliquez une dernière fois sur le bouton "Ajouter", puis cliquez sur le bouton
"Parcourir", entrez la valeur "Tech" dans le champ de saisie, cliquez sur le
bouton "Vérifier les noms" afin de faire apparaitre le groupe "Techniciens
Postes" et cliquez 2 fois sur le bouton "OK".
Page 286 / 409

 Cliquez sur le bouton "OK" pour valider et clore la boite de dialogue.

"Administrateurs - Propriétés". Fermez également la fenêtre de l'éditeur de
stratégie de groupe.
Nous avons retenu cette procédure en raison du fait qu'elle est applicable à
toutes les versions de poste de travail Windows. En effet, le recours à une
gestion des groupes locaux via les préférences de stratégie impliquent que
les postes prennent en charge cette extension coté client. (cf KB943729).
Visibilité des images d'installation
Par défaut, les "Utilisateurs Authentifiés" ont un droit de lecture sur les
dossiers contenant les images d'installation (Groupes d'images). Il peut être
judicieux d'en limiter l'accès aux installateurs (ou à un public averti) ou encore
à certaines images propres à un utilisateur/installateur lorsque le nombre
d'images d'installation est élevé. Pour modifier cette visibilité, il faut en premier
lieu, rompre l'héritage au niveau du dossier parent des groupes d'images
d'installation.
 Pour cela, au niveau de la machine virtuelle "WDS-Labs", lancez l'explorateur
Windows, sélectionnez le dossier "E:\RemoteInstall\Images" puis utilisez le
menu contextuel "Propriétés". Sélectionnez l'onglet "Sécurité" et cliquez sur
le bouton "Avancé", puis sur le bouton "Modifier les autorisations".
Décochez la case "Inclure les autorisations pouvant être héritées du
parent de cet objet" et cliquez sur le bouton "Ajouter" (ou le bouton
"Copier") au niveau de la boite de dialogue d'avertissement. Dans la liste des
"Entrées d'autorisations", sélectionnez la ligne correspondant aux
"Utilisateurs Authentifiés" puis cliquez sur le bouton "Supprimer".
Page 287 / 409

Cliquez 3 fois sur le bouton "OK" pour appliquer ces nouvelles autorisations. A
ce stade, plus aucun utilisateur, hormis l'administrateur n'a accès aux images
d'installation du serveur WDS. Sélectionnez chacun des sous-répertoires
correspondant aux groupes d'image concernés, puis accédez à l'onglet
"Sécurité" dans les propriétés de ce dernier afin ajouter les autorisations de
lecture pour le(s) utilisateur(s) / installateur(s) concerné(s).
Pour cet exemple, ajoutez au moins le groupe "Techniciens" afin de
poursuivre vos essais.
Notez qu'il est également possible de modifier les autorisations au niveau

des propriétés de chaque image d'installation (Onglet "Autorisations de
l'utilisateur") ou d'un groupe d'image (Menu contextuel "Sécurité").
Importateur d'image
Nous ne détaillerons pas ces délégations de privilèges directement

dépendantes de la segmentation des responsabilités informatiques (ie :
Techniciens d'installation et de maintenance, techniciens de déploiement,
administrateurs de domaine, de serveur WDS. Pour information la réalisation
d'une capture d'image (importation) implique de disposer des autorisations
NTFS "Contrôle total" sur les dossiers correspondant aux groupes d'images
(ou le dossier parent) ainsi que sur le partage "REMINST".
Page 288 / 409

Pour plus d'information sur la délégation d'autorisations des services de

déploiement Windows, reportez-vous à l'adresse suivante :
http://technet.microsoft.com/fr-fr/library/cc754005(WS.10).aspx
Sachant que la capture est réalisée localement, sur un éventuel disque

amovible, cette délégation n'est pas impérative et l'importation de l'image
d'installation peut être réalisée via la console WDS à partir d'un disque
amovible
2.5.2. Gestion des pilotes
Depuis Windows Server 2008 R2, Microsoft a ajouté la possibilité de gérer

des packages de pilotes au niveau de la console WDS. Cette option permet
d'administrer plus facilement les pilotes spécifiques et exposer implicitement
ces derniers aux postes clients lors de l'installation.
Au niveau de l'arborescence de la console des services de déploiement

Windows, sélectionnez la rubrique "Pilotes" permet de gérer ce magasin.
Vous distinguerez l'élément "Tous les packages" permettant d'afficher
l'ensemble des packages de pilotes disponibles et un groupe par défaut
"DriverGroup1".
Un groupe de pilotes permet d'organiser ces derniers selon des critères
définis au sein d'un "filtre", afin de cibler précisément des postes clients.
Seuls les pilotes associés à un groupe sont exposés aux clients PXE et un
groupe peut être désactivé pour suspendre cette mise à disposition.
Pour illustrer ce principe, sélectionnez le groupe par défaut "DriverGroup1"
puis utilisez le menu "Action … Modifier les filtres de ce groupe …" ou le
menu contextuel.
Page 289 / 409

Vous pouvez indiquer de nombreux critères composés de tests logiques liés

au matériel concerné. Cette technique de filtrage permet d'optimiser
l'exposition des pilotes lorsque leur nombre devient considérable.
Ce magasin permet également d'injecter un package de pilote au sein d'une

image de démarrage WinPE 3 et ultérieure sans recourir à la commande
DISM. En premier lieu, vous devez récupérer les packages de pilotes auprès
du constructeur, les extraire dans un répertoire temporaire (ie
"\\192.168.255.254\Deploy\Drv")"puis les ajouter dans le magasin du serveur
WDS en procédant comme suit:
Au niveau de l'arborescence de la console des services de déploiement
Windows, sélectionnez la rubrique "Pilotes" puis utilisez le menu "Action …
Ajouter un package de pilote …" ou le menu contextuel.
Indiquez le chemin du média contenant le fichier .inf du pilote à ajouter ou
utilisez le bouton "Parcourir".
Vous pouvez également ajouter un ensemble de pilotes de manière récursive

en stipulant l'emplacement d'un dossier contenant ces derniers.
Cliquez sur le bouton "Suivant" afin d'afficher le(s) package(s) de pilote(s)
disponible(s).
Page 290 / 409

Au besoin, si le package contient plusieurs pilotes, vous pouvez décochez

ceux que vous ne souhaitez pas intégrer dans le magasin du serveur WDS
puis cliquez sur le bouton "Suivant". Vérifiez votre sélection puis cliquez de
nouveau sur le bouton "Suivant".
Une fois le(s) package(s) de pilote(s) correctement ajouté(s), vous êtes invité
à l'associer à un groupe de pilotes en cliquant sur le bouton "Suivant".
Vous pouvez choisir un groupe de pilotes existant ou créer un nouveau
groupe. Dans notre exemple, le pilote étant destiné à un usage local,
sélectionnez l'option "Ne pas mettre les packages dans un groupe de
pilotes". Cliquez sur le bouton "Suivant" puis sur le bouton "Terminer".
Page 291 / 409

Vous pouvez constater que l'ensemble des pilotes du magasin sont affiché
sous forme détaillée au sein d'un tableau au niveau de l'élément "Pilotes ...
Tous les packages"
Facultatif : La modification d'une image de démarrage présente un risque

potentiel qui peut rendre cette dernière inutilisable. Vous pouvez vous
préserver de ce désagrément en utilisant le menu "Action … Exporter une
image …" afin de stocker une copie de secours dans un répertoire
temporaire. En cas d'incident, vous pourrez utiliser le menu "Action …
Remplacer l'image …" afin de restaurer le fichier d'origine.
Sélectionnez l'une des images de démarrage telle que "Installation Windows

(x86)" au niveau de la console WDS, puis utilisez le menu "Action … Ajouter
des packages de pilotes à l'image …" ou le menu contextuel. Cliquez sur le
bouton "Suivant" pour passer l'écran de mise en garde sur l'intégrité de
l'image.
Cet écran permet de rechercher les pilotes fondamentaux tels que les disques
durs, le réseau et les composants système (Chipsets) disponible dans
l'ensemble du magasin. Notez que l'assistant détecte également l'architecture
de l'image sélectionnée (ie : "x86"). Vous pouvez cependant utiliser le bouton
"Ajouter" afin d'affiner les critères de sélection.
Cliquez sur le bouton "Rechercher des packages" afin de vérifier la
pertinence du résultat sur ce même écran.
Page 292 / 409

Si le choix vous convient, cliquez 2 fois sur le bouton "Suivant " afin de
procéder à l'injection des packages dans l'image, puis cliquez sur le bouton
"Terminer" une fois l'opération achevée.
Facultatif : Vous pouvez vous assurer du résultat via la commande DISM

traitée précédemment dans cet ouvrage. Attention aux fichiers de démarrage
contenant des images multiples (Index = 2 dans notre exemple).
Au sein d'une invite de commande en mode administrateur, entrez les
md e:\temp\mnt
dism /Get-WimInfo
/WimFile:e:\RemoteInstall\Boot\x86\Images\boot.wim
dism /Mount-Wim
/MountDir:e:\temp\mnt /index:2 /readonly
dism /image:e:\temp\mnt /get-drivers
dism /unmount-Wim /MountDir:e:\temp\mnt /discard
Exemple:
E:\> md E:\temp\mnt
E:\> dism /Get-WimInfo


Version : 6.1.7600.16385
Détails pour l'image : e:\RemoteInstall\Boot\x86\Images\boot.wim
Page 293 / 409

Index : 1
Nom : Microsoft Windows PE (x86)
Description : Microsoft Windows PE (x86)
Index : 2
Nom : Installation Windows (x86)
Description : Installation Windows (x86)
L'opération a réussi.
E:\>dism /Mount-Wim
/WimFile:e:\RemoteInstall\Boot\x86\Images\boot.wim /MountDir
:e:\temp\mnt /index:2 /readonly

Version : 6.1.7600.16385
Montage de l'image
[==========================100.0%==========================]
E:\> dism /image:e:\temp\mnt /get-drivers

Version : 6.1.7600.16385
Version de l'image : 6.1.7600.16385
Obtention d'une liste de pilotes tiers à partir du magasin de

pilotes...
Nom publié : oem0.inf

Nom du fichier d'origine : netamd.inf
Boîte de réception : Non
Nom de la classe : Net
Nom du fournisseur : AMD Inc.
Date : 07/07/2004
Version : 4.51.0.0
E:\>
E:\>dism /unmount-Wim /MountDir:e:\temp\mnt /discard

Version : 6.1.7600.16385
Fichier image : e:\RemoteInstall\Boot\x86\Images\boot.wim

Index de l'image : 2
Démontage de l'image
[==========================100.0%==========================]
E:\>
2.5.3. Mise en œuvre de la multidiffusion
Page 294 / 409

Depuis Windows Server 2008, les services de déploiement Windows

supportent la multidiffusion pour une distribution optimisée des images de
distribution. Cette technique est basée sur une transmission unique,
particulièrement intéressante pour installer plusieurs ordinateurs en même
temps.
La déclaration d'un flux de multidiffusion s'effectue à partir de la console WDS.

Sélectionnez la rubrique "Transmission par multidiffusion" puis utilisez le
menu "Action … Créer une transmission par multidiffusion" ou le menu
contextuel. Entrez un nom "W7 x86 Entreprise" pour décrire le flux puis
cliquez sur le bouton "Suivant". Sélectionnez le groupe d'image puis l'image
de distribution à diffuser puis cliquez sur le bouton "Suivant". Vous pouvez
ensuite opter pour différents déclencheurs
 "Diffusion Automatique" (AutoCast): Valeur par défaut. Le flux de
multidiffusion est déclenché dès la première demande d'un client. Au besoin,
les clients suivants intègrent le flux en cours.
 "Diffusion Planifiée" : Le flux de multidiffusion est déclenché en fonction
d'un nombre défini de demandes et/ou à une heure définie.
Cliquez sur le bouton "Suivant" puis sur le bouton "Terminer".
Notez que Windows Server 2008 R2 permet une gestion affinée de ces
transmissions au niveau de l'onglet "Multidiffusion" des propriétés du
serveur.
Page 295 / 409

En fait, il faut savoir que ce genre de flux peut être pénalisé par un client plus
lent qui ralenti l'ensemble du groupe. Il est possible d'exclure manuellement
un ou plusieurs clients d'un flux en cours via la console WDS mais depuis
Windows Server 2008 R2, cette sélection peut être automatisée par le
serveur lui-même, en fonction de ces critères de rapidité.
Lorsqu'un client est exclu d'un flux de multidiffusion, il poursuit son processus
d'installation via une transmission par monodiffusion classique.
Le client PXE doit utiliser WinPE v2.1 ou supérieur. La procédure d'installation

est identique.
La liste détaillée des clients associés à un flux de multidiffusion est affichée
dans la console WDS.
Page 296 / 409

Chaque flux est associé à une image unique et il n'est pas possible de
modifier les propriétés d'un flux existant.
2.5.4. Facultatif : Ajout d'un choix dépannage WinRE
Pour parachever cette présentation des services de déploiement Windows,

nous vous proposons de compléter les choix de démarrage en y ajoutant une
option de réparation. En effet, vous aurez probablement déjà constaté qu'un
démarrage à partir d'un DVD original, offre une possibilité intéressante de
"Réparer l'ordinateur" (Choix en bas à droite de l'écran d'installation). Cet outil,
dénommé "WinRE", pour "Recover Environment", permet d'effectuer des
opérations de dépannage de l'amorçage, d'utiliser un point de restauration,
une sauvegarde ou encore d'ouvrir une invite de commande WinPE.
Ce genre d'image, très similaire au fichier de démarrage "boot.wim" de WinPE
peut être fabriqué à partir du kit de déploiement WAIK.
Il est également possible de récupérer le fichier prêt à l'emploi "WinRE.wim"
stocké à l'intérieur le fichier "Install.wim" d'une image de distribution Windows
7 ou Windows Server 2008 R2 ou encore celui utilisé par le menu de
diagnostic [F8] situé dans un dossier caché de la partition système
"\Recovery\{guid}\winre.wim".
 Pour récupérer le fichier "WinRE.wim" d'un DVD original, et l'ajouter dans les
images de démarrage, au niveau de la machine virtuelle "WDS-Labs", utilisez
le menu "Support … Lecteur DVD … Insérer un disque", puis sélectionnez
le fichier ISO correspondant à Windows 7 x86 Entreprise. (ie :
7600.16385.090713-1255_x86fre_enterprise_fr-fr_EVAL_Eval_Enterprise-
GRMCENEVAL_FR_DVD.iso)
 Fermez la fenêtre d'exécution automatique puis ouvrez une invite de
commande en mode Administrateur et tapez les commandes suivantes :
md e:\temp\mnt
dism /Mount-Wim /WimFile:d:\Sources\install.wim

/MountDir:e:\temp\mnt /index:1 /readonly
Page 297 / 409

Maintenez l'invite de commande ouverte et démarrez la console WDS, puis

sélectionnez la rubrique "Images de démarrage" puis utilisez le menu
"Action … Ajouter une image de démarrage …" ou le menu contextuel.
Cliquez sur le bouton "Parcourir" afin de sélectionnez le fichier
"E:\Temp\mnt\Windows\System32\Recovery\winRE.wim" puis cliquez sur
le bouton "Ouvrir" et sur le bouton "Suivant".
Modifiez éventuellement le nom et la description de l'image par "Reparation
Windows (x86)"
 Cliquez 2 fois sur le bouton "Suivant" puis sur le bouton "Terminer" une fois
l'importation achevée.
Revenez sur l'invite de commande précédente et démontez l'image via la
commande suivante :
dism /unmount-Wim /MountDir:e:\temp\mnt /discard
 Enfin, notez qu'il est très facile de masquer une entrée de menu PXE client.
Pour cela il suffit de sélectionner une image de démarrage puis d'utiliser le
menu "Action … Désactiver" ou le menu contextuel. (Affecte l'attribut caché
"Hidden" au fichier .WIM correspondant) et inversement le menu "Action …
Activer" pour la faire réapparaitre.
Page 298 / 409

Notez qu'aucun menu n'apparaitra coté client s'il ne reste qu'une seule
image de démarrage active sur le serveur.
L'ordre d'affichage est délicat à modifier du fait qu'il est basé l'ordre
alphabétique du fichier WIM effectif de chaque image. En revanche, vous
pouvez stipuler l'image de démarrage par défaut au niveau de l'onglet
"Démarrer" disponible au niveau des "propriétés" du serveur WDS. Utilisez
les boutons "Sélectionner…" pour choisir le fichier en fonction de chaque
architecture.
Il est également possible de modifier la durée d'attente avant le démarrage du

choix par défaut via une invite de commande :
bcdedit /timeout 10 /store

e:\remoteinstall\boot\x86\default.bcd
bcdedit /timeout 10 /store

e:\remoteinstall\boot\x64\default.bcd
Page 299 / 409

wdsutil /stop-server
wdsutil /start-server
Page 300 / 409

Chapitre 6 : MDT (Microsoft Deployment Toolkit)
Chapitre 6 : MDT (Microsoft Deployment

Toolkit)
1. Introduction
Bien conscient que l'évolution des technologies de déploiement Windows
faisant appel à de multiples compétences, engendre une complexité
inévitable, Microsoft propose un outil fédérateur chargé de capitaliser vos
sources et vous assister dans vos processus de migration et d'installation.
De ce constat est né le "Business Desktop Deployment" (BDD) devenu
ensuite le "Microsoft Deployment Toolkit" (MDT2008), affilié à la gamme de
ce que Microsoft appelle les "accélérateurs de solution".
Comparativement aux solutions commerciales spécialisées, ce produit gratuit,
disponible uniquement en langue anglaise, souffre probablement de quelques
limitations ou imperfections, et il pêne parfois à trouver sa place au sein des
petites comme des grandes entreprises. Au fil des années, cette solution a
acquis une véritable maturité et gagné en souplesse tout en intégrant de
nouvelles possibilités. Mis en œuvre de manière autonome ou
complémentaire, le MDT apporte une cohérence d'ensemble nécessaire lors
des déploiements assistés des systèmes d'exploitation Windows.
D'un point de vue très simplifié, nous pourrions l'assimiler à une sorte de
"constructeur" chargé de collecter puis d'assembler les différentes
technologies de déploiement Windows afin d'implémenter des scénarios
d'installation assistés et globalement automatisés.
De nombreux sites et tutoriels autour de ce vaste sujet se développent sur
Internet et l'objectif de ce chapitre n'a pas la prétention de s'y substituer mais
plutôt celle de vous en faire découvrir quelques rouages puis évaluer cette
solution par une brève mise en pratique.
Sur le plan technique, le MDT repose principalement sur le kit de déploiement

WAIK constituant un prérequis impératif. L'architecture de cet outil est
articulée autour de 3 parties fondamentales :
 La console ou "Atelier de déploiement" : Composée d'un poste Windows sur
lequel sont installés le kit de déploiement WAIK, Powershell et le MDT.
 Le point de distribution : Serveur de fichier (Par défaut "DeploymentShare$")
 Le client : Basé sur un noyau WinPE utilisant principalement un script
"LiteTouch.wsf" chargé de connecter et d'interpréter les directives publiées
sur le point de distribution.
Les services de déploiement Windows (WDS) constituent une composante

facultative des scénarios. De même, l'intégration de MDT à la solution
commerciale SMS/SCCM, désignée par le nom "Zero Touch" reste
facultative et n'est pas développée dans cet ouvrage.
Page 301 / 409

Les scénarios sont composés d'un ensemble de taches pouvant débuter par
un test de prérequis, une sauvegarde des données d'utilisateur ou une
capture de référence puis installer un système d'exploitation et d'éventuelles
applications, pour s'achever par une restauration des données d'utilisateur.
Les scénarios prennent en charge 4 cas de figure :
 Upgrade : Mise à jour sur place d'un même ordinateur (Sous réserve que le
système d'exploitation soit supporté)
 Refresh : Réinstallation sur un même ordinateur (récupération préalable des
données d'utilisateur)
 Remplace: Installation sur un nouvel ordinateur (récupération des données
d'utilisateur à partir de l'ancien ordinateur)
 New : Installation d'un nouvel ordinateur
La migration des fichiers et paramètres d'utilisateur est assurée via l'outil
USMT (User State Migration Tool) dont le pilotage est assuré par les
scénarios choisis.
Le MDT présente de nombreux avantages tels que la "portabilité". En effet,
une fois installé, le MDT s'appuie sur une structure de dossiers pouvant être
facilement transportée sur un disque amovible.
Le schéma suivant décrit les principaux éléments :
Page 302 / 409

Au niveau de la ressource partagée ("DeploymentShare$" par défaut), on

distingue particulièrement les dossiers suivants :
 Boot : Contient les fichiers .WIM et éventuellement .ISO correspondants aux
images WinPE modifiées "LiteTouch", nécessaires à l'initialisation de la
connexion et l'exécution des tâches définies sur le serveur de fichiers.
 Operating Systems : Contient les fichiers sources des distributions
Windows (Copies intégrales des CD ou DVD d'origine ou images .WIM
issues de capture)
 Out-of-Box Drivers : Contient les fichiers de pilote au format .INF
nécessaires aux images WinPE et aux systèmes d'exploitation à installer
 Packages : Contient les packs de langues, correctifs et mises à jour des
systèmes d'exploitation au format .CAB ou .MSU
 Applications : Contient les applications au format .MSI ou .EXE. qui seront
exécutées en post-installation.
 Control : Contient les séquences de tâches à exécuter.
La majeure partie des réglages du MDT est contenue dans des fichiers .XML
Nous distinguerons toutefois les fichiers utilisés par les processus
d'installation du système d'exploitation de ceux utilisés par le MDT :
Afin de mieux appréhender le MDT, nous vous proposons de débuter son

implémentation et d'en présenter succinctement les grandes lignes.
2. Installation et configuration du MDT

