Skip to main content

GPO

Déploiement de l'agent Medulla via GPO

## Quelle est la meilleure méthode pour déployer l'agent Medulla sur tous les postes d'un domaine Active Directory ?

La méthode recommandée est d'utiliser une **tâche planifiée via Group Policy Preferences (GPP)** avec l'option **"Apply once and do not reapply"**.

Cette méthode est :
- ✅ Compatible avec n'importe quel fichier EXE (pas besoin de MSI)
- ✅ Exécutée une seule fois par poste
- ✅ Lancée avec les droits SYSTEM (administrateur)
- ✅ Officiellement supportée par Microsoft
- ✅ Fiable et évite les réinstallations répétées

---

## Comment mettre en place cette méthode ?

### Étape 1 : Préparer le fichier d'installation

1. Copiez l'installeur dans un partage réseau accessible :
   ```
   \\SERVEUR\DEPLOIEMENT\Medulla-Agent-windows-FULL-latest.exe
   ```

2. Configurez les droits sur le partage :
   - **Lecture** pour le groupe **Domain Computers**

### Étape 2 : Créer la GPO

1. Ouvrez la console **Group Policy Management**
2. Créez une nouvelle GPO, par exemple : `Déploiement Agent Medulla`

### Étape 3 : Configurer la tâche planifiée

1. Éditez la GPO et naviguez vers :
   ```
   Configuration de l'ordinateur
   → Préférences
   → Panneau de configuration
   → Tâches planifiées
   ```

2. Faites un clic droit → **Nouveau** → **Tâche immédiate (au moins Windows 7)**

3. Dans l'onglet **Général** :
   - Nom : `Installation Agent Medulla`
   - Compte : **SYSTEM**
   - ☑ Exécuter avec les privilèges les plus élevés

4. Dans l'onglet **Actions** :
   - **Action** : Démarrer un programme
   - **Programme** : `\\SERVEUR\DEPLOIEMENT\Medulla-Agent-windows-FULL-latest.exe`
   - **Arguments** : `/S` (pour installation silencieuse)

5. Dans l'onglet **Common** (Options communes) :
   - ☑ **Apply once and do not reapply**
   
   ⚠️ **Cette option est cruciale** : elle garantit que l'installation ne se lancera qu'une seule fois sur chaque poste.

### Étape 4 : Appliquer la GPO

1. Liez la GPO à l'**Unité d'Organisation (OU)** contenant vos postes
2. Sur un poste de test, lancez :
   ```
   gpupdate /force
   ```
3. Redémarrez le poste ou attendez la prochaine mise à jour des stratégies

---

## Pourquoi ne pas utiliser un script de démarrage ou de connexion ?

Les scripts traditionnels (Startup Script ou Logon Script) présentent plusieurs inconvénients :
- ❌ Risque d'exécution multiple
- ❌ Complexité pour détecter si l'installation a déjà été faite
- ❌ Problèmes de droits selon le contexte d'exécution
- ❌ Moins fiable que les tâches planifiées GPP

La méthode par tâche planifiée GPP résout tous ces problèmes.

---

## Que fait l'option "Apply once and do not reapply" ?

Cette option garantit que :
- ✅ La tâche s'exécute **une seule fois** sur chaque poste
- ✅ Même si la GPO reste active pendant des années, l'installation ne se relance pas
- ✅ Pas besoin de script de détection complexe
- ✅ Pas de réinstallation accidentelle

C'est l'équivalent d'un déploiement "fire and forget" (lancer et oublier).

---

## Comment vérifier que le déploiement a fonctionné ?

### Sur un poste client :

1. Vérifiez que la tâche planifiée a été créée :
   ```
   Panneau de configuration → Outils d'administration → Planificateur de tâches
   ```
   Cherchez la tâche `Installation Agent Medulla`

2. Vérifiez les logs d'installation de l'agent Medulla

3. Vérifiez que l'agent apparaît dans la console Medulla

### Sur le contrôleur de domaine :

Utilisez les rapports GPO pour voir quels postes ont appliqué la stratégie.

---

## Puis-je utiliser cette méthode pour mettre à jour l'agent ?

Oui, mais avec quelques précisions :

- Si vous créez une **nouvelle GPO** avec un nouveau nom de tâche, elle s'exécutera une fois sur tous les postes
- Si vous modifiez le chemin du fichier EXE dans la tâche existante avec "Apply once", elle ne se relancera **pas** (c'est l'objectif de cette option)

Pour les mises à jour, il est préférable de :
1. Créer une nouvelle GPO avec un nouveau nom de tâche pour chaque version majeure
2. Ou utiliser le système de mise à jour intégré de Medulla

---

## Quels sont les prérequis ?

- Un contrôleur de domaine Active Directory (Windows Server 2008 R2 ou supérieur)
- Un partage réseau accessible en lecture par les postes
- L'installeur de l'agent Medulla avec option d'installation silencieuse (`/S`)
- Les droits pour créer et lier des GPO

---

## Combien de temps faut-il pour que tous les postes soient déployés ?

Le déploiement se fait au rythme de la mise à jour des stratégies de groupe :
- Par défaut : toutes les **90 minutes** (avec un décalage aléatoire de 0 à 30 minutes)
- Au redémarrage du poste
- Avec `gpupdate /force` (immédiat)

Pour un déploiement rapide sur un parc de 100 postes, comptez environ **2 à 4 heures** selon l'activité réseau.

---

## Cette méthode fonctionne-t-elle avec d'autres logiciels ?

Oui ! Cette méthode est universelle pour déployer n'importe quel EXE silencieux :
- Agents de supervision
- Logiciels métier
- Outils de sécurité
- Tout programme supportant l'installation en ligne de commande

Il suffit d'adapter :
- Le chemin de l'EXE
- Les arguments d'installation silencieuse (consultez la documentation du logiciel)

---

## Ressources complémentaires

- [Documentation officielle Microsoft sur les Group Policy Preferences](https://docs.microsoft.com/fr-fr/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn581922(v=ws.11))
- [Documentation de déploiement Medulla](https://medulla-project.org/)

---

**Date de création** : Décembre 2024  
**Auteur** : Documentation Medulla  
**Version** : 1.0

 

Il est possible d'utiliser MSI Wrapper pour générer un .msi avec l'agent en .exe, il lui suffit d'utiliser l'argument /S pour le rendre silencieux lors de l'installation.

Il est également possible d'installer l'agent via un Script Powershell utilisable par votre GPO, exemple :

Start-Process "**\\serveur\partage\**Medulla-Agent-windows-FULL-latest.exe" -ArgumentList "/S" -Wait -NoNewWindow

Back to top