Déploiement de l'agent Medulla par GPO – la tâche ne s'exécute pas
S'applique à: Medulla – Agent
Version: Toutes
Environnement: On-Premise / SaaS Privé / SaaS mutualisé
Categorie: Agent Medulla
Contexte
La GPO est bien appliquée sur le poste :
• gpresult /r /scope:computer confirme que la GPO est appliquée ;
• l'assistant de résultats de stratégie (RSoP) confirme que la GPO est visible par le poste.
Pourtant la tâche planifiée ne se crée jamais sur le poste, et rien n'apparaît dans l'observateur d'événements.
À retenir : Le problème n'est donc pas « la GPO ne descend pas », mais l'élément de préférence « Tâche immédiate » qui échoue silencieusement à se créer. C'est un cas classique, avec généralement l'une des 4 causes ci-dessous.
Pourquoi la GPO ne s'exécute pas
1. Mauvais type de tâche immédiate (cause n°1)
Dans Préférences → Panneau de configuration → Tâches planifiées, le clic droit → Nouveau propose deux entrées :
• Tâche immédiate (Windows XP)
• Tâche immédiate (au moins Windows 7)
Si c'est la version Windows XP qui a été choisie, sur un poste Windows 10/11 la tâche est poussée mais ne se déclenche jamais — et rien n'apparaît dans le journal.
2. Le compte SYSTEM mal renseigné
Le sélecteur d'objets ne propose souvent que « BUILTIN\System Managed Accounts Group », qui n'est pas le bon compte. Il ne faut pas passer par le sélecteur : il faut saisir manuellement NT AUTHORITY\System dans le champ Compte.
Conséquence : Si le compte ne se résout pas en SYSTEM, l'extension côté client (CSE) ne peut pas créer la tâche. L'échec est silencieux : l'erreur part dans la trace GPP (Group Policy Preferences), et non dans le journal Application/Système — d'où le « rien dans l'observateur d'événements ».
3. Le partage réseau n'est pas lisible par le compte machine
Quand la tâche s'exécute en SYSTEM, le poste accède au partage en tant que compte ordinateur(DOMAINE\NOM-PC$), et non en tant qu'utilisateur.
Si le partage n'autorise en lecture que des utilisateurs, le groupe Ordinateurs du domaine n'a aucun accès → l'installeur est injoignable et l'installation échoue.
Correctif : Accorder la Lecture au groupe Ordinateurs du domaine à la fois sur les permissions de partage ET sur les permissions NTFS.
4. Blocage par l'EDR
Même avec une tâche correcte, l'EDR peut bloquer l'exécution de l'installeur (processus SYSTEM, dépôt de fichiers, installation silencieuse). Cela n'empêche pas la création de la tâche, mais empêche l'installation d'aboutir. Il faut déclarer les exclusions de l'agent Medulla côté EDR (voir dernière section).
La solution fiable
Lancer directement l'exécutable de l'agent avec son commutateur silencieux (plutôt que passer par PowerShell + ExecutionPolicy) supprime une couche de complexité. La recette qui fonctionne :
1. Copier l'installeur sur un partage réseau et accorder la Lecture au groupe Ordinateurs du domaine sur le partage ET en NTFS (les deux).
2. Nouvelle GPO → Configuration ordinateur → Préférences → Panneau de configuration → Tâches planifiées.
3. Clic droit → Nouveau → Tâche immédiate (au moins Windows 7) — impératif, pas la version XP.
4. Onglet Général : Compte = NT AUTHORITY\System (saisi à la main) ; cocher « Exécuter avec les privilèges les plus élevés » et « Exécuter que l'utilisateur soit connecté ou non ».
5. Onglet Actions : Démarrer un programme →
Programme : \\Serveur\Partage\Medulla-Agent-windows-FULL-latest.exe Arguments : /S
Note : Le commutateur silencieux /S est à confirmer selon l'installeur réellement utilisé.
6. Lier la GPO à l'OU contenant les postes, puis sur un poste de test :
gpupdate /force
Un redémarrage lève tout doute de timing (la tâche immédiate se joue au rafraîchissement de stratégie).
7. Déclarer les exclusions EDR de l'agent Medulla (paexec, dossiers C:\Program Files\Medulla\, C:\ProgramData\Medulla\, copie temporaire C:\Windows\PAExec-*.exe).
Alternative plus robuste : script de démarrage
Si la tâche immédiate continue de poser problème, utiliser un script de démarrage :
Configuration ordinateur → Stratégies → Paramètres Windows → Scripts → Démarrage
Il s'exécute nativement en SYSTEM au démarrage du poste, sans le piège du type de tâche XP/7, et se révèle souvent plus fiable pour du déploiement logiciel.
Vérification sur le poste de test
Vérifier que la tâche existe :
schtasks /query /fo LIST /v | findstr /i medulla
Vérifier l'accès du compte machine au partage (via PsExec en contexte SYSTEM) :
PsExec -s cmd dir \\Serveur\Partage\Medulla\
Résumé des causes et correctifs
|
Cause |
Symptôme |
Correctif |
|
Type de tâche XP |
Tâche jamais déclenchée, rien dans le journal |
Utiliser « Tâche immédiate (au moins Windows 7) » |
|
Compte SYSTEM mal résolu |
Tâche non créée, échec silencieux (trace GPP) |
Saisir NT AUTHORITY\System à la main |
|
Partage inaccessible au compte machine |
Installeur injoignable, install échoue |
Lecture pour Ordinateurs du domaine (partage + NTFS) |
|
Blocage EDR |
Tâche créée mais installation bloquée |
Déclarer les exclusions agent Medulla |
Point le plus probable : Quand la tâche ne se crée même pas, commencer par les causes 1 (type de tâche) et 2 (compte SYSTEM).