La plateforme physique sous Windows Server 2008 R2 dispose déjà des
prérequis nécessaires. En effet, PowerShell est un composant intrinsèque et
le kit de déploiement a été préalablement installé lors du 4ème chapitre.
La rédaction de cet ouvrage a débutée avec le "Microsoft Deployment
Toolkit" dénommée "MDT 2010 Update 1". Cette dernière correspond à la
version technique : v 5.1.1642.01 (Cette information est disponible via le menu
"? … A propos de Microsoft Deployment Workbench…").
Pour accompagner la sortie des nouveaux produits, Microsoft à mis à
disposition une nouvelle version nommée MDT 2012 Update 1 (6.1.2373.0) a
été. Dans la continuité de son prédécesseur, cette version dispose des
mêmes capacités de déploiement tout en apportant la prise en charge des
déploiements de disques virtuels .VHD ainsi que le nouveau Windows 7 allégé
("Windows Thin PC"). Elle permet également de s'intégrer pleinement au sein
du System Center 2012 (incluant dorénavant SCCM).
Page 303 / 409

N'étant que très légèrement différentes sur le plan esthétique sans présenter
de différences techniques fondamentales avec son antécédent, notre
présentation s'appuiera sur le MDT2012. Ces distinctions sont
essentiellement notables au niveau du client LiteTouch et la disponibilité de
nouvelles séquences de taches.
Avant de procéder à l'installation du Microsoft Deployment Toolkit (MDT2012
Update 1) vous devez procéder à son téléchargement à partir de l'adresse
suivante :
http://www.microsoft.com/en-us/download/details.aspx?id=25175
Vous aurez peut être également constaté que ce lien de téléchargement du
MDT est également proposé au niveau du programme d'installation du WAIK.
En dernier lieu, notez que MDT est proposé sous la forme de 2 versions
distinctes 32 ou 64 bits, à choisir en fonction du système d'exploitation de la
plateforme de déploiement retenue,
Sous réserve d'opter pour une installation personnalisée dans un autre
dossier, il est possible de faire cohabiter plusieurs versions du MDT mais cette
approche reste risquée. En effet, si vous avez déjà créé ou utilisé des points
de déploiement avec une version antérieure de MDT, l'ouverture d'une
structure existante engendre une obligation de mise à jour de celle-ci.
("Upgrade Deployment Share") mais cette opération est irréversible.
Page 304 / 409

Afin d'anticiper une éventuelle portabilité vers l'environnement de la

maquette WDS du chapitre 5, nous allons réaliser l'installation du MDT dans
un disque dur virtuel VHD sur la plateforme physique.
Création du disque dur virtuel
 Pour cela, ouvrez le "Gestionnaire de serveur" puis sélectionnez la rubrique

"Stockage … Gestion des disques" ou utilisez plus directement la console
"Diskmgmt.msc".
 Utilisez le menu "Action … Créer un disque virtuel" ou le menu contextuel.
 Utilisez le bouton "Parcourir" afin de sélectionner le disque physique destiné
à héberger ce futur disque dur virtuel et entrez un nom de fichier tel que
"C:\Hyper-V\_VHDs\MDT.vhd" puis cliquez sur le bouton "OK"
 Entrez une taille conséquente "80 Go" et sélectionnez l'option "Taille

dynamique" dans le cadre "Format du disque virtuel". Ce disque virtuel à
taille dynamique va s'étendre au fur et à mesure de son remplissage mais en
cas de saturation, celui-ci peut être facilement déplacé, étendu en cas de
besoin et/ou converti en taille fixe.
 Cliquez sur le bouton "OK" pour créer et attacher ce disque virtuel à la
plateforme physique. Un nouveau disque, symbolisé par une icône bleutée,
doit apparaitre avec un statut "Non initalisé"
Page 305 / 409

 Sélectionnez ce disque en cliquant sur la zone à gauche puis utilisez le menu

"Action … Toutes les tâches … Initialiser le disque" ou le menu contextuel.
 A moins que vous envisagiez de dépasser une taille de 2To, conservez

l'option par défaut "Secteur de démarrage principal" (="Master Boot
Record") puis cliquez sur le bouton "OK"
 Sélectionnez ensuite l'espace "Non alloué" puis utilisez le menu "Action …
Toutes les tâches … Nouveau volume simple…" ou le menu contextuel.
 Au niveau de l'assistant de création d'un volume simple, cliquez sur le bouton
"Suivant", conservez la taille proposée puis cliquez de nouveau sur le bouton
"Suivant".
 Choisissez une lettre d'unité à affecter à ce nouvel espace de stockage, tel
que "M:" par exemple, puis cliquez sur le bouton "Suivant".
 Conservez les options de formatage proposée par défaut en saisissant
éventuellement un label tel que "MDT" dans le champ "Nom de volume" et
cliquez sur le bouton "Suivant" puis sur le bouton "Terminer".
Les attachements de disques virtuels ne sont pas conservés après un

redémarrage du système. Avant de lancer la console MDT, vous devrez donc
penser à attacher le disque virtuel existant via le gestionnaire de disques et
recréer le partage réseau.
Facultatif : Vous pouvez cependant créer une tache planifiée qui sera chargée
d'appeler les commandes adéquates au démarrage du système.
Page 306 / 409

Créez par exemple, un dossier C:\Scripts puis ajoutez-y les 2 fichiers suivants:
Fichier DISKCMD.txt
select vdisk file C:\Hyper-V\_VHDs\MDT.vhd
attach vdisk
exit
Fichier MNT-MDT.cmd
DISKPART /S C:\Scripts\DISKCMD.txt
NET SHARE DeploymentShare$=M:\DeploymentShare
 A partir du planificateur de taches, sélectionnez la rubrique "Bibliothèque du

planificateur de taches" puis utilisez le menu "Action … Créer une tâche"
ou le menu contextuel. Sous l'onglet "Général", entrez "AutoMount MDT"
dans le champ "Nom" et cochez la case "Exécuter avec les autorisations
maximales".
 Sous l'onglet "Déclencheur" cliquez sur le bouton "Nouveau" puis
sélectionnez "Au démarrage" et cliquez sur le bouton "OK". Sous l'onglet
"Action", cliquez sur le bouton "Nouveau". L'action "Démarrer un
programme" est proposée par défaut. Cliquez sur le bouton "Parcourir" afin
de sélectionner le script "MNT-MDT.cmd" créé précédemment puis cliquez
sur le bouton "OK".
 Cliquez de nouveau sur le bouton "OK" pour créer la tâche. Entrez le mot de
passe du compte d'exécution si vous y êtes invité.
Installation du MDT
Sur la plateforme physique Windows Server 2008R2, les prérequis

PowerShell et WAIK étant déjà satisfaits, l'installation du MDT consiste à
exécuter le package .MSI approprié à l'architecture de processeur x64 dans
notre cas. Cette opération ne présente aucune difficulté particulière.
 Exécutez le programme "MicrosoftDeploymentToolkit2012_x64.msi"
précédemment téléchargé.
Page 307 / 409

 Acceptez les valeurs par défaut en cliquant sur les boutons "Next", "Install"
puis "Finish". Une fois installé, le MDT ajoute plusieurs raccourcis sous la
rubrique "Microsoft Deployment Toolkit" dans le menu "Démarrer"
Les autres liens étant liés à la documentation et à l'intégration avec SCCM,

nous développerons uniquement l'utilisation de l'"atelier de déploiement"
désigné par le raccourci "Deployment Workbench"
3. Découverte de l'atelier de déploiement (Deployment

Workbench)
Une fois la console démarrée, l'écran d'accueil vous affiche un résumé des
principaux avantages du produit, une liste des systèmes supportés ainsi
qu'une énumératrion des nouveautés liées à la nouvelle version.
Page 308 / 409

Aperçu de l'écran d'accueil général de la console MDT
Basée sur un composant logiciel enfichable de la technologie MMC (Microsoft

Management Console), la console d'administration du MDT est principalement
organisée autour de 2 rubriques générales :
 "Information center" : Contient les explications de démarrage et les
documentations et nouveautés en anglais ("Getting Started",
"Documentations", "News"), ainsi que les liens de téléchargement relatifs
aux technologies de déploiement ("Components").
 "Deployment Shares" : Contient la ou les structures de référence que nous

allons détailler dans ce chapitre. Dans un premier temps, vous devrez
considérer et gérer cette arborescence au travers la console du MDT mais
cette structure est totalement accessible au travers de l'explorateur Windows
et l'ensemble des réglages est défini dans des fichiers .INI et .XML.
 Dans un premier temps, sélectionnez la rubrique "Deployment Shares" puis

utilisez le menu "Action" ou le menu contextuel pour créer une nouvelle
structure de dossier "New Deployment Share" ou ajouter une structure
existante "Open Deployment Share". Cette arborescence étant destinée à
recueillir l'ensemble de vos sources de distribution système, pilotes, mises à
jour et autres applications, vous devrez penser à provisionner un espace de
stockage relativement conséquent.
Les actions entrainent systématiquement l'affichage d'un assistant ("wizard")
afin de renseigner les paramètres requis. La présence d'un symbole "Point
d'exclamation rouge" à droite d'un champ indique que la saisie est invalide.
Page 309 / 409

 Vous pouvez également recourir à l'aide contextuelle (en anglais) en appuyant
sur la touche
 Entrez un chemin complet afin de stipuler la racine d'un point de déploiement
("M:\DeploymentShare") ou utilisez le bouton "Browse" (Si le répertoire
existe déjà, l'arborescence ne doit pas contenir d'installation d'un précédent
MDT - Sinon il est nécessaire d'utiliser l'option "Open Deployment Share")
puis cliquez sur le bouton "Next"
 Acceptez ou modifiez le nom de partage par défaut "DeploymentShare$" (Le

caractère "$" permettant de masquer le partage est facultatif) puis cliquez sur
le bouton "Next"
Toutes ces valeurs sont modifiables à postériori dans l'onglet général des
propriétés d'un point de déploiement et dans le fichier "bootstrap.ini"
correspondant.
Page 310 / 409

 Acceptez ou modifiez le nom chargé de décrire ce point de distribution, par

défaut "MDT Deployment Share"
Cette nouvelle version de MDT2012 offre l'avantage de regrouper les options

globales par défaut en une même fenêtre. Les versions antérieures de MDT
proposaient un écran propre à chaque option.
Ces options permettent de stipuler des choix proposés par défaut lors de la
création des scénarios (séquences). Ces choix restent toutefois modifiables
individuellement pour chaque scénario et/ou au sein du fichier de
configuration global du MDT "\Control\CustomSettings.ini" dont nous
détaillerons le contenu.
D'ores et déjà, nous attirons votre attention sur l'importance de distinguer
deux types de directives pouvant apparaitre dans ce fichier de configuration.
- Celles qui masquent l'écran d'une option (Skip…=YES)
- Celles qui modifient le comportement et les réglages par défaut d'une option.
Cet assistant proposé lors de l'initialisation du MDT, permet des définir les
principaux écrans qui seront affichés ou masqué par défaut dans un scénario,
et génère le fichier de configuration global du MDT en conséquence.
Page 311 / 409

 "Ask if an upgrade should be performed instead of refresh" Cette

nouvelle option permet de proposer une mise à jour sur place du système
d'exploitation existant. (cf "Upgrade", "Refresh" définis précédemment)
Ce réglage est modifiable dans le fichier "\Control\CustomSettings.ini" via
les directives "SkipDeploymentType=YES | NO" et
"DeploymentType=REFRESH | UPGRADE"
 "Ask if a computer backup should be performed" : Cette nouvelle option

du MDT2012 permet de proposer une sauvegarde préalable de l'ordinateur
avant de procéder à l'installation d'un nouveau système.
Ce réglage reste modifiable dans le fichier "\Control\CustomSettings.ini"
via la directive " SkipComputerBackup = YES | NO"
 "Ask for a product key" : Cette option permet d'indiquer si l'installateur aura
la possibilité de saisir la clé d'activation du produit lors de l'installation. Si
cette option est décochée, l'installation se poursuivra en mode "évaluation*"
sans clé de licence (* "Période de grâce initiale" - cf "SLMGR") à moins que
la clé de licence ne soit renseignée dans le fichier de réponse ou la
séquence de tâche.
Ce réglage est également modifiable dans le fichier
"\Control\CustomSettings.ini" via la directive "SkipProductKey=YES |
NO"
 "Ask to set the local Administrator password ". Si vous cochez cette
option, les scénarios inviteront l'opérateur à saisir le mot de passe de
l'administrateur local lors de l'installation. Ce réglage est également
modifiable dans le fichier "\Control\CustomSettings.ini" via la directive
"SkipAdminPassword=YES | NO"
Pour information, le MDT réactive le compte d'administrateur intégré.

Lorsque l'installation est réalisée à partir d'une distribution originale, ce
compte n'a donc aucun mot de passe.
 "Ask if an image should be captured" Cette option autorise la capture

préalable (génération d'un fichier .WIM après exécution de sysprep) avant
d'effectuer l'installation d'un système sur un nouvel ordinateur. Vous pouvez
décocher cette case "Ask if an image should be captured "dans un
premier temps. Ce réglage reste modifiable dans le fichier
"\Control\CustomSettings.ini" via la directive "SkipCapture = YES | NO"
Pour rappel, il est déconseillé d'effectuer la capture d'un poste déjà joint à un
domaine et privilégier l'appartenance à un groupe de travail
 "Ask if Bitlocker should be enabled". Cette nouvelle option du MDT2012

permet de proposer la mise en œuvre du chiffrement intégral du disque sous
réserve que le système d'exploitation le supporte.
Ce réglage est modifiable dans le fichier "\Control\CustomSettings.ini" via
la directive " SkipBitLocker= YES | NO"
Page 312 / 409

 Cliquez sur le bouton "Next"

Un écran de synthèse des réglages est ensuite affiché
 Cliquez sur le bouton "Next" afin de procéder à l'exécution du script de

configuration. Une fois le processus achevé, il est possible d'enregistrer le
message de résultat dans un fichier via le bouton "Save output…" ou bien de
visualiser le script PowerShell qui a réalisé la configuration via le bouton
"View script". Cliquez sur le bouton "Finish".
Vous pouvez renouveler cette opération autant de fois que nécessaire afin de
gérer simultanément plusieurs points de déploiement différents. Cette
technique permet également d'effectuer des copies en toute simplicité.
Cependant, la console ne permet pas d'annuler ou détruire un point de
déploiement mais uniquement de le fermer via le menu "Action … Close
Deployment Share" ou le menu contextuel. Une fois celui-ci fermé, vous
devez détruire le partage et/ou la structure correspondante via les outils
Windows traditionnels.
La création d'un nouveau point de déploiement (ou l'ouverture d'un existant)
se présente sous la forme suivante :
Page 313 / 409

Sachant que la création d'un scénario (Task Sequences) impose à minima de

disposer d'un système d'exploitation, et que les modifications du MDT
surviennent en fonction de vos évolutions de besoin, nous utiliserons donc
une chronologie arbitraire pour débuter.
Remarque : Chaque dossier de premier niveau (Application, Operating

System, Out-of-box Drivers, Packages et Task Sequence) autorise la
création de sous-dossiers. ("New Folder"). La création de sous-dossier n'est
pas implicite mais peut être réalisée à postériori afin de classer et organiser
au mieux ces nombreuxs éléments. Dans ce cas, les opérations de copie ou
de déplacement doivent impérativement être réalisées via la console.
3.1. Ajout d'un système d'exploitation

Ce dossier contient les sources des systèmes d'exploitation provenant des
CD/DVD originaux ou d'une distribution .WIM personnalisée (issue d'une
capture) - Dans le premier cas, l'ensemble de la structure du média est
recopié dans ce répertoire.
 Insérez le support original du système d'exploitation dans le lecteur comme

par exemple, le fichier .ISO correspondant à Windows 7 Enterprise 32bits
dans le lecteur virtuel VirtualCloneDrive.
 Au niveau de la console MDT, sélectionnez le dossier "Operating System"
puis utilisez le menu "Action … Import Operating System" ou le menu
contextuel
L'assistant vous demande ensuite quel type d'importation vous souhaitez
entreprendre. Vous aurez alors 3 choix possibles :
Page 314 / 409

 "Full set of source files" : Intègre la copie conforme et intégrale du média

de distribution du système d'exploitation. (pas uniquement les dossiers
"Sources" ou "i386")
 "Custom image file" : Intègre une image .WIM d'un système personnalisé.
Dans ce cas, vous êtes ensuite invité à choisir de copier ou non, les
programmes complémentaire d'installation "Setup" et de préparation
"Sysprep" particulièrement lorsque l'image .WIM correspond à un système
antérieur à Vista tel que Windows XP ou Windows Server 2003
 "Windows Deployment Services images" : Ajoute les images d'installation
hébergées sur un serveur de déploiement WDS. Notez qu'il s'agit alors d'un
référencement et que les fichiers .WIM demeurent sur le serveur WDS sans
être recopiés dans la structure MDT. De plus, l'importation ajoute l'ensemble
des images présentes, sans possibilité de sélection unitaire.
 Sélectionnez la première option puis cliquez sur le bouton "Next"

 Au niveau du champ "Source Directory", utilisez le bouton "Browse" ou
indiquez simplement la racine du média ou dossier contenant les sources
originales puis cliquez sur le bouton "Next"
 L'assistant détecte automatiquement le système d'exploitation à importe et
propose un nom par défaut:
Page 315 / 409

 Conservez ou modifiez le nom proposé "Windows 7 x86" puis cliquez sur le

bouton "Next".Cette valeur correspond au nom du sous-dossier qui sera créé
dans l'arborescence MDT.
 Vérifier vos sélections au niveau de l'écran de synthèse puis cliquez sur le
bouton "Next" afin de déclencher le processus de copie. Cliquez sur le bouton
"Finish" une fois l'opération achevée.
Recommencez cette opération pour chaque système d'exploitation concerné.
Si vous disposez de plusieurs systèmes d'exploitation, n'hésitez pas à créer et
déplacer ces derniers dans des dossiers spécifiques tels que "x86", "x64" afin
d'épurer l'affichage. Pour déplacer les éléments dans un dossier de la console
MDT, sélectionnez-les puis utilisez la touche "MAJ" lors du déplacement. Il est
ensuite nécessaire d'appuyer sur la touche "F5" pour réactualiser l'affichage.
Si votre distribution .WIM contient plusieurs images, l'intégralité de ces
dernières est ajoutée à la console MDT. Pour alléger l'affichage,
particulièrement lorsque certaines images vous sont inutiles, vous pouvez les
sélectionner puis utiliser le menu "Action … Supprimer" ou le menu
contextuel.
3.2. Ajout des pilotes

De tout temps, à défaut d'outil spécialisé, la gestion et l'organisation des
packages des pilotes complémentaires a été délicate. Chaque constructeur
ayant sa propre technique de référencement et de packaging.
Afin d'éviter d'être trop rapidement submergé par une liste conséquente de
pilotes, une technique parmi d'autre consiste à créer une structure de sous-
dossier adaptée afin d'y intégrer les pilotes en fonction des constructeurs et
de la plateforme concernés.
Dans la mesure du possible, évitez d'importer les pilotes déjà intégrés dans
les distributions Privilégiez une recherche et une extraction ciblée avec un
outil tiers tel que "Driver Backup 2" évoqué précédemment. Une fois importés
dans la console MDT, les pilotes sont affichés sous la forme d'une grille de
données pouvant être triée par un simple clic sur l'entête de colonne. Vous
pouvez ainsi identifier aisément la fabriquant, la version mais surtout la classe
et la plateforme supportée pour chaque pilote. La seule inconnue restant le
système d'exploitation ou le noyau WinPE associé à chaque pilote..
Les pilotes nécessitant impérativement l'exécution d'un programme (.EXE),

tels qu'un lecteur d'empreinte digitale, ceux-ci devront être considérés
comme des applications MDT (cf ci-après),
Cette opération est particulièrement cruciale et à l'instar des installations

classiques, il est nécessaire de distinguer les pilotes qui seront utilisés par le
système d'exploitation proprement dit, de ceux requis lors de l'initialisation du
programme d'installation. Autrement dit, pensez qu'un même périphérique
tels qu'une carte réseau, ou un disque dur peuvent être reconnus et pris en
compte durant le processus d'initialisation d'une installation, puis échouer lors
du chargement système d'exploitation. Ces pilotes critiques (Net,
MassStorgae, Chipset et Video) sont automatiquement intégrés au sein de
l'image WinPE générée par le processus de création du client "LiteTouch"
Page 316 / 409

abordée plus loin dans ce chapitre. Toutefois, le nombre de pilote

correspondants à ces critères peut être conséquent et alourdir
considérablement le noyau. Pour éviter cette dérive, nous vous conseillons de
créer un sous- dossier dédié à ces pilotes propres au noyau WinPE puis de
définir un profil de sélection associé.
Pour information, les classes de pilotes particulièrement cruciales, que nous
souhaitons ajouter au noyau WinPE sont :
"Net" - Classe associé aux pilotes de cartes réseau
"hdc", "SCSIAdapter", "DiskDrive" : Classes associées aux stockages de
masse (Contrôleurs de disques durs)
"System" : Classe associé aux pilotes de composants électroniques intégrés
spécialisés (Egalement connus sous l'anglicisme "Chipsets")
"Display" : Classe associé aux pilotes de cartes vidéo - Le support du format
Standard VGA peut vous affranchir de ces pilotes.
Après avoir identifié vos pilotes spécifiques et les avoir éventuellement
regroupés dans un dossier arbitrairement dénommé "C:\Pilotes WinPE3",
nous vous proposons de procéder comme suit :
 Au niveau de la console MDT, sélectionnez la rubrique "Out-of-Box Drivers"
puis utilisez le menu "Action … New folder".
 Entrez un nom de dossier comme par exemple "Noyau WinPE 3 x86" ainsi
qu'un commentaire éventuel puis cliquez 2 fois sur le bouton "Next" puis sur le
bouton "Finish" une fois l'opération achevée.
 Développez l'arborescence afin de sélectionner ce nouveau sous-dossier
"Noyau WinPE 3 x86" puis utilisez le menu "Action … Import driver".ou le
menu contextuel
 Entrez le chemin complet afin de stipuler le dossier de vos pilotes comme par
exemple "C:\Pilotes WinPE3\x86") ou utilisez le bouton "Browse"
Page 317 / 409

 Cliquez 2 fois sur le bouton "Next" puis sur le bouton "Finish" une fois
l'opération achevée.
Répéter éventuellement cette opération en créant préalablement des sous-
dossiers propres aux constructeurs.
Remarque : Dans le chapitre relatif aux services de déploiement Windows

(WDS), vous avez constaté que Windows Server 2008 R2 apportait une
nouvelle interface de gestion et d'intégration des pilotes. Le MDT, n'est
malheureusement pas en mesure de mutualiser cette organisation et
engendre de fait une gestion indépendante, voire redondante de vos pilotes.
Création du profil de sélection
 Développez l'arborescence afin de sélectionner la rubrique "Advanced

Configuration … Selection Profiles" puis utilisez le menu "Action … New
Selection Profile" ou le menu contextuel.
 Entrez un nom tel que "WinPE x86 Drivers" et une description éventuelle puis
cliquez sur le bouton "Next"
 Développez la structure de dossiers affichée dans le cadre de détail à l'aide
des signes "+" afin de cocher uniquement la case du sous-dossier spécial
préalablement créé soit "Noyau WinPE x86".
Page 318 / 409

 Cliquez 2 fois sur le bouton "Next" puis sur le bouton "Finish" une fois
l'opération achevée
Si vous découvrez et voulez adopter cette procédure afin d'alléger ou

réorganiser la gestion de vos pilotes, sachez qu'il est possible, au sein de la
console MDT, de créer ces sous-dossiers à postériori pour y déplacer les
pilotes puis les affecter éventuellement à des profils de sélection
personnalisés.
3.3. Ajout de packages

Cette rubrique est destinée à contenir des packages au format .CAB ou .MSU
parmi lesquels on distingue les principales catégories suivantes :
 Les mises à jour de sécurité des systèmes d'exploitation, également
dénommées correctifs ("Hotfixes")
 Les packs de langues ou modules linguistes d'un système d'exploitation de
génération NT6 (Fichiers "lp.cab")
 Les modules complémentaires ou fonctionnalités additionnelles - Par
exemple: Framework .NET, RSAT ou encore Windows Virtual PC pour
Windows 7). Attention aux subtilités car un package complémentaire
comme "Internet Explorer 9" est principalement délivré sous forme
d'exécutable et devrait donc être considéré comme une application MDT
(voir ci-après). Les packages IE9 pour Windows 7 - 32 ou 64 bits au format
.MSU sont disponibles respectivement aux adresses suivantes :
 X86 : http://go.microsoft.com/fwlink/?LinkId=210145
 X64 : http://go.microsoft.com/fwlink/?LinkId=210143
L'intégration des correctifs lors des processus d'installation constitue un gain

de productivité appréciable mais la gestion manuelle via le MDT risque de
devenir rapidement fastidieuse En effet, l'absence d'interface spécialisée dans
Page 319 / 409

la gestion et le suivi de ces mises à jour dans le MDT, se cantonne

généralement à l'intégration de quelques correctifs.
Lorsque le nombre de packages devient important, il peut s'avérer plus

efficace d'installer ces derniers sur un poste de référence puis relancer une
préparation via "sysprep" afin de capturer le résultat dans une nouvelle
image .WIM puis l'intégrer au MDT en tant que nouvelle image de système
d'exploitation.
Les correctifs peuvent être manuellement récupérés à partir des sites

"Microsoft Knowledge Base" (Technet), le Download Center ou via du
catalogue en ligne "http://catalog.update.microsoft.com/v7/site". Cette
technique est employée pour palier ponctuellement les problèmes, alors que
l'installation est généralement laissée à la discrétion du client des mises à jour
automatiques via Windows Update.
BITS Background Intelligent Transfer Service est un service de transfert de

fichier en arrière-plan destiné à préserver la bande passante et capable de
gérer la reprise des téléchargements interrompus. Ce service est utilisé pour
le transfert des mises à jour via Windows Update à partir de votre serveur
Intranet (WSUS) ou celui de Microsoft. Les réglages de BITS sont disponibles
au niveau des stratégies de groupe:
"Configuration Ordinateur … Stratégies … Modèles d'administration …
Réseau … Service de transfert intelligent en arrière-plan (BITS)"
Sous réserve de disposer d'éditions Intégrale ou Entreprise de Windows 7,

l'activation de la fonctionnalité "Branch Cache" permet également de
mutualiser les téléchargements (SMB, BITS et HTTP) mais cette approche
n'est pas exploitable par les autres versions de Windows.
Windows Server Update Services
Ces solutions de mutualisation pair à pair restent délicates à contrôler et sous

réserve de disposer d'une licence Windows Server, le recours à une solution
"Windows Server Update Services" (WSUS) en interne constitue
probablement la meilleure approche. En effet, la configuration proposée par
défaut consiste à laisser chaque ordinateur télécharger automatiquement les
mises à jour des à partir du site Microsoft. Ce réglage engendre donc
rapidement une redondance et une surcharge des liaisons Internet et
nécessite donc un choix stratégique pour une meilleure maitrise de ce trafic
réseau.
Des ouvrages dédiés sur l'implémentation d'un serveur WSUS sont

disponibles et en voici les grandes lignes pour les néophytes:
Page 320 / 409

Schéma de principe de WSUS
 Téléchargement du produit WSUS à l'adresse suivante

http://www.microsoft.com/download/en/details.aspx?id=5216 puis Installation
sur un serveur Windows ayant un accès à Internet
 Configuration de l'adresse interne sur chaque poste via la stratégie de groupe
"Configuration ordinateur … Modèles d'administration … Composants
Windows …Windows:Update … Spécifier l’emplacement intranet du service de
mise à jour Microsoft"
 Gestion du serveur WSUS via la console dédiée afin de définir les règles
d'approbation. La "visibilité" des clients est restreinte aux packages
"approuvés" uniquement.
Pour information, WSUS s'appuie sur une base de donnée SQL incluse dans
le package d'installation et l'infrastructure ne requiert aucunement la
présence d'un domaine Active Directory.
Sachez que le MDT est en mesure de référencer directement un serveur

WSUS local durant les phases d'installation des systèmes d'exploitation. Pour
cela, vous devez ajouter la directive "WSUSServer=http://" suivie du nom de
votre serveur WSUS dans le fichier "CustomSettings.ini".
Il conviendra également de réactiver les tâches " Windows Update (Pre-
Application Installation)" et " Windows Update (Post-Application Installation)"
prédéfinis mais désactivées dans les scénarios standards.
A défaut, les mises restantes seront installées de manière traditionnelle après
une mise en production de l'ordinateur en fonction du réglage des stratégies
de mises à jour automatiques.
Local Update Publisher
Avant de conclure sur les techniques de gestion des cmises à jour et

particulièrement des services WSUS, sachez que suite à la publication de
l'API par Microsoft, un projet open-source à vu le jour. Nommé LUP (Local
Update Publisher), cette extension permet de distribuer vos propres mises à
jour ou applications via le service Windows Update, et donc sans élévation de
privilèges sur les postes cibles. Le téléchargement du produit et la
documentation associée sur la mise en œuvre ainsi que plusieurs exemples
Page 321 / 409

tels que la distribution d'Acrobat Reader, Flash Player, du navigateur Firefox,

ou encore Java sont disponibles à l'adresse suivante :
http://localupdatepubl.sourceforge.net/fr/index.html
L'aide ainsi que les procédures de mise en œuvre étant détaillées sur le site
de l'éditeur, nous ne developperons pas ce produit dans cet ouvrage.
Nous attirons simplement votre attention sur les contraintes d'élévation de
privilèges nécessaires aux programmes de mises à jour. A défaut d'un agent
ou programme de distribution spécialisé, le service Windows Update permet
d'effectuer ces installations avec un compte d'utilisateur standard.
Programme d’installation ActiveX
Enfin, notez que depuis Vista, pour les besoins exclusifs du navigateur
Internet Explorer, Microsoft propose un service d'installation de compléments
nommé " Programme d’installation ActiveX (AxInstSV)". Lorsque ce service
est démarré, vous pouvez configurer la liste des sites autorisés et/ou le
comportement d'installation des compléments ActiveX via les stratégies de
groupe. Ces réglages sont situés sous la rubrique "Configuration Ordinateur
… Modèles d'administration … Service d'installation ActiveX"
Packs de langue
Si vous disposez des packs linguistes (lp.cab) vous pouvez les intégrer dans
cette rubrique. De la même manière que les mises à jour, il peut s'avérer plus
simple d'intégrer ces packs linguistes directement dans l'image de référence
que vous souhaitez capturer ou de les injecter dans une image existante via la
commande DISM.
Composants additionnels
Pour la démonstration, nous nous contenterons d'installer quelques

fonctionnalités additionnelles, telles que les outils d'administration de serveur
à distance, la fonctionnalité Windows Virtual PC et Internet Explorer 9 que
nous avons préalablement téléchargé et déposé dans un dossier temporaire.
 Développez l'arborescence MDT afin de sélectionner la rubrique "Packages "

puis utilisez le menu "Action … New Folder" ou le menu contextuel. Entrez
Page 322 / 409

un nom désignant le type de package concerné tel que "Windows 7 Add-

ons" puis cliquez 2 fois sur le bouton "Next" puis le bouton "Finish"
 Sélectionnez ce nouveau sous-dossier puis utilisez le menu "Action …
Import OS Packages" ou le menu contextuel. Au niveau du champ "Package
source directory", entrez le chemin complet du répertoire contenant les
compléments .MSU téléchargés ou utilisez le bouton "Browse"
 Cliquez 2 fois sur le bouton "Next" puis le bouton "Finish"

Le résultat ressemble approximativement à ceci :
L'association des packages doit ensuite être confirmée via le fichier de

réponse associé au système d'exploitation. L'édition de ce fichier est
disponible au niveau de l'onglet "OS Info" d'une séquence de tache décrite
ultérieurement.
Dans l'éditeur de fichier réponse (WSIM), vous pourrez sélectionner le ou les
packages désirés dans le cadre "Partage de distribution" puis utilisez le menu
"Edition … Ajouter au fichier de réponse" ou le menu contextuel.
Page 323 / 409

Veillez à ne sélectionner que le packages pertinents applicables au système

sélectionné. (Version et plateforme) - En fait, lors de l'édition d'un fichier de
réponse via le gestionnaire d'image système Windows, les éventuels sous-
dossiers créés au sein de la structure MDT sont ignorés et sont affichés dans
l'éditeur selon un principe de classement intrinsèque au package (cf colonnes
"PackageType" et "ProcessorArchitecture" dans la vue détaillée des
packages.
Une fois l'intégration des packages effectuée, enregistrez vos modifications
lors de la fermeture du fichier de réponse.
Prenez garde à exclure ces packages des processus de génération WinPE

en créant un profil de sélection, afin de ne pas surcharger inutilement les
images démarrage.
3.4. Ajout d'application

Du point de vue du MDT, une application est un exécutable, un package .MSI
ou bien un simple dossier à copier ou script à exécuter. Au sens MDT, les
applications représentent les programmes qui doivent être exécutés durant la
phase de post-installation du système avant l'éventuelle réinjection des
paramètres et données d'utilisateur ou la livraison finale.
Par défaut, les applications ajoutées dans cette rubrique apparaitront sous la
forme de cases à cocher durant l'interprétation d'un scénario standard et
resterons donc à la discrétion de l'installateur. Si le nombre d'applications est
important, la création de sous-dossiers peut s'avérer judicieuse.
Idéalement, il est nécessaire d'analyser le processus d'installation d'une
application avant de l'intégrer au MDT. En effet, la possibilité d'effectuer une
installation silencieuse dépend directement du package fournit par l'éditeur.
Page 324 / 409

Par exemple, assurez-vous que le programme exécutable téléchargé ne soit

pas une archive composée d'un package .MSI. Si c'est le cas, utilisez un outil
tel que 7-Zip afin d'extraire le contenu vers un dossier provisoire, et importez
ce dernier dans le MDT.
Exemple d'archive .EXE pour Acrobat Reader 10
Pour une application telle que Microsoft Office 2007 ou 2010, vous devez
exécuter préalablement le programme d'installation avec le commutateur
d'administration "SETUP /ADMIN" afin d'invoquer l'outil de personnalisation et
obtenir un fichier ".MSP". Une fois les sources et le fichier .MSP intégrés au
MDT, la ligne de commande pour l'installation devra référencer ce fichier
comme suit "SETUP /ADMINFILE custom.MSP". Dans cet exemple le
fichier de configuration est situé au même niveau que le programme
d'installation. Dans le cas contraire, pensez à indiquer le chemin relatif au
répertoire de l'application ("Working directory"). Il est également possible
d'utiliser un fichier "CONFIG.XML" et stipuler la commande "SETUP
/CONFIG custom.xml" au niveau du MDT. Par défaut le fichier
"config.xml" est présent dans le dossier de la distribution
"\entreprise.WW" ou "\proplus.WW". Le fichier .MSP doit alors être
enregistré dans le dossier "\Updates" de la distribution.
Note : Depuis sa version 2010, le MDT reconnait automatiquement la suite

Microsoft Office 2007 et ultérieures. Un onglet spécifique est alors disponible
au niveau des propriétés de l'application.
Page 325 / 409

L'onglet spécial Microsoft Office au sein du MDT
Au niveau de l'onglet "Detail", la ligne de commande pour l'installation

silencieuse "Quiet install command" sera simplement "Setup.exe"
 Pour les versions antérieures, vous devrez vous procurer le kit de

personnalisation spécifique (Office Customization Tool) afin de générer un
fichier de transformation ".MST". La ligne de commande pour l'installation
ressemble alors à ceci "SETUP.exe TRANSFORMS="Custom.MST" /QB"
 Développez l'arborescence MDT afin de sélectionner la rubrique

"Applications " puis utilisez le menu "Action … New Application" ou le
menu contextuel.
Vous aurez alors 3 possibilités

 La première option "Application with sources files" consiste à recopier
intégralement les fichiers sources de l'application dans la structure du MDT.
 La seconde option "Application without sources files or elsewhere on
the network" permet de référencer une application sur un serveur ou une
structure DFS sans l'intégrer dans la structure du MDT (Attention cependant
aux contraintes d'authentication et d'exécution à distance)
 La dernière option "Application bundle" permet de constituer un ensemble
composé de plusieurs applications déjà intégrées ou référencés par le MDT.
Page 326 / 409

Cette option est particulièrement intéressante afin de simplifier la tâche

fastidieuse de la sélection d'un ensemble d'applications par l'installateur.
 Conservez la première option puis cliquez sur le bouton "Next". Entrez à
minima un nom décrivant l'application dans le champ "Application Name"
 Cliquez sur le bouton "Next" puis entrez le chemin complet du dossier

contenant les fichiers nécessaires à l'installation de l'application ou utilisez le
bouton "Browse" puis cliquez de nouveau sur le bouton "Next"
 Saisissez un nom de sous-dossier pour le stockage dans le MDT ou
conservez le nom proposé par défaut puis cliquez sur le bouton "Next"
 Saisissez le nom de l'exécutable d'installation. Dans la mesure du possible, ce
champ devrait contenir la ligne de commande (programme et paramètres)
d'une installation sans assistance. Par exemple, pour l'installation d'un
package MSI, la ligne de commande ressemblerait à ceci :
MSIEXEC /I AcroRead.msi /QN
 Conservez le chemin du répertoire de travail (Working Directory) puis cliquez

2 fois sur le bouton "Next" puis sur le bouton "Finish" une fois l'opération
achevée.
Page 327 / 409

Les dépendances
Notez qu'il est possible de définir des dépendances au niveau des

applications MDT. Cette faculté est particulièrement intéressante lorsqu'une
application requiert qu'une ou plusieurs autres applications soient
préalablement installées. Dans ce cas, l'installateur n'est pas tenu de
sélectionner les applications dépendantes qui seront automatiquement
installées par le script MDT.
 Pour gérer les dépendances d'une application, sélectionnez l'application
concernée dans la console du MDT puis utilisez le menu "Action …
Propriétés" ou le menu contextuel.
 Utilisez ensuite le bouton "Add" afin de parcourir et sélectionner la liste des

applications déjà déclarées dans le MDT, puis cliquez sur le bouton "OK' pour
valider. Les boutons "up" et "down" permettent d'agir sur la chronologie
d'enchainement de ces installations synchrones.
Vous pouvez constater que ces opérations de configuration en amont

peuvent s'avérer délicates à maintenir dans le temps. De manière générale,
les mises à jour et les packages additionnels récurents sont réintégrés au
sein de nouvelles images de référence dès que leur nombre est important.
3.5. Création d'un scénario (Task sequence)

Un scénario MDT aussi dénommé "Séquence de taches", consiste à définir
les différentes étapes du processus de préparation et d'installation d'un poste.
 Pour définir votre premier scénario, développez l'arborescence MDT afin de

sélectionner la rubrique "Task sequences" puis utilisez le menu "Action …
New Task sequence" ou le menu contextuel.
 Entrez un identifiant unique pour ce scénario dans le champ "Task sequence
ID". Ce nom correspond au sous-dossier qui sera créé pour y héberger les
fichiers propres à cette séquence. Hormis l'unicité de cette référence, aucune
règle de nommage n'est imposée mais ce nom reste délicat à modifier par la
suite. Par exemple "W7-x86-01"
 Entrez un nom explicite dans le champ "Task sequence Name". Ce nom
apparaitra dans le menu de l'installateur coté client au même titre que les
éventuels commentaires que vous pouvez ajouter dans le champ "Task
Page 328 / 409

sequence Comments". Ces champs pourront être facilement modifiés au

niveau des propriétés de la séquence de tâche.
 Une fois ces champs renseignés, cliquez sur le bouton "Next"

L'écran suivant vous affiche une liste de modèles prédéfinis de scénarios
(séquence de taches) que nous allons décrire brièvement :
 "Sysprep and Capture"
Ce scénario est chargé de réaliser une tache de préparation d'un poste de
référence via l'outil sysprep correspondant puis réalise une capture de l'image
.WIM résultante vers la structure MDT. Cette image de capture peut ensuite
être importée en tant qu'image personnalisée "Custom Image" de la rubrique
"Operating System".
Contrairement aux importations de système d'exploitation à partir des

sources DVD originaux, les images capturées ne disposent pas du
programme d'installation (setup.exe) utilisé par le MDT. Bien que le MDT
soit conçu pour rechercher le programme d'installation approprié, il est
préférable d'opter pour une copie systématique de ces fichiers lors de
l'importation, particulièrement si vous n'avez pas encore importé d'autres
images au préalable.
Idéalement, vous devez procéder à l'importation du premier système

d'exploitation à partir des sources d'un CD/DVD original. L'ensemble des
fichiers requis sera ainsi stocké dans la structure MDT.
Lors de l'importation de l'image personnalisée, (typiquement capturée par ce
genre de séquence) vous devrez choisir l'option "Copy Windows Vista,
Windows Server 2008, or later setup files from the specified path".
L'assistant recherche le dossier "\sources" contenant le programme
d'installation et réalisera une copie complête de ce répertoire hormis les
images de distribution. Que vous choisissiez l'origine de ce programme
d'installation à partir d'un DVD, de la structure MDT ou d'un autre
emplacement, indiquez simplement le chemin de la racine du sous-dossier
"sources".
Page 329 / 409

Importation d'une nouvelle image WIM personnalisée de Windows 7 32 bits
Cette séquence prédéfinie peut constituer une source de confusion pour les
débutants. En effet, les taches de préparation sysprep et de capture sont
également présentes dans les séquences d'installation standard. Dans ce cas,
ces scénarios réalisent en fait un cycle complet de préparation, incluant une
installation automatisée, une préparation puis une capture de l'image
résultante.
Il peut s'avéver plus simple de préparer le poste de référence, puis de solliciter
cette séquence dédiée à la préparation et à la capture de l'image.
Contrairement aux séquences d'installation sollicitées via un démarrage à
partir du client LiteTouch, ce scénario doit être déclenché à partir d'un poste
opérationnel.
Autrement dit, vous pouvez procéder à la préparation et la configuration du
poste en toute liberté, y compris dans un environnement virtuel. Une fois les
applications, les mises à jour et les réglages achevés, vous n'avez plus qu'à
solliciter cette séquence de préparation sysprep et de capture en appelant
dir'ectement le script LiteTouch du serveur MDT via le réseau.
\\Server-MDT\DeploymentShare$\Scripts\LiteTouch.vbs
Astuce : Si vous réalisez votre image de référence à partir d'un ordinateur

virtuel, exécutez une capture instantanée (snapshot) de celui-ci juste avant
d'exécuter la séquence de préparation. Cette opération vous permettra de
conserver une configuration type et gagner un temps précieux si vous
souhaitez reprendre ou compléter une configuration existante.
Page 330 / 409

 "Standard Client Task Sequence"

Ce scénario par défaut est chargé de réaliser une installation traditionnelle
d'un nouveau poste client
 "Standard Client Replace Task Sequence"
Ce scénario sauvegarde préalablement l'intégralité du poste existant et
exporte les paramètres et données d'utilisateur vers un chemin réseau avant
d'effacer les disques et procéder à l'installation.
 "Custom Task Sequence"
Ce scénario ne contient aucune tâche par défaut et peut être utilisé pour
effectuer des tâches ponctuelles et/ou complémentaires de déploiement
 "LiteTouch OEM Task Sequence"
Ce scénario principalement est destiné aux intégrateurs de matériel (Original
Equipment Manufacturer) et s'appuie sur un mécanisme de déploiement par
média.
 "Standard Server Task Sequence"
Ce scénario est chargé de réaliser une installation d'un nouveau système
d'exploitation serveur et piloter la configuration de certains rôles tels que les
services DNS (Domain Name Service), DHCP (Dynamic Host Configuration
Protocol), ou encore ADDS (Contrôleur de domaine Active Directory). Les
directives d'installation des rôles (ou fonctionnalités) peuvent également être
définies dans un fichier de réponse associé.
 "Post OS Installation Task Sequence
Ce scénario apparu avec le MDT2010 update 1 permet d'effectuer un
ensemble de tâches complémentaires à partir d'un système Windows déjà
installé (indépendamment du client "LiteTouch"). Pour déclencher cette
séquence, vous devrez entrer la commande suivante :
"\\MDT-Server\DeploymentShare$\Scripts\LiteTouch.vbs" puis sélectionner la
séquence de tache désirée.
 "Deploy to VHD Client Task Sequence"
Ce scénario apparu avec le MDT2012 permet de déployer des disques
virtuels. Sous réserve de disposer d'un chargeur approprié (BOOTMGR et
BCD) sur une partition physique, les éditions Entreprise et Intégrale de
Windows 7 ont la capacité de démarrer nativement à partir d'un disque virtuel.
?? Cf annexe - Démarrage sur disque virtuel ?
 "Deploy to VHD Server Task Sequence"
Scénario identique au précédent pour les systèmes "serveur" depuis
Windows Server 2008R2.
Les services de déploiement Windows sont en mesure de diffuser ce genre

d'image de disque virtuel au même titre que les images .WIM.
 Dans un premier temps, pour l'installation de Windows 7, sélectionnez la

séquence par défaut, "Standard Client Task Sequence" puis cliquez sur le
bouton "Next"
Page 331 / 409

Sélection d'un scénario prédéfini
La liste des systèmes d'exploitation référencés par le MDT est alors affichée.
 Sélectionnez la ligne de votre choix, comme par exemple "Windows 7

ENTERPRISE in Windows 7 x86 install.wim" puis cliquez sur le bouton
"Next"
L'écran suivant permet de stipuler la clé de licence du produit afin d'en éviter
la saisie par l'installateur. Pour les distributions Vista et ultérieures utilisez la
seconde option afin d'affecter une licence d'activation multiple. La dernière
option est utilisée pour les versions antérieures telles que Windows XP ou
Windows Server 2003.
Page 332 / 409

A défaut d'être renseignée dans un fichier de réponse, la saisie d'une clé est
proposée à l'installeur lors du déploiement LiteTouch si la directive
"SkipProductKey = NO" est définie dans le fichier "CustomSettings.ini"
La dernière option est particulièrement appréciable pour ne pas interrompre
les processus d'installation de Windows XP ou Windows Server 2003. En
revanche, la génération Windows NT6 ne requiert aucune clé pour achever le
processus d'installation.
 Dans cet exemple, conservez l'option par défaut "Do not specify a product
key at this time" puis cliquez sur le bouton "Next".
L'écran suivant vous permet de saisir les informations de votre société
habituellement relatives au propriétaire de la licence, respectivement dans les
champs "Full Name" et "Organization"
 Bien que facultatif, vous pouvez également préciser la page d'accueil par
défaut du navigateur Internet Explorer puis cliquez ensuite sur le bouton
"Next".
L'écran suivant vous permet de saisir le mot de passe de l'administrateur local
intégré. Cette donnée sensible est stockée dans le fichier de réponse
Page 333 / 409

correspondant sous forme encodée. Notez toutefois que par défaut, le

processus de déploiement MDT réactive ce compte administrateur intégré
dont le mot passe restera vide pour les distributions originales.
La saisie d'un mot de passe est proposée à l'installeur lors du déploiement

LiteTouch si la directive " SkipAdminPassword = NO" est définie dans le
fichier "CustomSettings.ini"
 A l'instar de la clé produit, vous pouvez le laisser à la charge de l'installateur
en sélectionnant l'option "Do not specify an Administrator password at this
time" puis cliquez 2 fois sur le bouton "Next" et sur le bouton "Finish" une
fois l'opération achevée.
 A ce stade, le scénario est opérationnel mais il convient de vous présenter
quelques réglages particulièrement intéressants.
 Pour cela, sélectionnez cette nouvelle séquence de taches puis utilisez le
menu "Action … Propriétés" ou le menu contextuel.
Vous pourrez remarquer que l'onglet "General" permet de revenir sur
plusieurs préférences relatives au déploiement mais surtout que l'onglet "OS
Info" affiche un ou plusieurs boutons permettant d'éditer le(s) fichier(s) de
réponses propres au système d'exploitation
 "Edit Unattend.xml" : Ce bouton apparait pour les distributions Vista et
ultérieures et déclenche l'ouverture du fichier de réponses par défaut avec
l'éditeur associé "Gestionnaire d'image système Windows" (WSIM)
 "Edit Sysprep.inf" "Edit Unattend.txt" : Ces boutons apparaissent pour les
distributions Windows XP ou Windows Server 2003 et déclenche l'ouverture
du fichier de réponses correspondant avec le bloc-notes.
Vous pouvez cliquer sur ce bouton afin de consulter les nombreux réglages
déjà renseignés par défaut.
 Sélectionnez l'onglet "Task Sequence"

Le séquenceur affiché dans cette partie constitue probablement le cœur du
mécanisme MDT. Il a pour mission de piloter de nombreux scripts dont
l'enchainement n'est pas implicitement linéaire. En effet, bien qu'ils soient
modifiables part une poignée d'experts, ces scripts complexes s'exécutent
selon les choix définis et les résultats renvoyés.
Page 334 / 409

Il convient donc de présenter les grandes lignes de son utilisation :

Chaque tache élémentaire (ou script spécialisé) est représentée par une
pastille cochée verte (CH6-IconTask2012.png) (MDT2012) ou un triangle
vert (CH6-IconTask2010.png) avec MDT2010 (Ce symbole est de couleur
grise lorsque la tâche est désactivée).
Les symboles de dossiers (CH6-IconFolder2012.png) ou (CH6-
IconFolder2010.png) permettent d'organiser et regrouper des ensembles de
taches communes. Ces blocs sont parfois divisés en sous-ensembles
optionnels selon les variantes du scénario (ie upgrade, refresh, new…).
Comme indiqué succinctement dans l'introduction de ce chapitre, on peut

distinguer les "phases" de premier niveau qui jalonnent les scénarios
standards.
 "Initialisation": Phase chargée de collecter les informations du poste cible
sur lequel s'exécute le scénario.
 "Validation" : Phase chargée de tester les prérequis généraux du poste
cible tels que la vitesse du processeur ou la quantité de mémoire vive. Cette
tâche est par défaut réitérée lors de l'installation d'un nouveau système.
 "State capture" : Phase optionnelle chargée de sauvegarder les réglages
ainsi que les données d'utilisation et s'appuie essentiellement sur l'outil
"User State Migration Tool" (USMT)
 "Preinstall" : Phase chargée de préparer le poste cible pour l'installation.
Ceci inclut l'injection des pilotes et des mises et pour une nouvelle
Page 335 / 409

installation ("new"), le partitionnement et le formatage des disques. S'il s'agit

d'une mise à jour d'un système existant ("Refresh"), une sauvegarde
préalable est proposée.
 "Install" : Phase chargée de l'installation du système d'exploitation selon
une technique traditionnelle pilotée par le fichier de réponse associé (cf
onglet "OS Info").
 "Postinstall" : Phase chargée d'effectuer la première ouverture de session
automatique (autologon) afin d'exécuter les éventuelles commandes
complémentaires juste après l'installation du système d'exploitation.
Typiquement, la copie locale des scripts nécessaires à la poursuite des
processus au prochain redémarrage.
 "State restore" : Dernière phase fondamentale composée de nombreuses
variantes du scénario, parmi lesquelles vous trouvez typiquement,
l'installation des applications, la restauration des paramètres et données
d'utilisation, l'exécution des taches personnalisées et les éventuels
processus de capture.
La richesse de ce séquenceur ne nous permet pas d'en détailler toutes les
possibilités et nous allons n'en présenter qu'une infime partie:
En effet, à l'instar des taches élémentaires, la plupart des dossiers de premier
niveau sont composés de 2 onglets de configuration chargés de tester une
variable d'ordonnancement des phases (Il reste toutefois déconseillé de les
modifier !)
Chaque tâche élémentaire est également composée de ces mêmes onglets
de configuration.
 "Properties" : Permet d'affecter un nom, une description et configurer les
réglages propres aux actions. Il existe plusieurs types d'action
personnalisables classés au niveau du bouton "Add"'
Le tableau suivant affiche la liste des actions disponibles

Thème Nom de la tache Description de la tache
prédéfinie
General Run Command Line Exécution d’une commande, d’un
script…
Run Powershell script Exécution d’un script Powershell
(MDT2012)
Set Task Sequence Affectation d’une variable
Variable
Restart computer Redémarrage de l’ordinateur
Page 336 / 409

Gather Collecte d’informations

Install Updates Offline Installation de mises à jour
(packages) en mode hors
connexion - selon les profils de
sélection définis dans la
configuration avancée.
Validate Etape de validation des pré-requis
(mémoire, CPU, etc…)
Install Applications Installation d’applications
Inject Drivers Ajout de pilotes selon les profils de
sélection définis dans la
configuration avancée.
Disks Format and Partition Opération de formatage et de
Disk partitionnement de disque
Enable BitLocker Activation du chiffrement intégral
du disque
Create virtual hard disk Création d'un disque virtuel
(VHD)
Images Install Operating System Installation d'un système
d’exploitation
Settings Apply Network Settings (Ré)Affectation de réglages aux
cartes réseau
Capture Network Récupération des réglages actifs
Settings de carte réseau
Recover from domain Réitère le processus de jonction à
un domaine Active Directory
Roles Install Roles and Activation/Désactivation de rôles
Features et/ou fonctionnalités (Windows
Server 2008 / R2)
Configure DHCP Configuration du service DHCP
Configure DNS Configuration Active Directory
Configure ADDS Configuration Active Directory
Authorize DHCP Autorisation du service DHCP dans
Active Directory
Certains de ces réglages permettent d'effectuer plusieurs opérations - Dans

ce cas utilisez les boutons dédiés pour ajouter, modifier les propriétés ou
supprimer une action.
 "Options" : Bien que réservé aux techniciens avertis, cet onglet permet de
désactiver ponctuellement une tache "Disable this step", affecter un numéro
d'erreur qui sera consigné dans les journaux, poursuivre les étapes
Page 337 / 409

suivantes en cas d'erreur ou encore effectuer une ou plusieurs tests ou bien

ajouter des conditions d'exécution de la tâche.
Pour information, l'ensemble des séquences sont consignés dans le dossier

"Control". Chaque séquence de taches est enregistrée dans un fichier
"TS.xml" qui lui est propre, situé dans le sous-dossier attribué lors de la
création d'une nouvelle séquence.
Pour l'exemple, nous allons simplement modifier les phases de

personnalisation des disques. En effet, si vous laissez cette séquence de
tache en l'état, le système Windows sera installé dans une partition NTFS
unique "C:", baptisée "OS Disk", occupant l'intégralité du disque. Cette petite
modification démontre que ces opérations sont beaucoup plus aisées que
celle d'un fichier de réponse.
 Pour cela, développez l'arborescence des taches existantes afin de
sélectionner "Preinstall … New Computer only … Format and Partition
Disks"
 Sélectionnez la ligne "OS Disk (Primary)" dans le cadre de droite puis cliquez
sur le bouton d'édition des propriétés (CH6-iconEditProp.png) afin d'ouvrir
la fenêtre spécifique suivante que nous allons transformer en étape de
création de la partition d'amorçage du système.
:
Page 338 / 409

 Modifier le champ "Partition Name" en entrant la valeur "Boot", puis

sélectionnez l'option "Use spécifique size". Entrez la valeur "100" dans le
champ size et sélectionnez l'unité "MB" dans la liste déroulante. Conservez
l'option "Make this a boot partition" cochée ainsi que les autres réglages
actuels puis cliquez sur le bouton "OK".
 De retour dans la fenêtre des propriétés de cette tâche, cliquez sur le bouton
de création d'item (CH6-iconNewItem.png). Entrez la valeur "SYS", dans
le champ "Partition Name" puis sélectionnez l'option "Use a percentage of
remaining free space". Entrez la valeur "50" au niveau du champ "Size(%)"et
conservez la case "Make this a boot partition" décochée ainsi que le format
"NTFS". Cochez la case "Quick Format" puis cliquez sur le bouton "OK".
 Recommencez cette opération entrant la valeur "DATA", dans le champ
"Partition Name" puis validez vos choix via le bouton "OK".
Avec une bonne dose d'expérience, vous pourriez envisager d'établir un

partitionnement plus intelligent basé sur la taille du disque physique de
destination en appliquant des requêtes WMI pour ces options.
Page 339 / 409

 De retour dans la fenêtre des propriétés de cette tâche, sélectionnez l'élément

"Install … Install Operating System" dans l'arborescence des taches
existantes.
 Entrez la valeur "2" ou utilisez le mini-ascenseur au niveau du champ
"Partition" dans le détail des propriétés.
 Enfin, cliquez sur le bouton "OK" pour valider ces changements et fermer la
fenêtre des propriétés de ce scénario.
Par défaut, le MDT crée une partition d'amorçage de 300Mo nommée

"BDEDrive" lors des installations de Windows 7 ou Windows Server 2008R2.
Pour éviter la création de cette partition d'amorçage, ajoutez manuellement la
directive "DoNotCreateExtraPartition=YES" dans le fichier
"\Control\CustomSettings.ini"
3.6. Configuration détaillée du client "LiteTouch"

Cette dernière phase avant l'exploitation du MDT consiste à générer le client
associé au MDT. Cette opération doit être réalisée pour chaque modification
majeure du MDT, telle que le changement de nom du serveur, du partage ou
l'ajout de nouveau drivers ou packages dans le noyau WinPE.
3.6.1. Préparation du client
Page 340 / 409

Bien que la finalité soit identique, la présentation de l'assistant de création des

clients a été sensiblement modifiée avec le MDT2012. A l'instar des versions
précédentes, le processus génère systématiquement les 2 plateformes
WinPE/LiteTouch 32 et 64 bits
Pour préparer la configuration de ces clients "LiteTouch", procédez comme

suit :
 Sélectionnez la racine du partage dans l'arborescence de la console MDT, soit
"Deployment Shares … MDT Deployment Share" puis utilisez le menu
"Action … Propriétés" ou le menu contextuel.
 Sélectionnez ensuite l'onglet "Windows PE ".
Les réglages sont propres à la plateforme x86 ou x64 sélectionnée dans la

liste déroulante. (par défaut "x86")
Sous l'onglet "General" de la seconde rangée, la première case à cocher
"Generate a Lite Touch Windows PE WIM File" est obligatoirement cochée
et seule le champ "Description" peut être modifié. Pour rappel, le fichier WIM
généré nécessitera son insertion dans une structure d'amorçage tel qu'un
serveur de déploiement WDS au niveau des images de démarrage.
 Pour une utilisation autonome, incluant cette structure de démarrage, cochez
la case "Generate a Lite Touch bootable ISO image". Le fichier .ISO ainsi
généré pourra être gravé sur un média ou bien être associé à une machine
virtuelle.
Page 341 / 409

La partie centrale "Windows PE Customizations" permet de définir quelques

personnalisations :
 "Custom background bitmap file" : Définit l'image de fond d'écran affichée
dans le client WinPE (au format .BMP)
 "Extra directory to add" : Un dossier quelconque (incluant par exemple vos
propres outils) qui sera intégré au noyau WinPE
 "Scratch space size" : Définit l'espace de travail temporaire affecté en
complément du disque mémoire "Ramdrive" de WinPE (variable de 32 à 512
Mo) principalement utilisé par les pilotes
Enfin, la zone "Generic Boot Image Settings" permet de décliner ces
opérations vers un noyau générique. Autrement dit, un client dépourvu du
lancement automatique du client LiteTouch. Un démarrage sur ce type
d'image s'achève donc sur l'invite de commande de WinPE.
 Sélectionnez ensuite l'onglet "Features" de cette seconde rangée et vérifiez
simplement que l'option "Microsoft Data Object Components (MDAC/ADO)
support" est cochée.
 Cet écran permet également d'ajouter quelques compléments linguistiques
tels que les polices de caractères asiatiques ainsi que le client PPPoE
récemment ajouté au MDT 2012.
 Sélectionnez enfin l'onglet "Drivers and Patches" de cette seconde rangée et

utilisez la liste déroulante "Selection profile" afin de sélectionner le profil
"WinPE x86 Drivers" (Pour rappel, ce profil spécifique a été préalablement
créé lors de l'étape d'importation des pilotes additionnels).
Page 342 / 409

La sélection d'un profil personnalisé incluant uniquement les pilotes

nécessaires peut vous dispenser d'effectuer une requête sélective en fonction
des classes de pilotes. En l'absence de profil spécialisé pour WinPE,
sélectionnez le profil "All Drivers" présent par défaut puis cochez les cases
de sélection appropriées à vos besoins. N'oubliez pas de cochez la case
"Include all system-class drivers in selection profile" incluant les pilotes
de composants électroniques (chipsets) parfois nécessaires à la détection
d'autres périphériques.
 Au besoin, vous devez réitérer ces mêmes opérations pour la plateforme x64
 Cliquer sur le bouton "OK" afin de valider vos modifications.
Vous aurez peut être constaté que le MDT 2012 propose dorénavant une
capacité de surveillance à distance des clients. Cette option doit être activée
via l'onglet "Monitoring" de cette interface.
cf http://www.revuedugeek.com/post/2011/11/12/Monitoring-dans-MDT-
2012.aspx
3.6.2. Génération du client "LiteTouch"
La génération du client "LiteTouch" constitue l'ultime étape avant son

exploitation :
 Sélectionnez la racine du partage dans l'arborescence de la console MDT, soit
"Deployment Shares … MDT Deployment Share" puis utilisez le menu
"Action … Update Deployment Share " ou le menu contextuel.
Page 343 / 409

Vous disposez alors de 2 options de génération des images :

 "Optimize the boot image updating process" - Permet de travailler sur
des images existantes et permet de gagner en rapidité de création hormis la
première fois.
 La case à cocher "Compress the boot image …" est censée optimiser la
taille du noyau WinPE en supprimant les composants inutilisés
 "Completely regenerate the boot images" - Ce technique de génération
est plus longue mais permet d'obtenir des images fiables. Utilisez cette
option suite à des modifications importantes du MDT. Préférez cette option
si vous constatez un comportement anormal des clients "LiteTouch"
 Dans notre exemple, sélectionnez l'une ou l'autre des options puis cliquez 2
fois sur le bouton "Next".
Vous trouverez les fichiers résultants de cette génération dans le dossier
"Boot" situé à la racine du point de déploiement.
Une fois générées, ces images WIM LiteTouch peuvent ensuite être intégrées
aux images de démarrage d'un serveur de déploiement Windows (WDS) afin
de bénéficier du démarrage PXE et éventuellement bénéficier du mode
"Multicast*" lors du déploiement des images de distribution. (cf WDS et MDT)*
3.7. Validation détaillée des étapes de mise en œuvre

Disposant d'une configuration opérationnelle, nous allons procéder aux tests
de mise en œuvre au sein de la plateforme technique.
Pour cela, il suffit de créer une nouvelle machine virtuelle en procédant
comme suit :
 Ouvrez la console "Gestionnaire Hyper-V" de votre ordinateur physique puis
virtuel puis utilisez le menu "Action … Nouveau … Ordinateur virtuel".
 Cliquez sur le bouton "Suivant" afin de passer l'écran d'accueil de l'assistant
 Entrez un nom décrivant succinctement cet ordinateur tel que "Test LTI" puis
cliquez sur le bouton "Suivant"
 Conservez la quantité de mémoire proposée "512 Mo" puis cliquez sur le
bouton "Suivant".
Page 344 / 409

 Sélectionnez le réseau virtuel "Interne Hôte" dans la liste déroulante puis

 Au niveau de l'écran des disques virtuels, conservez les réglages proposés,
(nouveau disque virtuel de 127Go à extension dynamique) puis cliquez sur le
bouton "Suivant".
 A l'affichage des options d'installation, sélectionnez l'option "Installer un
système d'exploitation à partir d'un CD/DVD de démarrage" puis l'option
"Fichier image (.iso)" dans le cadre "Média"
 Utilisez le bouton "Parcourir" afin de sélectionner le fichier

"E:\DeploymentShare\Boot\LiteTouchPE_x86.iso" puis cliquez sur le
bouton "Terminer".
 Démarrez ensuite ce nouvel ordinateur virtuel qui n'a pas d'autre alternative
que d'utiliser l'image .ISO insérée.
Après traitement des directives du fichier "bootstrap.ini", l'écran d'accueil du
client "Lite Touch" est affiché
Page 345 / 409

Bien que cela soit peu courant, vous pouvez masquer cet écran en ajoutant la
directive "SkipBDDWellcome=YES" dans le fichier "bootstrap.ini".
Remarque : En cas d'échec durant une phase précédente d'installation

LiteTouch, les dossiers résiduels "MININT" et "_SMSTaskSequence"
peuvent être présents sur le disque système et empêcher l'initialisation du
client. Reportez-vous à la fin de ce chapitre pour l'implémentation éventuelle
d'un palliatif.
Avant de poursuivre cette découverte, vous pourrez remarquer qu'au fil de ses
évolutions successives, l'interface d'accueil du client MDT a été enrichie de
plusieurs choix supplémentaires :
 "Run Deployment Wizard to install a new operating system" : Démarre le
processus "LiteTouch" en affichant la liste des séquences de taches
disponibles sur le partage de déploiement
 "Run the Windows Recovery Wizard" : Démarre l'outil de réparation
WinRE
 "Exit to Command Prompt" : Ouvre une invite de commande WinPE - Pour
reprendre le processus LiteTouch", vous pouvez relancer le script
d'initialisation via la commande suivante :
"X:\Decploy\Scripts\LiteTouch.wsf"
 L'interface propose également la possibilité de choisir une disposition de
clavier ou de définir une adresse IP statique en cas de besoin.
Page 346 / 409

 Après avoir cliqué sur le bouton "Run Deployment Wizard to install a new
operating system" vous serez invité à saisir les identifiants nécessaires à la
connexion vers le partage de déploiement, si ceux-ci ne sont pas renseignés
dans le fichier d'initialisation "bootstrap.ini"
 Au niveau de fenêtre "Credentials", entrez un nom d'utilisateur tel que

"Administrateur" et le mot de passe "Pa$$w0rd" ou un autre compte habilité
à accéder au partage de déploiement. L'ordinateur physique n'étant pas
membre d'un domaine, entrez le nom de l'ordinateur ou l'adresse IP
"192.168.255.254" dans le champ "Domain" puis cliquez sur le bouton "OK"
Ces informations peuvent être préalablement renseignées dans la rubrique

"[Default]" du fichier "bootstrap.ini" et ce respectivement via les directives
"UserDomain=VotreDomaineOuServeur", "UserID=NomUtilisateurMDT" et,
"UserPassword=MotDePasse"
Attention, le fichier de configuration "bootstrap.ini" stocké sur le point de

déploiement est également recopié dans l'image du client (X:\Deploy\Scripts).
En cas de modification, il sera donc nécessaire de mettre à jour (régénérer) le
client via la console MDT en sélectionnant le menu "Upgrade Deployment
Share" disponible sur la racine du point de déploiement "MDT Deployment
Share"
Exemple de fichier "bootstrap.ini"
[Settings]
Priority=Default
[Default]
DeployRoot=\\192.168.255.254\DeploymentShare$
UserID=Administrateur
UserDomain=192.168.255.254
UserPassword=Pa$$w0rd
KeyboardlocalePE=040c:0000040c
Page 347 / 409

Astuce : Pour effectuer rapidement une vérification ou une modification* du

fichier "bootstrap.ini" au sein d'une image WIM, vous pouvez éventuellement
utiliser l'outil "7-Zip" évoqué précédemment. (* sous réserve que le support
ne soit pas en lecture seule)
Nous évoquerons tout au long de ce processus d'installation, la possibilité de

masquer les différents écrans affichés selon vos préférences d'utilisation des
clients "LiteTouch".
Ces fichiers .INI peuvent être modifiés via le bloc-notes ou à partir de la

console MDT via l'onglet "Rules" disponible au niveau des propriétés du point
de déploiement. Cet onglet propose également un bouton "Edit Bootstrap.ini"
dans le coin inférieur droit de cette interface.
Note : Si vous souhaitez inhiber provisoirement une directive ou simplement

ajouter un commentaire, vous devez ajouter un point-virgule en début de
ligne. (Jamais dans le reste d'une ligne sous peine qu'il soit interprété et
engendre une erreur)
Détail des séquences
 Après avoir passé l'écran d'accueil et l'authentification, la liste des séquences

de taches disponibles sur le partage de déploiement est ensuite affichée :
Page 348 / 409

Remarque : Le volet de gauche permettant de suivre la progression des

différentes étapes constitue une nouveauté de l'assistant de déploiement du
MDT 2012
Chacun des choix proposés peut être identifié par le nom (obligatoire) et la
description associée (facultative) définis dans les séquences de tâches. Afin
de mieux illustrer cette présentation, nous avons doté notre exemple de
plusieurs scénarios supplémentaires,
L'affichage d'une séquence de taches ne dépend pas de l'authentification

mais celle-ci peut être ponctuellement masquée en décochant l'option
"Enable this task sequence" disponible sous l'onglet "General" des
"Propriétés" d'une séquence de tache.
Bien que cela ne présente qu'un intérêt très limité, notez que cet écran peut
être masqué en ajoutant manuellement l'une des directives suivantes dans le
fichier "\Control\CustomSettings.ini"
 SkipBuild=YES
 SkipTaskSequence=YES
Il est alors nécessaire d'indiquer le numéro identifiant la séquence de tâches
"TaskSequenceID=" ou "BuildID=" qui sera exécuté par défaut. Il est
également possible d'associer une séquence de tâches propre à un modèle
d'ordinateur.
 Sélectionnez la séquence "Windows 7 Entreprise 32 bits - Tous PC" puis

cliquez sur le bouton "Next".
L'étape suivante vous propose de renseigner le nom qui sera affecté à
l'ordinateur durant l'installation. Un nom aléatoire commençant par "MININT-"
est proposée par défaut.
Page 349 / 409

CH6-18a.png
 Il est toutefois possible d'associer un nom d'ordinateur en fonction de
l'adresse physique de carte réseau (MAC Address). Pour cela, vous devez
modifier le fichier "\Control\CustomSettings.ini" en ajoutant la valeur
"MACAddress" de la directive "Priority=" située dans la section "[Settings]",
puis d'ajouter des nouvelles sections identifiées par l'adresse physique de
carte réseau et contenant la directive "OSDComputerName=" suivi du nom
d'ordinateur souhaité.
 Autrement dit, une fois modifié, le fichier "CustomSettings.ini" devrait
ressembler à ceci :
[Settings]
Priority=MACAddress, Default
Properties=MyCustomProperty
[00:15:5D:17:34:07]
OSDComputerName=REF-MDT-01
SkipComputerName=YES
SkipCapture=NO
SkipDomainMembership=YES
JoinWorkgroup=WORKGROUP
Vous pouvez ajouter la directive "SkipComputerName=YES" pour masquer*

l'écran de saisie du nom d'ordinateur. Le MDT2012 beta 2 regroupe
dorénavant l'écran de nommage de l'ordinateur avec l'écran de jonction à un
domaine ou un groupe de travail. Ce réglage aura pour incidence de griser le
champ du nom d'ordinateur et sélectionnera le champ suivant.
Si vous souhaitez affecter ce genre de réglages spécifiques à une plus

grande échelle, il est conseillé d'associer une base de données au MDT - cf
configuration avancée
Page 350 / 409

 Après avoir validé au besoin le nom d'ordinateur, l'étape suivante vous

propose de joindre un domaine ou un groupe de travail.
Si vous souhaiter installer systématiquement les postes dans un groupe de
travail, sachez que cet écran peut être masqué en ajoutant manuellement les
directives suivantes dans le fichier "\Control\CustomSettings.ini"
 SkipDomainMembership=YES
Stipule le nom du groupe de travail (par défaut "WORKGROUP")
 JoinWorkgroup=WORKGROUP
Ces options peuvent également être spécifiques à un ordinateur particulier en
les ajoutant dans la section de ce dernier au même titre que le nom
d'ordinateur évoqué dans l'exemple précédent.
A l'inverse si vous souhaitez joindre systématiquement les postes à un
domaine Active Directory vous devrez stipuler les directives suivantes dans le
fichier "\Control\CustomSettings.ini"
 SkipDomainMembership=NO
Stipule le nom court ou complet de votre domaine Active Directory
 JoinDomain=LABS.LOCAL
Stipule le nom et mot de passe d'un compte habilité à joindre un ordinateur au
domaine
 DomainAdmin=Install
 DomainAdminPassword=Pa$$w0rd
 DomainAdminDomain=LABS
Stipuler le nom de l'unité d'organisation où sera créé le compte d'ordinateur. A
défaut, le compte d'ordinateur sera créé dans le conteneur "cn=computers…"
 MachineObjectOU=ou=NewComputers,dc=labs,dc=local
Vous pouvez également proposer une liste d'unité d'organisation en ajoutant
des directives "DomainOUs'n'=" dans le fichier "customsettings.ini".
Remplacer 'n' par une valeur numérique et indiquer le nom distinctif pour
chaque unité d'organisation comme par exemple:.
DomainOUs1=OU=Postes Fixes,OU=ENI,DC=LABS,DC=Local
DomainOUs2=OU=Portables,OU=ENI,DC=LABS,DC=Local
DomainOUs3=OU=Serveurs,OU=ENI,DC=LABS,DC=Local
Attention : Le nom distinctif LDAP doit toujours commence par "OU=".

Autrement dit, les conteneurs de type "CN=Computers,…" ne sont pas
acceptés
Vous pouvez également utiliser la directive "MachineObjectOU" pour fixer le
choix par défaut
Astuce : Pour lister les noms distinctifs de vos unités d'organisation, utilisez
simplement la commande "DSQUERY OU" à partir d'une invite de
commande exécutée sur le contrôleur de domaine.
Les valeurs spécifiées seront affichées sous la forme d'une liste déroulante
dans l'assistant de déploiement afin de simplifier la saisie par l'installateur
Page 351 / 409

 A défaut, nous poursuivrons cet exemple en conservant l'option "Join a

workgroup", avec le nom proposé "WORKGROUP" puis cliquez sur le bouton
"Next".
L'étape suivante vous propose de restaurer les paramètres et données
d'utilisateur préalablement sauvegardées via l'outil USMT (User State
Migration Tool) vers un partage réseau.
CH6-19a.png
Si vous n'utilisez pas cette option de restauration (impliquant une sauvegarde
préalable via USMT) vous pouvez masquer cet écran en ajoutant
manuellement les directives suivantes dans le fichier
 SkipUserData=YES
 UserDataLocation=NONE
 Pour notre exemple, conservez l'option par défaut "Do not restore user data
and settings" sélectionnée, puis cliquez sur le bouton "Next".
L'étape suivante vous demande la saisie d'une clé de licence à moins que
vous ayez, modifié cette option globale lors de l'installation du MDT comme
mentionné précédemment.
Page 352 / 409

Pour rappel, vous pouvez masquer cet écran en ajoutant manuellement la

directive suivante dans le fichier "\Control\CustomSettings.ini"
 SkipProductKey=YES
Notez toutefois, que lors de la création d'une séquence de taches, l'assistant
vous propose de renseigner (ou ignorer) en fonction du système d'exploitation
installé, la clé de licence qui sera alors stockée dans le fichier de réponse
correspondant.
Si vous avez ajouté des packs de langues supplémentaires au niveau de la

rubrique "packages", l'étape suivante vous propose d'en sélectionner en
fonction de vos besoins.
Notez que le pack de langue intégré au sein du système d'exploitation choisi

est automatiquement détecté et déjà sélectionné
Page 353 / 409

Vous pouvez masquer cet écran en ajoutant manuellement la directive

suivante dans le fichier "\Control\CustomSettings.ini"
 SkipPackageDisplay=YES
 Cochez éventuellement le pack de langue désiré puis cliquez sur le bouton
"Next"

L'étape suivante vous demande de valider les préférences régionales du

système d'exploitation installé. Le MDT2012 regroupe dorénavant cet écran
avec le réglage du fuseau horaire.
CH6-22a.png
Vous pouvez figer ces réglages en ajoutant manuellement les directives
suivantes dans le fichier "\Control\CustomSettings.ini" (Pour la
France)
Page 354 / 409

 SkipLocaleSelection=YES
Stipuler le clavier et la langue du système installé
 KeyboardLocale=040C:0000040C
 UserLocale=fr-FR
 UILanguage=fr-FR
La seconde partie consiste à définir le fuseau horaire qui sera affecté au

système d'exploitation installé. A l'instar de préférences régionales, vous
pouvez masquer cette partie en ajoutant manuellement les directives
suivantes dans le fichier "\Control\CustomSettings.ini"
 SkipTimeZone=YES
Stipuler le fuseau horaire pour la France
 TimeZone=105
 TimeZoneName=Romance Standard Time
Si les 2 directives de masquage sont positionnées sur "YES", cet écran n'est
plus affiché.
 Vérifiez que les réglages par défaut sont bien positionnés sur "French …" et
après avoir sélectionné le fuseau horaire adéquat dans la liste déroulante,
cliquez sur le bouton "Next".
L'étape suivante affiche les applications disponibles sur le point de

déploiement. Ces choix restent à la discrétion de l'installateur et les
applications sélectionnées (ainsi que leurs dépendances éventuelles cochées
ou non) seront installées dans la foulée du système d'exploitation. (Reportez-
vous à l'explication précédente à propos de la définition des applications)
Il est généralement préférable de conserver cet écran bien que celui-ci puisse
être également masqué en ajoutant manuellement les directives suivantes
dans le fichier "\Control\CustomSettings.ini"
 SkipApplications=YES
 SkipAppsOnUpgrade=YES
Page 355 / 409

Pour sélectionner et/ou installer des applications par défaut, vous devrez
ajouter les identifiants GUID de celles-ci dans ce même fichier, comme par
exemple
 Applications001={1a7b58f6-5de8-4fb0-bcc9-88653ff810f4}
 Applications002={e34ff5f1-2a52-43d2-89ff-2d13aef76233}
 Applications003={c1ac9665-b9da-4db3-9e14-b729a9e09859}
Si vous optez pour une installation manuelle et que le nombre d'application est
important, nous vous conseillons d'organiser celles-ci sous la forme
d'ensemble d'application ("bundle") ou de sous-dossiers afin de simplifier les
sélections effectués par l'installateur.
 Après avoir coché les applications désirées, comme par exemple "Adobe
Reader 10.1.0", cliquez sur le bouton "Next".
L'étape suivante permet de définir le mot de passe de l'administrateur local à

moins que vous ayez là encore, inhibé cette option globale lors de l'installation
du MDT.
Pour rappel, vous pouvez afficher de nouveau cet écran en ajoutant

manuellement la directive suivante dans le fichier
"\Control\CustomSettiings.ini"
 SkipAdminPassword=NO
Comme pour la clé de licence, l'assistant de création d'une séquence de
taches vous propose de renseigner (ou ignorer) ce mot de passe qui sera
alors stocké dans le fichier de réponse correspondant.
Attention, au sein des distributions originales, le compte administrateur

intégré ne dispose d'aucun mot de passe, alors que le MDT réactive ce
compte par défaut.
 Après avoir saisie et confirmé le mot de passe du compte d'administrateur
intégré, cliquez sur le bouton "Next".
Page 356 / 409

L'étape suivante propose d'effectuer une capture préalable d'un ordinateur de

référence mais cette opération s'avère inutile lorsque qu'il d'un nouveau poste
de travail.
A l'instar de la clé de licence, vous avez probablement masqué cet écran via
l'option globale proposée lors de l'installation du MDT comme mentionné
précédemment.
Pour rappel, vous pouvez afficher de nouveau cet écran en ajoutant
manuellement la directive suivante dans le fichier
 SkipCapture=NO
Cette directive peut être consolidée ou inversée via l'option "DoCapture",
typiquement valorisée à "YES" pour un scénario appliqué sur un poste de
référence. Autrement dit, l'entrée "DoCapture=NO" masque également l'écran
de capture
L'étape suivante ne concerne que les installations des postes Windows "NT6"
Editions Intégrale ou Entreprise et propose de mettre en œuvre le
chiffrement intégral de disque "BitLocker"
Page 357 / 409

Sachant que cette opération n'est pas destructive et peut être réalisé à
postériori, vous pouvez masquer cet écran en ajoutant manuellement la
 SkipBitLocker=YES
Pour plus d'information du cette technologie "Bitlocker", reportez-vous sur les

explications fournies en annexe de ce document.
 Conservez l'option "Do not enable Bitlocker for this computer" puis cliquez
sur le bouton "Next".
L'ultime écran affiche un résumé des options sélectionnées durant les étapes
précédentes. Cliquez sur le bouton "Details…." pour développer l'affichage :
Page 358 / 409

Bien qu'il soit préférable de conserver cette étape de vérification, vous pouvez
cependant masquer cet écran en ajoutant manuellement la directive suivante
dans le fichier "\Control\CustomSettings.ini"
 SkipSummary=YES
 Cliquez sur le bouton "Begin" pour lancer le processus d'installation

automatisé.
L'affichage du séquenceur au premier plan vous permet de suivre la

progression des différentes étapes, et ne requiert plus aucune intervention de
la part de l'installateur
Page 359 / 409

Notez qu'il est également possible de personnaliser le nom "IT Organization"

affiché par défaut. Pour cela, il suffit d'ajouter manuellement la directive
suivante dans le fichier "\Control\CustomSettings.ini"
 _SMSTSORGNAME=ENI-Service
Ce paramètre particulier est préfixé par le caractère de soulignement.
A la fin du processus, le poste est opérationnel et indique le résultat de

l'installation. Un fond rouge est affiché en cas d'erreur critique et un fond jaune
pour un avertissement non bloquant.
C'est à ce stade que les dossiers provisoires "MININT" et

"_SMSTaskSequence" sont détruits. En cas d'anomalie ou d'interruption
volontaire du processus, ces dossiers sont conservés et bloque une nouvelle
tentative d'installation. Reportez-vous au chapitre sur la configuration avançée
pour l'implémentation d'un éventuel palliatif.
Une fois vos séquences vérifiées et validées, vous pourrez masquer cet écran
et définir le comportement final en ajoutant manuellement les directives
suivantes dans le fichier "\Control\CustomSettings.ini"
 SkipFinalSummary=YES
 FinishAction = LOGOFF | SHUTDOWN | RESTART | REBOOT
 Cliquez sur le bouton "Finish" pour clore le processus d'installation.
Par défaut, le MDT crée une partition d'amorçage de 300Mo nommée

"BDEDrive" lors des installations de Windows 7 ou Windows Server 2008R2.
Page 360 / 409

Pour éviter la création de cette partition d'amorçage, ajoutez manuellement la

 DoNotCreateExtraPartition=YES
Cet exemple ne vous a présenté qu'une infime partie des réglages disponibles
dans le MDT, et particulièrement du fichier de configuration
"CustomSettings.ini".
Pour information, ce fichier, disponible dans les fichiers complémentaires de
cet ouvrage, ressemblerait approximativement à ceci:
[Settings]
Priority=Default
[Default]
OSInstall=Y
SkipDomainMembership=NO
JoinDomain=LABS.LOCAL
DomainAdmin=Install
DomainAdminPassword=Pa$$w0rd
DomainAdminDomain=LABS
SkipUserData=yes
UserDataLocation=NONE
SkipProductKey=YES
SkipPackageDisplay=YES
SkipLocaleSelection=YES
KeyboardLocale=040C:0000040C
UserLocale=fr-FR
UILanguage=fr-FR
SkipTimeZone=Yes
TimeZone=105
TimeZoneName=Romance Standard Time
SkipAppsOnUpgrade=NO
SkipApplications=NO
SkipAdminPassword=YES
SkipCapture=YES
DoCapture=NO
SkipBitLocker=YES
SkipSummary=NO
; Miscellaneous settings
DoNotCreateExtraPartition=YES
WSUSServer=http://WSUS-Srv
_SMSTSORGNAME=ENI-Service
Page 361 / 409

Astuce : Vous pouvez ajouter des commentaires, ou inhiber une directive au

sein des fichiers .INI, en préfixant la ligne par un point-virgule ";"
4. Configuration affinée du MDT (facultatif)

Cette partie complémentaire est destinée à vous présenter quelques rouages
avancés de l'atelier de déploiement MDT. En effet, jusqu’à présent nous
avons effleuré quelques possibilités de personnalisation, principalement axées
autour du fichier de configuration global "CustomSettings.ini", et nous vous
proposons d'explorer d'autres facettes spécifiques permettant d'exploiter
pleinement le potentiel du MDT
4.1. Complémentarité WDS et MDT

Pour cette opération, vous pouvez utiliser le disque virtuel créé précédemment
et l'associer en tant que disque supplémentaire du serveur "WDS". Nous
considérons donc que les 2 machines virtuelles "DCLabs" et "WDS-Labs" sont
en cours d'exécution.
 Dans un premier temps, il est nécessaire de détacher le disque dur virtuel
utilisé durant ce chapitre, de la plateforme physique en procédant comme suit.
A partir du gestionnaire de disque (Diskmgmt.msc), repérez et sélectionnez le
disque "MDT" auquel la lettre "M:" est théoriquement associée
 Utilisez le menu " Action … Toutes le taches … Détacher un disque dur
virtuel…" ou le menu contextuel. A l'occasion, copiez le chemin complet de
ce fichier dans le presse papier, conservé l'option de suppression décochée,
puis cliquez sur le bouton "OK" pour confirmer l'opération.
Avant de poursuivre, nous considérons que les 2 machines virtuelles
"DCLabs" et "WDS-Labs" sont en cours d'exécution.
 A partir de la console du "Gestionnaire Hyper-V" sélectionnez la machine
virtuelle "WDS-Labs", et utilisez le menu "Action … Paramètres …" ou le
menu contextuel.
 Dans la zone "Matériel" à gauche, sélectionnez l'option "Contrôleur SCSI",
ainsi que la ligne "Disque dur" dans le cadre de droite puis cliquez sur le
bouton "Ajouter".
 Collez le chemin complet du fichier dans le champ "Fichier de disque du
virtuel (.vhd) :" ou cliquez sur le bouton "Parcourir" afin de le sélectionner,
puis cliquez sur le bouton "Appliquer" puis sur le bouton "OK".
Page 362 / 409

 Ouvrez la console de la machine virtuelle "WDS-Labs" et ouvrez une session

avec un compte d'administrateur.
 Démarrez le gestionnaire de disque (Diskmgmt.msc), au sein duquel un
nouveau disque dur "Disque 1" devrait apparaitre marqué "Hors connexion".
 Sélectionnez ce disque, puis utilisez le menu " Action … Toutes le taches …

En ligne …" ou le menu contextuel. Une lettre d'unité (eg "F:") lui est
automatiquement associée.
Afin d'exploiter le contenu de ce nouveau disque à partir du serveur, il est
nécessaire d'installer la console MDT ainsi que le WAIK sur le serveur WDS
dont nous ne détaillerons pas la procédure déjà traitée précédemment. Vous
pouvez par exemple partager le dossier contenant vos téléchargements sur la
plateforme physique, puis connecter cette ressource via un lecteur réseau de
cette machine virtuelle.
 Une fois ces prérequis installés, exécutez la console "Deployment
Workbench" présente dans le menu "Démarrer". Sélectionnez ensuite la
rubrique "Deployment Shares" puis utilisez le menu "Action … Open
Deployment Share" ou le menu contextuel.
 Entrez le nom "F:\DeploymentShare" ou cliquez sur le bouton "Browse" pour
sélectionner le dossier racine du partage de déploiement situé sur le lecteur
"F:" dans notre exemple. Cliquez deux fois sur le bouton "Next" puis sur le
bouton "Finish".
Page 363 / 409

 Développez l'arborescence "MDT Deployment Share" afin de constater que

les ressources précédemment installées sont bien disponibles.
Le changement d'environnement du MDT au sein de cette maquette nécessite
quelques aménagements de configuration.
 Sélectionnez la rubrique "MDT Deployment Share" afin d'utiliser le menu
"Action … Propriétés" ou le menu contextuel, puis sélectionnez l'onglet
"Rules".
 Cliquez ensuite sur le bouton "Edit Bootstap.ini" et modifiez le fichier comme
suit:
[Settings]
Priority=Default
[Default]
DeployRoot=\\WDS\DeploymentShare$
UserID=Install
UserDomain=Labs
UserPassword=Pa$$w0rd
KeyboardlocalePE=040c:0000040c
 Fermez le bloc-notes et enregistrez les modifications.

 Modifiez ensuite le contenu du fichier CustomSettings.ini directement dans
cette fenêtre comme suit:
[Default]
OSInstall=Y
SkipDomainMembership=NO
JoinDomain=LABS.LOCAL
DomainAdmin=Install
DomainAdminPassword=Pa$$w0rd
DomainAdminDomain=LABS
 Validez ces modifications en cliquant sur bouton "Appliquer" puis fermez la

fenêtre via le bouton "OK".
A ce stade, le MDT est opérationnel sous réserve d'actualiser les clients
LiteTouch et les mettre à disposition des postes concernés par un
déploiement.
4.1.1. Intégration des clients LiteTouch dans WDS
Comme nous l'avons vu précédemment, le processus de création des clients

LiteTouch à partir de la console MDT, génère les fichiers .WIM (et
éventuellement .ISO). Les fichiers .WIM sont donc directement exploitables en
tant qu'image de démarrage sur le serveur WDS.
 Au niveau de la console MDT, sélectionnez la rubrique "MDT Deployment
Share" afin d'utiliser le menu "Action … Update Deployment Share " ou le
menu contextuel.
Page 364 / 409

 Sélectionnez éventuellement l'option "Completely regenerate the boot

images.", puis cliquez deux fois sur le bouton "Next". Après quelques minutes
de patience, cliquez sur le bouton "Finish" pour fermer la fenêtre de résultats.
 Ouvrez le console du serveur WDS à partir du menu "Démarrer … Outils
d'administration … Services de déploiement Windows" (ou
"wdsmgmt.msc")
 Développez l'arborescence du serveur afin de sélectionner la rubrique
"Images de démarrage" puis utilisez le menu "Action … Ajouter une image
de démarrage" ou le menu contextuel.
 Utilisez le bouton "Parcourir" afin de sélectionnez le fichier
"F:\DeploymentShare\Boot\LiteTouchPE_x86.wim" puis cliquez sur le
bouton "Suivant".
 Conservez ou modifier les noms proposés "Lite Touch Windows PE (x86)"

puis cliquez deux fois sur le bouton "Suivant". Cliquez sur le bouton
"Terminer" une fois le processus d'importation achevé.
Réitérez éventuellement ces opérations pour l'image 64 bits
"LiteTouchPE_x64.wim".
Page 365 / 409

4.1.2. Intégration des mages WDS dans MDT
Le référencement des images d'installation d'un serveur WDS au sein du MDT

engendre quelques contraintes:
 1 - L'édition du fichier de réponse n'est pas supportée. (Pour rappel, WDS
utilise des fichiers WIM et RWM, et l'éditeur requiert un fichier de catalogue
.CLG). Pour pallier cette contrainte, et éditer le fichier de réponse, vous
pouvez provisoirement modifier la référence du fichier en pointant sur une
distribution équivalente dans le MDT.
 2 - Le programme d'installation n'est pas disponible dans les images
d'installation d'un serveur WDS mais dans les images de démarrage. Il est
donc nécessaire d'installer au moins une distribution complète dans la
rubrique "Operating System" du MDT.
 3 - L'importation vers le MDT s'effectue sur la totalité des images
d'installation présentes sur le serveur WDS. Au besoin vous devrez
supprimer les images superflues dans la console MDT.
Pour rappel, il n'y a pas de lien ou synchronisation automatique entre les

pilotes additionnels du MDT et ceux éventuellement déclarés sur le serveur
WDS
 Pour importer les images d'installation présentes sur le serveur WDS vers le
MDT, ouvrez la console MDT puis sélectionnez l'élément "Operating System"
Vous pouvez éventuellement créer un nouveau dossier "Action … New
folder" afin de distinguer les images hébergées par le MDT de celles
présentes sur le serveur WDS.
 Utilisez le menu "Action … Import Operating System" ou le menu contextuel
puis sélectionnez l'option "Windows Deployment Service".
 Cliquez sur le bouton "Next" puis entrez le nom du serveur "WDS"
Page 366 / 409

 Cliquez deux fois sur le bouton "Next" puis sur le bouton "Finish" pour fermer
la fenêtre de résultats.
Le nom des images d'installation ainsi que leur groupe de stockage respectif
sont explicitement mentionnés dans la console MDT. Eg : "Windows 7 in WDS
group Windows 7 DVD …)
Maintenant, vous pouvez déclarer de nouvelles séquences de taches
destinées à distribuer ces images ou modifier des séquences existantes en
procédant comme suit:
 Sélectionnez la séquence de tache désirée puis utilisez le menu "Action …
Propriétés" ou le menu contextuel puis sélectionnez l'onglet "Task
sequence".
 Développez la structure des taches afin de sélectionner la tâche "Install …
Install Operating System".
 Cliquez ensuite sur le bouton "Browse" puis sélectionnez l'une des images
d'installation importée du serveur WDS et validez via le bouton "OK". Cliquez
enfin sur le bouton "OK" pour fermer la fenêtre de propriétés.
Page 367 / 409

Il peut être nécessaire de rappeler que c'est le processus "LiteTouch" du

MDT qui pilote entièrement l'installation. Autrement dit, afin d'éviter toute
confusion, n'affectez aucun fichier de réponse aux images hébergées sur le
serveur WDS si celle-ci doivent être déployées par le MDT. De même
l'éventuelle jonction au domaine est déterminée par la séquence de tâches et
les options du serveur WDS sont ignorées dans ce cas.
4.1.3. Multidiffusion WDS
Pour accélérer les déploiements de masse, le MDT est en mesure d'exploiter

la fonctionnalité de diffusion générale (multicast) du serveur WDS. Cette
option doit être activée dans l'onglet "General" des propriétés du partage de
déploiement "MDT Deployment Share".
Il n'est pas nécessaire de déclarer les flux qui seront initialisés par le
mécanisme d'installation du MDT. En effet, l'activation cette option de
multidiffusion au niveau de MDT engendre la création automatique d'un flux
nommé "MDT Share DeploymentShare$" sur le serveur WDS. Cette entrée
est créée durant la phase de mise à jour du "DeploymentShare" (Indication
"=== Enabling Multicast ===" dans le résultat de l'assistant de mise à jour.)
Page 368 / 409

Attention, la multidiffusion est intimement liée à la configuration et aux

capacités intrinsèques du commutateur réseau. Par exemple, si vous tentez
d'activer ce type de transmission (multicast) sur des commutateurs virtuels
affectés à des connexions internes ou privées, le processus MDT ignorera la
multidiffusion et basculera de fait sur une transmission de l'image en
monodiffusion (unicast).
Vous pourrez également remarquer que la jauge de progression de la

multidiffusion n'indique pas correctement l'état d'avancement. En revanche,
vous pouvez suivre cette progression au sein de la console du serveur WDS.
Page 369 / 409

 Pensez à mettre à jour le client LiteTouch suite à l'activation de l'option

"Multicast"
L'activité des flux de multidiffusion globale peut être plus finement surveillée
via les compteurs de l'analyseur de performances (perfmon) en ajoutant les
compteurs sur "Serveur de multidiffusion WDS"
4.2. Les rubriques de configuration avancées

Pour votre gouverne, et étendre vos perspectives d'implémentation du MDT,
nous vous proposons de revenir ou développer les éléments de configuration
avancés.
4.2.1. Profils de sélection (Selection Profiles)
Comme le nom l'indique, ces profils de sélection permettent de définir

précisément le périmètre des éléments à prendre en compte lors des
opérations de configuration du MDT.
Nous avons déjà abordé ce sujet pour une intégration affinée des pilotes au
sein des noyaux WinPE. Les profils de sélection sont également adaptés à
une gestion optimisée des packages, des points de déploiement liés ainsi qu'à
la génération de médias LiteTouch.
Page 370 / 409

Directement dépendant des structures de dossiers, un profil de sélection

correspond simplement à un choix défini de certains dossiers.
Les profils de sélection par défaut dans MDT 2012 sont :

 Everything : Intégralité du contenu à partir de la racine ("DS00X:\")
 All drivers : Tous les sous-dossiers situés sous "Out-of-Box Drivers"
 All drivers and packages : Tous les sous-dossiers situés sous "Out-of-Box
Drivers" et sous "Packages"
 All packages : Tous les sous-dossiers situés sous "Packages"
 Nothing : N'intègre aucun dossier
 Sample : Pour l'exemple, intègre les sous-dossiers situés sous "Packages"
et sous "Task sequences"
Hormis le dernier, vous pourrez constater que les profils prédéfinis peuvent
être consultés mais ne peuvent pas être modifiés, ni supprimés. Cette
information est stipulée dans la colonne "Readonly" (lecture seule)
Vous pouvez créer, modifier, ou consulter autant de profils que nécessaire via
le menu "Propriétés" d'un profil.
Page 371 / 409

Utilisez simplement les cases à cocher pour inclure ou exclure des dossiers
du profil sélectionné. Le nom et les commentaires sont également modifiables.
Cliquez sur le bouton "Appliquer" et/ou le bouton "OK" pour enregistrer les
modifications.
En présentant les profils, vous comprendrez l'importance et l'intérêt des créer
des sous-dossiers afin de faciliter la granularité des opérations
4.2.2. Partages de déploiement liés (Linked Deployment Shares)
Cette nouveauté de MDT 2010 permet de lier plusieurs points de déploiement

afin d'implémenter un mécanisme de réplication et de synchronisation
simplifiés. Plusieurs cas de figure peuvent être envisagés:
 Administration à distance : La console MDT est installée sur un poste alors
que les ressources sont sur un serveur de fichier distant sur lequel la
console ne peut être installée.
 Relation entre des environnements isolés de production et les réseaux de
tests (eg: "\\MDT01\Prod"  "\\MDT02\Labs" )
 Gestion centralisée des points de déploiement hébergés dans des
succursales.
 Pour créer un point de déploiement lié, sélectionnez la rubrique "Linked
Deployment Shares" puis utilisez le menu "Action …New Linked
Deployment Share" ou le menu contextuel.
 Indiquez ensuite le chemin de partage dans le champ "Linked deployment
share UNC path:" et entrez éventuellement un commentaire de description.
Vous pouvez également choisir un profil de sélection existant afin de limiter la
réplication aux éléments appropriés au site distant.
Page 372 / 409

Notez que vous avez la possibilité d'opter pour une complémentarité ou un

écrasement de la ressource distante en choisissant respectivement l''option
Merge … " ou "Replace…"
 Cliquez deux fois sur le bouton "Next" puis sur le bouton "Finish"
 Pour déclencher le mécanisme de réplication, sélectionnez la référence de ce
lien puis utilisez le menu "Action …Replicate content" ou le menu
contextuel.
Attention, bien que le mécanisme de réplication MDT soit optimisé pour ne

transférer que les fichiers modifiés, celui-ci n'est pas implicitement adapté
aux liaisons lentes. Dans ce cas vous devrez recourir à des solutions plus
adaptées à ces situations telles que le système de fichier distribué (DFS) ou
l'outil "Robocopy" qui sont en mesure de synchroniser des contenus de
fichiers par blocs différentiels.
Notez que le processus de réplication met à jour et régénère les images des
clients LTI (dossier "Boot") afin d'adapter les références, chemin UNC et nom
du partage, à la structure distante.
 Cliquez sur le bouton "Finish" une fois la réplication achevée.
4.2.3. Média (Media)
Page 373 / 409

Cette option permet de générer un média autonome dans le cas où les

réseaux ne seraient pas adaptés aux flux de déploiement. En fait, l'idée
consiste à intégrer tout ou partie de la structure MDT (selon les profils de
sélection choisis) sur un média amovible.
Cette opération génère donc une image .ISO intégrant une amorce WinPE
(client LiteTouch). Bien qu'il soit possible de graver cette image sur un support
DVD, l'utilisation d'un disque dur USB sera plus appropriée pour des raisons
de capacité et simplicité de mise à jour.
4.2.4. La base de données (Database)
L'association d'une base de données au MDT peut s'avérer très utile. Sachant
qu'il est possible d'indiquer des déclinaisons d'installation par poste dans le
fichier "CustomSettings.ini", et/ou définir des séquences de taches
spécifiques, le recours à une base de données telle que la version gratuite de
SQL Server, ouvre la voie d'un déploiement maitrisé à grande échelle.
A titre d'exemple, nous vous proposons de réaliser l'implémentation de base
de cette possibilité. En premier lieu, vous devez télécharger le produit
"Microsoft SQL Server 2008 R2 Express avec les outils d'administration" à
l'adresse suivante :
http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=967225EB-
207B-4950-91DF-EEB5F35A80EE
Vous aurez le choix entre les versions 32 ou 64 bits :
 SQLEXPRWT_x64_FRA.exe : 279,5 Mo
 SQLEXPRWT_x86_FRA.exe : 264,3 Mo
Dans notre exemple nous opterons pour la machine virtuelle WDS-Labs sur
laquelle est installé le MDT. Pour des raisons de performances, nous avons
alloué des ressources processeur et mémoire vive supplémentaires (2xCPU +
1024Mo).
Avant de procéder à l'installation de SQL Server, assurez-vous que la
fonctionnalité ".NET Framework 3.5.1" est bien activée. Vous pouvez réaliser
cette opération via l'assistant d'ajout de fonctionnalités du gestionnaire de
serveur.
Installation et configuration de la base SQL
 Après avoir ouvert une session en tant qu'administrateur du domaine sur la

machine virtuelle "WDS-Labs", exécutez le programme d'installation de SQL
approprié (eg: SQLEXPRWT_x64_FRA.exe).
Ce programme génère un dossier temporaire sur le disque disposant du plus
grand espace libre disponible afin d'y 'extraire les fichiers puis ouvre l'assistant
d'installation.
Page 374 / 409

 Cliquez sur le lien "Nouvelle installation …." Puis patientez durant le

traitement des règles d'installation (évaluation des prérequis).
 Cochez la case "J'accepte les termes du contrat de licence.", puis cliquez

sur le bouton "Suivant" et patientez encore quelques instants jusqu'à l'a
apparition de l'écran de sélection des fonctionnalités.
Page 375 / 409

 Décochez éventuellement les options "Réplication SQL Server" et "Kit de

développement…" puis cliquez sur le bouton "Suivant"
 Conservez le nom de l'instance nommée "SQLExpress" puis cliquez sur le

bouton "Suivant"
Page 376 / 409

 Modifiez le type de démarrage sur "Automatique" au niveau de la ligne "SQL

Service Browser" puis cliquez sur le bouton "Suivant"
Au niveau de l'écran de configuration du moteur de base de données, vous
pouvez conserver les valeurs par défaut "Mode d'authentification Windows"
mais il est conseillé de ne pas conserver un compte unique. (Compte
d'installation par défaut). En l'absence d'un groupe spécialisé d'administration
des serveurs SQL, vous pouvez utiliser le groupe d'administrateurs de
domaine par exemple.
 Cliquez sur le bouton "Ajouter…", saisissez le nom "Admins du domaine" et
cliquez sur le bouton "Vérifier les noms" puis sur le bouton "OK" pour valider.
Page 377 / 409

 Cliquez deux fois sur le bouton "Suivant" afin que le processus d'installation
SQL démarre.
 Cliquez sur le bouton "Fermer" une fois l'installation achevée puis fermez le
centre d'administration SQL Server.
 Ouvrez l'outil "Gestionnaire de configuration SQL Server" à partir du menu
"Démarrer … Microsoft SQL Server 2008 R2 … Outils de configuration"
puis sélectionnez la rubrique "Protocole pour SQLExpress" sous
"Configuration du réseau pour SQL Server"
 Sélectionnez le protocole "Canaux nommés" puis utilisez le menu "Action …

Activer" ou le menu contextuel. Fermez la fenêtre d'avertissement en cliquant
sur le bouton "OK".
 Sélectionnez la rubrique "Services SQL Server", puis la ligne "SQL Server
(SQLExpress)" et utilisez le menu "Action … Redémarrer" ou le menu
contextuel. Fermez la fenêtre du gestionnaire de configuration SQL Server.
Les clients doivent pouvoir entrer en communication avec la base de données
et il est donc nécessaire d'ajouter un règle de port entrant UDP 1434 ou
autoriser la communication avec le service en procédant comme suit :
 A partir du panneau de configuration ou du champ "Recherche" du menu
"Démarrer" ou ouvrez l'interface simplifiée de gestion du pare-feu "Autoriser
un programme via le pare-feu Windows" puis cliquez sur le bouton
"Autoriser un autre programme"
Page 378 / 409

 Utilisez le bouton "Parcourir" afin de localiser le fichier "sqlbrowser.exe"

situé dans le dossier "C:\Program Files (x86)\Microsoft SQL
Server\90\Shared" puis cliquez sur le bouton "Ouvrir"
 Vérifier que la règle s'applique bien aux profils concernés en cliquant sur le
bouton "Types d'emplacements réseau…" puis cliquez sur le bouton "OK".
Cliquez de nouveau sur le bouton "OK" pour fermer la fenêtre des
programmes autorisés.
 Démarrez la console MDT via le raccourci "Deployment Workbench" puis
développez l'arborescence "Deployment Shares" afin de sélectionner la
rubrique "… Advanced configuration … Database".
 Utilisez le menu "Action … New database" ou le menu contextuel
Page 379 / 409

 Entrez respectivement "WDS" puis "SQLExpress" dans les champs "SQL

Server name" et "Instance". Laissez le champ "Port" vide et conservez
"Named pipes" dans le champ "Network Library" puis cliquez sur le bouton
"Next"
 Sélectionnez l'option "Create a new database" et entrez "MDT" dans le
champ "Database" puis cliquez sur le bouton "Next"
 Entrez le nom "DeploymentShare$" dans le champ "SQL Share" puis cliquez

deux fois sur le bouton "Next" et sur le bouton "Finish".
+ Configuration des permissions pour la base de données

Dans cet exemple, nous allons arbitrairement octroyer des droits de lecture
sur la base de données du MDT au groupe Techniciens Postes.
Concrètement, ce privilège doit être affecté aux comptes utilisés durant les
phases d'installation du MDT (Le compte "Labs\Install" dans notre exemple).
 Ouvrez l'outil "SQL Server Management Studio" à partir du menu "Démarrer

… Microsoft SQL Server 2008 R2" et entrez "WDS/SQLExpress" dans le
champ "Nom du serveur" puis cliquez sur le bouton "Se conn."
Page 380 / 409

 Développez l'arborescence afin de sélectionner la rubrique "Sécurité …

Connexion" puis utilisez le menu contextuel "Nouvelle connexion".
 Dans cette fenêtre "Nouvelle connexion". la sélection de page "Général" en
haut à gauche est active par défaut, cliquez sur le "Rechercher" dans le
cadre de droite.
 Dans la boite de dialogue "Sélectionnez un utilisateur ou un groupe",
cliquez sur le bouton "Type d'objets…" et cochez la case "des groupes" puis
sur le bouton "OK". Cliquez sur le bouton "Emplacements…" et sélectionnez
"Tout l'annuaire … labs.local" puis cliquez sur le bouton "OK". Entrez "Tech"
dans le champ "nom d'objet" puis cliquez sur le bouton "Vérifier les noms"
puis cliquez enfin sur le bouton "OK" pour fermer cette boite de dialogue.
 Dans cette même page, sélectionnez "MDT" dans la liste déroulante "Base de
donnée par défaut"
 Au niveau du cadre "Sélectionner une page", cliquez sur "Mappage de

l'utilisateur", puis cochez la case de la colonne "Mappage" correspondante à
la base de données "MDT". Cochez ensuite la case "db_datareader" dans le
cadre "Appartenance au rôle …." puis cliquez sur le bouton "OK"
Page 381 / 409

 Après avoir vérifié que la nouvelle entrée "LABS\Techniciens Postes"

apparait bien sous l'aborescence "Sécurité … Connexions", vous pouvez
fermer la fenêtre de "SQL Server Management Studio"
A ce stade, la phase de configuration de la base donnée est pratiquement
achevée et il ne reste plus qu'à configurer les propriétés du point de
déploiement.
Cette phase particulièrement riche en options, consiste à définir les critères de
sélection qui seront utilisés par les scénarios d'installation du MDT. Ces
réglages s'intègrent dans le fichier de configuration global
"CustomSettings.ini" que nous avons largement développé durant ce chapitre.
A toutes fins utiles, vous pouvez sauvegarder ce fichier avant de procéder à

la mise en œuvre des opérations suivantes.
 Démarrez la console MDT via le raccourci "Deployment Workbench" puis

développez l'arborescence "Deployment Shares" afin de sélectionner la
rubrique "… Advanced configuration … Database".
Page 382 / 409

Sous la rubrique "Database", vous pouvez d'ores et déjà constater la

présence de 4 sous-ensembles : "Computers", "Roles", "Locations" et "Make
and Model". Ces vues permettent d'accéder, en création, modification ou
consultation aux différents éléments de la base de données.
Durant sa phase d'initialisation, le client LiteTouch est en mesure d'interroger
ces éléments qui peuvent définir automatiquement les paramètres des
séquences de taches en fonction de l'identité détectée. Pour cela, il est
nécessaire de configurer des règles définissant les types de requêtes
souhaités
 Pour configurer ces règles de base de données, vous pouvez modifier le

fichier de configuration global ou plus simplement solliciter l'assistant via le
menu "Action …Configure Database Rules" ou le menu contextuel.
En raison du nombre important de critères, et afin de ne pas charger
inutilement le fichier de configuration de cette démonstration, nous retiendrons
uniquement quelques éléments. Pour information, nous indiquerons les mots
clés correspondants aux options respectivement proposées pour chaque
écran de sélection.
L'assistant vous propose successivement 4 écrans de configuration :
 Options d'ordinateur : CSettings, CRoles, CApps, CPackages, CAdmins
Page 383 / 409

Pour information, l'identification d'ordinateur est réalisée sur l'une des valeurs
suivantes : "Asset tag", "UUID", "SerialNumber", "MACAddress"
 Décochez les 3 dernières options puis cliquez sur le bouton "Next"
 Options d'emplacement : Location, LSettings, LRoles, LApps, LPackages,
LAdmins
Pour information, l'identification d'emplacement est basée sur la valeur de la

passerelle par défaut du plan d'adressage TCP/IP au moment de l'installation.
 Cliquez sur le bouton "Deselect All" puis cliquez sur le bouton "Next"
 Options de marque et de modèle : MMSettings, MMRoles, MMApps,
MMPackages, MMAdmins
Page 384 / 409

Pour information, l'identification de la marque et du modèle est réalisée via

une requête WMI respectivement sur les propriétés "Vendor" et "Name" de la
classe "Win32_ComputerSystem".
 Cliquez sur le bouton "Deselect All" puis cliquez sur le bouton "Next"
 Options de rôle : RSettings, RApps, RPackages, RAdmins
 Décochez toutes les options sauf la seconde puis cliquez deux fois sur le
bouton "Next"
 Après vous êtes assurée du résultat, cliquez sur le bouton "Finish"
Suite à ces modifications, le fichier de configuration "CustomSettings.ini",

visible sous l'onglet "Rules" des propriétés du partage de déploiement,
ressemble approximativement à ceci :
[Settings]
Priority=CSettings, CRoles, RApps, Default
[Default]
Page 385 / 409

OSInstall=Y
...
...
[CSettings]
SQLServer=WDS
Instance=SQLExpress
Database=MDT
Netlib=DBNMPNTW
SQLShare=DeploymentSahre$
Table=ComputerSettings
Parameters=UUID, AssetTag, SerialNumber, MacAddress
ParameterCondition=OR
[CRoles]
SQLServer=WDS
Instance=SQLExpress
Database=MDT
Netlib=DBNMPNTW
Table=ComputerRoles
Parameters=UUID, AssetTag, SerialNumber, MacAddress
ParameterCondition=OR
[RApps]
SQLServer=WDS
Instance=SQLExpress
Database=MDT
Netlib=DBNMPNTW
Table=RoleApplications
Parameters=Role
Order=Sequence
A ce stade, la configuration est terminée, et l'étape suivante consiste à vérifier

que tout ceci fonctionne en créant une entrée de test dans la base de
données.
Avant de procéder, vous devez disposer d'un ordinateur de test dont vous
connaissez l'adresse physique de carte réseau. Dans le cadre de cette
plateforme, cette information peut être obtenue au niveau des "Paramètres"
de l'ordinateur virtuel en sélectionnant la carte réseau du cadre "Materiel"
 Sélectionnez la rubrique "Database … Computer" puis utilisez le menu

"Action ... New" ou le menu contextuel.
 Sous l'onglet "Identity", entrez l'adresse physique relevée précédemment
"00:15:5D:64:32:13" dans le champ "MAC Address" (Chaque octet étant
Page 386 / 409

séparé par ":"). Bien que facultative, entrez également une description tel que
"DB Test 001" afin de faciliter le repérage des entrées.

 Sélectionnez l'onglet "Details" puis entrez un nom tel que "Test001" dans le
champ "OSDComputerName" de la table.
Ce nom d'ordinateur sera automatiquement attribué à la machine auquel

l'adresse de carte de réseau correspond.
 Cliquez sur le bouton "OK" pour valider cette entrée.
Afin de poursuivre cette démonstration, nous allons ajouter une application en
fonction d'un rôle (Un rôle correspond typiquement à un profil d'utilisation
défini pour un ordinateur donné tel que "Standard", "Comptable",
"Bureautique", etc.).
 Pour cela, sélectionnez la rubrique "Database … Role" puis utilisez le menu
"Action … New" ou le menu contextuel.
 Sous l'onglet "Identity", entrez "Standard" dans le champ "Role name :" puis
sélectionnez l'onglet "Applications".
 Cliquez sur le bouton "Add … Lite Touch Application" afin de sélectionner
une application qui vous souhaitez affecter à ce rôle, puis cliquez sur le
bouton "OK". Vous devez réitérer cette action pour chaque application.
Cliquez sur le bouton "OK"
 Une fois le rôle défini, vous pouvez l'affecter à l'ordinateur précédemment créé
en sélectionnant l'entrée correspondante au niveau de la rubrique "Database
… Computer" sur lequel vous utiliserez le menu "Action ... Propriétés" ou le
menu contextuel.
Page 387 / 409

 Dans la fenêtre de propriétés de cet ordinateur, sélectionnez l'onglet "Roles"

puis cliquez sur le bouton "Add … Standard". Cliquez sur le bouton "OK"
pour valider la modification.
Effectuez un test en démarrant la machine virtuelle définie précédemment à
partir du client LiteTouch. Durant les phases d'initialisation préliminaires, vous
devriez voir apparaitre l'écran de traitement des paramètres personnalisés
"Processing Custom Setting"
En poursuivant la procédure, sous réserve que vous n'ayez pas masqué les
affichages concernés, vous pourrez constater que le nom d'ordinateur est
automatiquement renseigné par "Test001" et que les applications du rôle
affecté à cet ordinateur sont également préalablement cochées.
4.2.5. Gérer la base de données MDT via Powershell (Optionnel)
En fonction de vos outils d'inventaire logiciels et matériel tel que SCCM,

MAPT ou ACT, ou d'outils tiers tels que GLPI, OCS Inventory ou encore des
tableaux Excel, le peuplement de la base de données du MDT peut s'avérer
rapidement délicate ou fastidieuse.
Page 388 / 409

En alliant les capacités intrinsèques de Powershell à une extension spécifique

(appelée module) vous pouvez bénéficier d'un véritable arsenal de gestion de
cette base de donnée, et envisager rapidement des opérations d'extraction, de
modification ou d'import en masse au travers de vos propres scripts. Afin
d'évaluer ce potentiel, nous vous proposons de réaliser une démonstration sur
la machine virtuelle "WDS-Labs".
En premier lieu, vous devez télécharger le module spécifique à l'adresse
suivante :
http://blogs.technet.com/cfs-file.ashx/__key/communityserver-components-
postattachments/00-03-24-15-04/MDTDB.zip
Une fois téléchargée, décompressez l'archive vers le dossier
"%windir%\System32\WindowsPowerShell\v1.0\Modules\MDTDB". Ces
fichiers provenant d'un téléchargement Internet, vous vérifier les propriétés de
ceux-ci via l'explorateur Windows, puis cliquer sur le bouton "Débloquer" le
cas échéant.
Ouvrez une console Powershell, en tant qu'Administrateur.
Avant de poursuivre, vous devez modifier la stratégie d'exécution ("restricted")
par défaut, qui interdit l'exécution des scripts qui ne sont pas signés
numériquement. Entrez la commande suivante pour autoriser l'exécution
locale du module non signé.
PS C:\> Set-ExecutionPolicy RemoteSigned
Entrez la commande suivante afin d'obtenir le liste des modules disponibles.

PS C:\> Get-Module -ListAvailable
Le module "MDTDB" devrait apparaitre dans la liste. Cependant,

Entrez la commande suivante afin de charger les fonctions dans la session
courante.
PS C:\> Import-Module MDTDB
Pour afficher la liste des fonctions apportées par ce module, tapez la

commande suivante.
PS C:\> Get-Command -Module MDTDB
Vous pouvez constater que la liste est longue (72 commandes) et nous ne
porterons notre attention que sur quelques fonctions :
La première action primordiale, consiste à établir une connexion avec la base

de données du serveur MDT en procédant comme suit:
PS C:\> Connect-MDTDatabase –sqlServer WDS –instance SQLEXPRESS `
–database MDT
Si la base contient déjà des ordinateurs référencés, vous pouvez en obtenir la

liste via la fonction suivante :
PS C:\> Get-MDTComputer
Comme vous l'avez constaté préalablement, un ordinateur MDT est référencé

au sein de la base de données par un ou plusieurs identificateurs distinctifs.
La commande précédente permet d'affiner la recherche en stipulant des
paramètres suivants :
Page 389 / 409

Paramètre Description
-id Identifiant unique de l'ordinateur dans la base de

donnée
-assetTag Numéro de modèle généralement lié à un fabriquant
-macAddress Adresse physique de la carte réseau
- Numéro de série de l'ordinateur

serialNumber
-uuid Identifiant unique de la carte mère de l'ordinateur
Comme vous pouvez le constater, chaque enregistrement possède un nombre

considérable de variables (~225) retournées sous forme de liste, et de fait
difficilement exploitable à l'affichage.
Pour obtenir un tableau simplifié des ordinateurs référencés dans la base de
données, utilisez la commande suivante :
PS C:\> Get-MDTComputer | Format-Table Id, AssetTag, MacAddress,
SerialNumber, UUID, OSDComputerName -Autosize
Pour supprimer une entrée dans la base de données, vous devez connaitre
son identifiant et utilisez la commande suivante :
PS C:\> Remove-MDTComputer -id n
L'opération de création ou de modification d'une entrée est sensiblement plus

délicate. En effet, ces paramètres et leurs valeurs respectives doivent être
renseignées au sein d'une table associative (hashtable) symbolisée par " @ {
param1 = valeur1 ; param2 = valeur2 } ".
Par exemple, pour créer un nouvel enregistrement, tapez la commande
suivante :
PS C:\> New-MDTComputer -macAddress '00:00:00:11:22:33' -settings
@{ OSInstall='YES' ; OSDComputerName='Test002' }
Pour Modifier un enregistrement existant, tapez la commande suivante :

PS C:\> Set-MDTComputer -id n -settings @{ OSDComputerName =
'Test003' }
Avant de manipuler efficacement cette base de données, vous devez donc

identifier le nom des variables que vous souhaitez exploiter. Vous pouvez
obtenir une liste exhaustive des noms de ces variables (ou propriétés) en
interrogeant les propriétés d'une entrée existante (n), comme suit :
PS C:\> Get-MDTComputer -id n | Get-Member -MemberType Property |
Select-Object Name
Un des nombreux atouts de PowerShell est sa capacité à convertir facilement

des résultats vers des formats CSV, HTML, ou XML. Pour générer un fichier
directement exploitable par votre tableur favori, il suffit de taper la commande
suivante:
Page 390 / 409

PS C:\> Get-MDTComputer | Export-Csv -Path C:\Temp\MyMDT.csv `

-Delimiter ';'
Réciproquement, si vous souhaitez importer un tableau CSV dans cette base

de données, vous devez utiliser la commande "Import-CSV". Pour
décomposer la procédure, tapez les commandes suivantes :
PS C:\> $Machines = Import-CSV -Path C:\Temp\MyMDT.csv `
-Delimiter ';'
A ce stade la variable "$Machines" contient l'intégralité du fichier CSV et vous

pouvez afficher le nombre d'enregistrements comme suit
PS C:\> $Machines.count
Chaque ligne de ce tableau correspond à un élément où chaque champ est

une propriété de celui-ci. Autrement dit, en indiquant le numéro d'index (de 0 à
"count-1") d'un élément suivi du nom de la propriété vous en obtenez la
valeur, comme par exemple:
PS C:\> $Machines[0].id $Machines[0].OSDComputerName
A présent, vous pouvez envisager de réaliser une importation de masse. Pour

des raisons de simplicité, nous utiliserons le fichier CSV suivant réduit à
quelques propriétés:
Fichier d'exemple "MDTImport.CSV"
Name;Mac;OU;Role
Ordi-001;00:15:5D:64:33:01;Fixes;Standard
Ordi-002;00:15:5D:64:33:02;Fixes; Standard
Ordi-003;00:15:5D:64:33:03;Fixes;Standard
Ordi-004;00:15:5D:64:33:04;Portables;Standard
Ordi-005;00:15:5D:64:33:05;Portables;Standard
Ordi-006;00:15:5D:64:33:06;Fixes;
Ordi-007;00:15:5D:64:33:07;Fixes;
Ordi-006;00:15:5D:64:33:08;Fixes; Standard
Ordi-006;00:15:5D:64:33:09;Fixes;
Ordi-006;00:15:5D:64:33:0A;Fixes;
Exemple de script "ImportDB.ps1"

# Import du module spécialisé MDTDB
Import-Module MDTDB
# Connexion à l'instance de la base de données MDT

Connect-MDTDatabase -sqlServer WDS -instance SQLEXPRESS -database
MDT
# Chargement du fichier CSV

$machines = Import-Csv C:\Temp\MDTImport.CSV -delimiter ';'
#Boucle de traitement des lignes du fichier CSV

For ($i=1; $i -le $machines.count; $i++)
{
# Création d'une nouvelle entrée dans la base
New-MDTComputer -macAddress $machines[$i-1].mac `
-description "$($machines[$i-1].name) Import DB" `
-settings @{ OSInstall='YES'; `
OSDComputerName=$machines[$i-1].name; `
ComputerName=$machines[$i-1].name; `
MachineObjectOU="ou=$($machines[$i-
1].OU),ou=Postes,dc=labs,dc=local";`
Page 391 / 409

# Récupération de la clé "Id" de la nouvelle entrée

$Current = get-mdtcomputer -macAddress $machines[$i-1].mac
write-host "Création de $($machines[$i-1].name) avec Id:
$($Current.id)"
# Ajout du role (applications) s'il existe

If ($machines[$i-1].role -ne "")
{
Set-MDTComputerRole $Current.id $machines[$i-1].role
}
}
Dans cet exemple, nous avons opté pour l'affectation d'un rôle simple afin
d'éviter le référencement complexe des "GUID" d'application sur les objets
ordinateur. Autrement dit, en l'absence de rôles définis, vous auriez pu
affecter des applications à un ordinateur via ce genre de commande :
PS C:\> Get-MDTComputer -macaddress '00:15:5D:64:33:0A' | Set-
MDTComputerApplication -applications @('{04e1f75d-44a9-4596-83af-
62796877bb3c}','{9038dff5-4e7e-4441-85fb-4b94e0ad1cc2}')
4.3. Surveillance (Monitoring)

Cette fonctionnalité apparue avant le MDT2012 beta 2 permet de contrôler
l'état d'avancement d'un client directement dans la console MDT.
 Pour activer cette fonctionnalité, il suffit de vous rendre dans les propriétés du
partage de déploiement puis de sélectionner l'onglet "Monitoring"
 Cochez simplement la case "Enable monitoring for this deployment share"

et conservez les autres valeurs par défaut puis cliquez sur le bouton "OK"
pour valider.
Vous pourrez remarquer que qu'une ligne supplémentaire
"EventService=http://WDS:9800" est automatiquement insérée dans le
fichier de configuration "customsettings.ini". De même, une règle entrante
"MDT Monitor" est automatiquement crée dans le pare-feu Windows.
Page 392 / 409

Vous devez fermer puis rouvrir la console MDT. Les installations en cours
apparaîtront ensuite dans sous cette rubrique "Monitoring"
Si vous ouvrez les propriétés de l'entrée du poste en cours d'installation (ou

double-clic), une fenêtre de détail est alors affichée.
Page 393 / 409

Le bouton "Remote Desktop" permet d'ouvrir un bureau à distance à

condition que le système d'exploitation est installé et autorise cette possibilité.
Un bouton supplémentaire "VM Remote Control" peut apparaitre si la cible
est une machine virtuelle exécutée sur Hyper-V et que les composants
d’intégration sont détectés.
Les détenteurs d'abonnement Microsoft de type TechNet, MSDN ou ayant
souscrit à l’option MDOP (Microsoft Desktop Optimisation Pack) version 2011
R2, peuvent intégrer l'outil de diagnostic DaRT (Diagnosis and Recovery
Toolset) à cette interface. Dans ce cas, il sera possible de contrôler
l'ordinateur à distance, y compris durant les phases exécutées sous WinPE.
Page 394 / 409

4.4. Les stratégies de groupe locales (LGPO)
REDACTION EN COURS …
Avant de conclure ce chapitre, nous attirons votre attention sur une nouveauté
étonante du MDT2012 : "Les GPO Locales"
Plus d'informations sur :
http://blogs.technet.com/b/deploymentguys/archive/2011/12/02/mdt-2012-
new-features-gpo-packs.aspx
Cette fonctionnalité permet d'appliquer des stratégies de groupes sur des
postes qui ne joindraient pas implicitement un domaine.
Page 395 / 409

4.5. Dépannage et diagnostics MDT
En cas de problème ou tout simplement à des fins de vérification,
Prendre le contrôle :
En premier lieu, sachez que durant l'exécution d'une séquence de taches sur
un client LiteTouch, vous avez la possibilité d'ouvrir une invite de commande
en appuyant sur la touche [F8] (Equivalent à la combinaison [maj]+[F10] avec
WinPE)
Les fichiers journaux:
De plus les scripts du MDT alimentent des fichiers journaux (.log) tout au long
de leur exécution. Ces fichiers sont principalement concentrés dans le dossier
"%systemdrive%\MININT\SMSOSD\OSDLOGS".
Note : A des fins de diagnostics, ces fichiers journaux peuvent être

conservés sur un dossier partagé stipulé par la directive
"SLShare=\\WDS\Log$" du fichier de configuration "CustomSettings.ini"
Le fichier journal "BDD.log" recense les informations globales et constitue le

principal élément d'investigation en fournissant une vue d'ensemble des
processus.
Chaque script dispose de son propre fichier journal portant le même nom avec
l'extension .log . Par exemple, le script d'analyse d'environnement
"ZTIGather.wsf" génère un fichier journal nommé "ZTIGather.log". Ces fichiers
spécialisés requièrent toutefois une certaine expérience pour être analysés
Le fichier journal "SMSTS.log" consigne l'état d'avancement d'une séquence
de tache dont il permet d'identifier toutes les étapes. Son emplacement est
différent selon le type ou l'état d'avancement des séquences, mais est
généralement situé dans un dossier temporaire tel
"%systemdrive%\_SMSTaskSequence" ou "%temp%"
Palliatif des dossiers résiduels :
En cas d'échec durant une phase précédente d'installation LiteTouch, les

dossiers résiduels "MININT" et "_SMSTaskSequence" peuvent être présents
sur le disque système et empêcher l'initialisation du client.
http://www.revuedugeek.com/downloads/Z-FinalConfig.zip
Le MDT 2012 intègre dorénavant la détection des déploiements interrompus

et propose automatiquement le choix d'annuler ou de démarrer une nouvelle
séquence.
Page 396 / 409

Conclusion
Bien que n'aillant pas décrit la totalité des réglages disponibles dans le MDT,
cette présentation vous aura démontré la richesse de cet outil.
Vous pouvez trouver un document de Microsoft très complet en anglais (430

pages) sur l'utilisation et la configuration du MDT 2010. N'étant à ce jour
indisponible sur les sites officiels, nous avons ajouté ce guide
UsingtheMicrosoftDeploymentToolkit.docx aux fichiers complémentaires de
cet ouvrage.
Autre documentation (en anglais) : Deploying Windows 7 with MDT 2010 –

Basic scenarios (90 pages)
http://www.google.fr/url?sa=t&rct=j&q=post%20os%20installation%20task%20
sequence&source=web&cd=3&ved=0CDoQFjAC&url=http%3A%2F%2Fdownl
oad.microsoft.com%2Fdocuments%2FFrance%2FTechNet%2F2009%2FWIN
7%2FMDT_2010.pdf&ei=qEAAT_fXM5Sm8gPfwpXeCA&usg=AFQjCNFvvpJh
VbLAnuk0tN2KofsosC3EGw
Page 397 / 409

Annexes
1. Téléchargements
 Version d'évaluation de Windows Server 2008R2 avec SP1 :

 http://technet.microsoft.com/fr-fr/evalcenter/dd459137
Cliquez sur le bouton "Commencez maintenant" à gauche afin de télécharger
l'édition 64 bits.
Sur la page "Technet", entrez votre identifiant "Windows Live™ ID" et votre
mot de passe, ou utilisez le bouton "Inscription" pour accéder au formulaire de
création d'un compte.
Choisissez ensuite la langue du produit à télécharger puis cliquez sur le
bouton "Continuer"
Lors du premier téléchargement, vous devez accepter l'installation du contrôle

ActiveX ou applet Java "Download Manager" dans votre navigateur web.
Ensuite, le téléchargement pourra être enregistré sur le support de votre
choix.
Page 398 / 409

 Versions d'évaluation de Windows 7 Entreprise

 http://technet.microsoft.com/fr-fr/evalcenter/cc442495
 X86 :
 X64 :
 Utilitaire de transfert ISO vers USB

 http://images2.store.microsoft.com/prod/clustera/framework/w7udt/1.0/en-
us/Windows7-USB-DVD-tool.exe
 Kit d’installation automatisée Windows (WAIK) pour Windows 7 / 2008R2

 http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=696DD665-
9F76-4177-A811-39C26D3B3B34
 Outils gratuits pour les tests de compatibilité processeur avec l'assistance

matérielle à la virtualisation.
 Générique : http://www.grc.com/files/securable.exe
 Spécial Intel :
http://downloadcenter.intel.com/Detail_Desc.aspx?ProductID=1881&DwnldID=
7838&lang=eng&iid=dc_rss
 Spécial AMD : http://support.amd.com/us/Processor_TechDownloads/AMD-
V_Hyper-V_Compatibility_Check_Utility_V2.zip
 Le complément RSAT pour Windows 7 peut être téléchargé gratuitement à

partir de l'adresse suivante :
 http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=7d2f6ad7-
656b-4313-a005-4e344e43997d
Page 399 / 409

 Pack de langues pour Windows7/2008R2 sp1 (64 bits):

 http://www.microsoft.com/downloads/en/details.aspx?FamilyID=4a7c3bfb-
61bd-4a59-aa9d-7a91448f82a8
 Outil gratuit de lecture de fichier .ISO et .IMG:

 Virtual CloneDrive : http://www.slysoft.com/fr/download.html
Solutions de virtualisation gratuites

 DISK2VHD : Outil de conversion de disque physique en disque virtuel.
 http://technet.microsoft.com/en-us/sysinternals/ee656415
 VirtualBox
 http://download.virtualbox.org/virtualbox/4.0.4/VirtualBox-4.0.4-70112-
Win.exe
 VMWare Player :
 http://www.vmware.com/tryvmware/?p=player&lp=default
(Enregistrement requis)
 Outils gratuits pour la gestion "graphique" des fichiers "WIM" :

 7-Zip (32 bits) : http://downloads.sourceforge.net/sevenzip/7z920.msi
 7-Zip (64 bits) : http://downloads.sourceforge.net/sevenzip/7z920-x64.msi
 GimageX (32 et 64 bits): http://www.autoitscript.com/site/autoit-tools/gimagex/
 Outils gratuits autonomes "graphiques" utilisables sous WinPE :

 Explorer++ (32 bits) :
 Explorer++ (64 bits) :
 PENetwork (32 bits) :
 Partition Wizard Home Edition 5.0
 Outils divers :
 Keyfinder : Affichage des clés de licence
 ntpwed03 : Réinitialisation des mots de passe et activation des comptes
locaux
 Process Explorer : Analyse détaillée des processus sous Windows
 Autoruns : Analyse détaillée des "lanceurs" sous Windows
 Gestion des pilotes
Page 400 / 409

 DriverBackup : Extraction des pilotes au format .inf

http://sourceforge.net/projects/drvback/files/DriverBackup%21%202/DrvBK%202.
1/DrvBK_21_Rev5.rar/download
 Pilote AMD PCNet x86
http://www.findthatfile.com/search-3875049-hZIP/winrar-winzip-download-
amd4-51-zip.htm
 Outil de reconfiguration des sources de distribution Windows 7

 Rt7lite : http://www.rt7lite.com/
2. Mieux maitriser votre plateforme de test Hyper-V

2.1. Associer dynamiquement un disque USB dans une
machine virtuelle
Lorsque vous insérez un disque amovible de type USB sur une machine
Windows, celui-ci est automatiquement "monté" et une lettre de lecteur lui est
affectée. Si vous souhaitez que ce disque amovible soit disponible dans une
machine virtuelle pour pouvez utiliser l'attachement direct de disque
(Passthrough) en procédant comme suit :
 - En premier lieu, vous devez libérer amovible via la console du gestionnaire
de disques. Pour cela, sélectionnez le disque puis utilisez le menu "Action …
Toutes les tâches … Hors connexion" ou le menu contextuel. L'icône du
disque devrait alors afficher un flèche rouge et mentionner l'état "Hors conn…"
 Pour affecter dynamiquement un disque à une machine virtuelle déjà en cours

d'exécution, utilisez le menu "Paramètres" disponible dans la menu "Fichier"
de la console de la machine virtuelle, ou en sélectionnant cette même
machine dans le gestionnaire Hyper-V.
 Sélectionnez la ligne "Contrôleur SCSI" dans la zone "Matériel", puis la ligne
"Disque dur" dans le cadre de détail.
Page 401 / 409

 Après avoir cliqué sur le bouton "Ajouter", cochez l'option "Disque dur
physique". Vous devriez voir apparaitre le disque amovible dans la liste
déroulante située en dessous.
 Si plusieurs disques sont disponibles, sélectionnez "Disque N° Capacité"

dans la liste puis cliquez sur le bouton "Appliquer" puis le bouton "OK"
Assurez-vous que le disque est bien disponible au sein de la machine virtuelle
en ouvra le gestionnaire de disques au sein de cette dernière. Vue de la
machine virtuelle, et selon le système d'exploitation de l'invité, ce disque de
technologie SCSI peut être indisponible. Par exemple, avec les systèmes
Windows Server, une simple reconnexion, ou affectation d'unité suffit alors
que Windows XP ne dispose d'aucun pilote compatible.
Pour libérer correctement ce disque amovible, ouvrez de nouveau la fenêtre

"Paramètre de la machine virtuelle concernée puis utilisez le bouton "Retirer"
après avoir sélectionné le disque approprié associé au contrôleur SCSI.
Cette procédure peut être également adaptée à un disque fixe interne mais
ne peut pas s'appliquer à une clé USB.
Page 402 / 409

3. Le contrôle de compte d'utilisateur (UAC)

3.1. Compléments du chapitre 3
Apparu avec Vista, ce mécanisme du moindre privilège et les contraintes qu'il
engendre peut être mal vécu par un technicien ou un administrateur et il est
fondamental d'en comprendre la finalité. Sans vouloir dicter des choix trop
tranchés, il est probablement dommage de l'évincer sans étudier son
mécanisme afin d'effectuer les réglages appropriés.
Bien que les réglages du contrôle de compte d'utilisateur puissent être
contrôlés via les stratégies de groupe, il est important d'en saisir l'incidence :
- Destiné aux administrateurs occasionnels
- Optez pour la réactivation éventuelle de l'administrateur intégré
- Désactivation du filtrage de jeton administrateur
- Modification du comportement par défaut via les stratégies de groupe,
Apparu avec Vista, l'UAC a un but philanthropique pour les administrateurs

occasionnels et la compatibilité des applications.
Principe du moindre privilège de session (Le jeton d’accès est « réduit » à
celui d’un utilisateur standard sauf lors d’une « élévation » )
Contrôle d’intégrité de niveau Processus
Windows 7 propose un comportement de l’UAC plus souple et plus discret
que sous Vista (+ réglages simplifiés via la configuration des comptes
utilisateurs)
réactivation et utilisation du compte administrateur intégré.

Dans ces 2 cas, vous devrez "assumer" les risques potentiels d'attaques
malveillantes, à minima via un anti-virus et/ou l'exécution "restreintes" (en tant
qu'utilisateur standard) des applications particulièrement exposées
(Navigateur Web, messagerie…)
Pour comprendre le fonctionnement de l'UAC, vous devez distinguer 2 sortes
d'administrateurs:
Les administrateurs "intégrés" : Il n'en existe qu'un seul par machine et un
seul par domaine. Par défaut, ces comptes sont en dehors du périmètre de
l'UAC. Autrement dit, ils utilisent toujours l'intégralité des privilèges de leur
jeton et sont donc particulièrement exposés aux attaques potentielles.
Les administrateurs équivalents : Tous les autres comptes appartenant
directement, ou indirectement via un groupe global, au groupe local
"Administrateurs" d'une machine est un administrateur potentiel. Par défaut,
ces comptes utilisent un jeton restreint de niveau utilisateur standard.
L'élévation de privilèges d'administrateur s'effectue à la demande.
Pour les "binaires non Windows"
Les boutons et liens nécessitant un niveau administrateur sont repérés par le
symbole du bouclier Windows
Page 403 / 409

3.1.1. Identifier les comptes d'administrateurs
Ouvrer une session avec votre compte local d'administrateur équivalent puis
démarrez une invite de commande ("Ouvrir")
1°/ Examiner la liste des membres du groupe administrateur
NET LOCALGROUP ADMINISTRATEURS
2°/ Afficher l'identifiant des comptes d'utilisateur

WMIC USERACCOUNT GET NAME,SID
Exemple de résultat :
Administrateur S-1-5-21-363240599-548425020-3168445235-500
Christophe S-1-5-21-363240599-548425020-3168445235-1000
Guest S-1-5-21-363240599-548425020-3168445235-501
Le compte administrateur intégré (built-in) est celui qui porte l’identifiant 500
Tout identifiant de sécurité se terminant par une valeur inférieure à 1000 est
un compte système.
3°/ Afficher l'identité et les groupes d'appartenance du compte actuel
WHOAMI
WHOAMI /GROUPS
Remarquez la fin de cette liste, le " Étiquette obligatoire\Niveau obligatoire"

indique "Moyen". Cela signifie que ce processus CMD.exe s'exécute avec un
niveau de privilège d'utilisateur standard
Démarrez une nouvelle invite de commande en tant qu'administrateur et

acceptez l'élévation de privilège
4°/ Afficher l'identité et les groupes d'appartenance du compte actuel
WHOAMI /GROUPS
Remarquez la fin de cette liste, le " Étiquette obligatoire\Niveau obligatoire"

indique "Elevé". Cela signifie que ce processus CMD.exe s'exécute avec un
niveau de privilège d'administrateur
5°/ Activer éventuellement le compte administrateur intégré

NET USER ADMINISTRATEUR /ACTIVE:YES
Si vous ouvrez une nouvelle session avec ce compte Administrateur intégré

vous pourrez constater qu'aucune invite d’élévation n’est demandée pour les
opérations d’administration.
3.2. Les effets du "virtualstore"
3.2.1. Principes du "virtualstore"
Page 404 / 409

Par défaut, lorsqu'une application s'exécute avec les privilèges d'un utilisateur
standard, et tente d'écrire dans les zones protégées du système, le contrôle
de compte d'utilisateur (UAC) redirige l'écriture effective vers un "virtualstore".
Ce leurre permet de lever l'erreur en évitant que l'application échoue mais
l'élément original demeure inchangé.
Les zones protégées du système correspondant aux dossiers Windows,
ProgramFiles et à la ruche du registre machine (HKLM). En cas d'échec
d'écriture, un "virtualstore" sera respectivement créé aux emplacements
suivants :
 Pour les dossiers système
"%LocalAppData%\VirtualStore" (Profil de l’utilisateur courant)
 Pour la ruche du registre machine
"HKCU\Software\Classes\VirtualStore" (Ruche de l’utilisateur courant)
3.2.2. Identifier les processus soumis au contrôle UAC
Pour identifier les processus (ou les applications) potentiellement concernées

par l'UAC, ouvrez le "Gestionnaire de taches" (Ctrl + Maj + Echap).
Sélectionnez l'onglet "Processus" puis le menu "Affichage … Sélectionner
des colonnes" et cochez la case "Virtualisation du contrôle de compte
d'utilisateur" puis cliquez sur le bouton "OK" -
Cliquez éventuellement sur le bouton "Afficher les processus de de tous les

utilisateurs". Dans la colonne "Virtualisation du contrôle de compte
d'utilisateur", les processus sont marqués ainsi :
 "Activé" = redirige les échecs d'écriture vers le VirtualStore
 "Désactivé" = interdiction d'écriture (processus "compatible UAC", conscient
de la contrainte)
 "Non autorisé" = processus en mode administrateur (= hors périmètre UAC)
Page 405 / 409

Pour démontrer ce comportement (parfois inattendu, voire indésirable) nous

allons réaliser une petite manipulation.
Ouvrez une session avec votre compte local d'administrateur équivalent puis
démarrez une invite de commande en tant qu'administrateur puis tapez la
commande suivante
ECHO LOREM IPSUM > %WINDIR%\DemoUAC.txt
Cette commande crée un fichier "DemoUAC.txt" contenant le texte "LOREM

IPSUM" dans le répertoire "Windows"
Ouvrez une nouvelle invite de commande normalement (ouvrir) puis tapez la
commande suivante
TYPE %WINDIR%\DemoUAC.txt
Le contenu s'affiche normalement. Tapez la commande suivante

ECHO Modif >> %WINDIR%\DemoUAC.txt
Cette commande renvoie une erreur "Accès refusé".

Ouvrez le gestionnaire des taches puis repérer le processus "CMD.exe" dont
la colonne "Virtualisation du contrôle de compte d'utilisateur" affiche
"Désactivé". Utilisez le menu contextuel "Virtualisation du contrôle de
compte d'utilisateur" et acceptez la modification. La ligne de ce processus
doit dorénavant afficher "Activé"
Relancez la commande précédente
ECHO Modif >> %WINDIR%\DemoUAC.txt
Cette fois ci aucune erreur n'est renvoyée et le fichier semble avoir été modifié
TYPE %WINDIR%\DemoUAC.txt
Toutefois, si vous vérifiez le contenu via l'invite de commande exécutée en

tant qu'administrateur, vous constaterez que le fichier est inchangé.
Il s'agit donc d'un leurre, car la version modifiée du fichier est en fait stockée
dans l'emplacement suivant
TYPE %LOCALAPPDATA%\virtualstore\windows\DemoUAC.txt
En tant qu'administrateur, il suffit d'octroyer les droits d'écriture sur les

dossiers, fichiers ou clés de registre concernés pour éviter cette dérive et le
cas échéant supprimer les entrées correspondantes du "virtualstore".
Page 406 / 409

3.3. Modifier le comportement du contrôle UAC
3.3.1. Réglages simplifiés
Depuis Windows 7, le contrôle de compte d'utilisateur ne demande plus de

confirmation d'élévation pour les taches d'administration. Dans les autres cas,
cette demande d'élévation assombri le bureau et impose d'acquitter la boite
de dialogue. Il est possible de modifier rapidement ce comportement via le
panneau de configuration ou plus directement, en cliquant sur l'image située
en haut à droite du menu "Démarrer". Cliquez ensuite sur le lien "Modifier les
paramètres de contrôle de compte d'utilisateur"
Page 407 / 409

Utilisez le curseur pour déterminer le niveau d'avertissement souhaité. Le cran

le plus élevé correspond à un avertissement systématique (comme sous
Vista). En dessous, il s'agit du réglage préconisé par défaut qui exclut la
confirmation lors taches d'administration Windows. En abaissant encore le
niveau, la demande de confirmation maintient le bureau actif sans l'estomper.
Cette commutation d'affichage pouvant être parfois désagréable. Enfin,
lorsque le curseur est en bas, aucune confirmation d'élévation n'est
demandée, ce qui revient pratiquement à désactiver l'UAC.
3.3.2. Réglages avancés
Le contrôle de compte d'utilisateur est un mécanisme destiné à améliorer la

sécurité mais il est toutefois possible d'affiner son comportement afin qu'il soit
plus adapté à vos besoins et contraintes d'utilisation. Ces réglages
s'effectuent via les stratégies de groupe et peuvent donc être réaliser
localement ou centralisés au sein d'Active Directory.
Configuration Ordinateur
|____ Paramètres Windows
|____ Paramètres de sécurité
|____ Options de sécurité
|____ Contrôle compte d’utilisateur
Paramètre = "Contrôle de compte d’utilisateur" Valeur par

défaut
Mode Approbation administrateur pour le compte Administrateur Désactivé

intégré
Page 408 / 409

Passer au Bureau sécurisé lors d’une demande d’élévation Activé

Autoriser les applications UIAccess à demander l’élévation sans Désactivé
utiliser le bureau sécurisé
Comportement de l’invite d’élévation pour les administrateurs Demande de
en mode d'approbation Administrateur consentement
Comportement de l’invite d’élévation pour les utilisateurs Demande
standard d’informations
d’identification
Détecter les installations d'applications et demander l'élévation Activé
Elever uniquement les applications UIAccess installées à des Activé
emplacements sécurisés
Élever uniquement les exécutables signés et validés Désactivé
Exécuter les comptes d'administrateurs* en mode d'approbation Activé
d'administrateur
Virtualiser les échecs d’écriture des fichiers et de Registre dans Activé
des emplacements définis par utilisateur
C'est le premier réglage qui permet de stipuler que les administrateurs

intégrés sont en dehors du périmètre UAC.
L'avant dernier réglage permet d'indiquer que tous les membres du groupe
administrateurs disposent toujours du jeton privilégié d'administrateur, comme
les administrateurs intégrés (à l'instar des versions précédentes de Windows)
Page 409 / 409

Winpe-Wds-Mdt Publié

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Winpe-Wds-Mdt Publié

Transféré par

Droits d'auteur :

Formats disponibles

WinPE – WDS - MDT

Les bases du déploiement Windows

Cet ouvrage explique les fondamentaux des

En matière de déploiement, il est naturel de s'interroger sur le gain d'efficacité

 Processeur >1Ghz d’architecture x64 avec assistance matérielle à la

Les principaux logiciels à télécharger

Bien que cet ouvrage s'adresse à des professionnels de l'informatique, tous

Version d'évaluation de Nécessaire pour les machines [Ch 3]

windows6.1-KB976932- Installe SP1 sur un ordinateur 32 [Ch 3]

Windows Automated Kit des outils et documents relatifs [Ch 4]

VirtualCloneDrive Pour le montage des fichiers .ISO ~1,5Ko

Les indications et directives détaillées sur l'implémentation de ces logiciels et

3. La virtualisation : tout un programme !

Nous n'avons pas la prétention de faire l'apologie de la virtualisation dans cet

3.1. 1 - Les ressources et supports de stockage

Attention aux accès concurrents - Un environnement "virtualisé" ne vous

3.2. Les réseaux virtuels

monde"… Là encore, il ne s'agit pas de présenter les concepts des réseaux

Selon la solution de virtualisation retenue, les services réseau agissent au

3.3. Précisions sur les versions de Windows

Cet ouvrage traite des évolutions en matière de déploiement disponibles

Précisions: Contrairement à Windows Server 2008 R2, Windows Server

L'évolution des postes de travail, n'étant pas systématiquement

Chapitre 1 - Le poste du technicien de

Si à l'instar d'un "Netbook", votre ordinateur est dépourvu de lecteur DVD,

Repérez le lecteur USB : "Disque 1" dans notre cas

DISKPART> SELECT DISK 1

 Cliquer sur le bouton "Begin copying".

Après avoir vérifié la taille du support USB, l'outil entame la conversion du

 Une fois l'opération terminée, cliquez sur la croix de fermeture de la fenêtre.

2. Installation de la plateforme technique

Structure de partition par défaut

Pour rappel, surtout si vous n'avez jamais dissocié la partition d'amorçage de

indicateurs utilisé par Microsoft au niveau du gestionnaire de disques. En

2.3. Installation de l'ordinateur physique

2.3.1. Phase initiale d'installation

Au niveau de l'écran d'accueil "Installer Windows", sélectionnez "Français

 Cliquez sur le bouton "Installer maintenant"

 Dans la liste, sélectionnez "Windows Server 2008 R2 Entreprise

 Cliquez sur "Personnalisée (Option avancée)"

Selon que votre ordinateur contient ou non , un système Windows déjà

Dans ce cas, le système précédent est préservé dans un répertoire

Voici la boite de dialogue affichée par le processus d'installation par défaut

Facultatif : 1er contact avec WinPE

Microsoft Windows [Version 6.1.7600]

De retour dans l'interface graphique, utilisez le bouton "Actualiser" pour

 L'installation reprend son cours en cliquant sur le bouton "Suivant"

Après l'extraction des fichiers vers le disque de destination, le système

2.3.2. Phase finale d'installation

Cette phase finale d'installation, dénommée OOBE (Out Of Box Experience)

Pourquoi tant d'insistance sur le compte "administrateur intégré" ?

CMD /C NET USER ADMINISTRATOR /ACTIVE:YES

Si vous effectuez les téléchargements à partir de cette plateforme de test, et à

 Reprenons maintenant, notre installation en attente et cliquez sur le bouton

Saisissez et confirmez un mot de passe fort, conforme aux règles de

Rappels des exigences de complexité de mot de passe:

Cet assistant simplifié permet de définir rapidement les principaux réglages de

Propre aux installations de type "serveur", vous pourrez remarquer le nom

Vous pouvez cependant continuer à utiliser la console "Gestion de

2.3.3. Installation du rôle Hyper-V

L'installation du rôle Hyper-V requiert un processeur compatible avec

d'instruction 64 bits ainsi que la prévention d'exécution de données (DEP) -

Pour vous en assurer, vous pouvez télécharger l'utilitaire générique gratuit