Home site EPFL LoginThis site is in french only !
> windows.epfl.ch

Home Page

Comment passer des patches facilement via Active Directory... (MS03-039)
  

Voici la méthode qu'a utilisé Thomas Becker pour patcher "à la dure" les machines via une GPO...

- Crée un groupe de sécurité de portée "Local" nommé par exemple "KB824146 Deployment Policy - Apply Group Policy". Tu y ajouteras les machines à patcher plus tard, pour le moment n'y mets qu'une ou deux machines de test (non patchées, des machines virtuelles par exemple). Ce groupe évitera à des machines déjà patchées depuis longtemps d'essayer de se patcher à nouveau.

- crée une GPO qui s'appelle "KB824146 Deployment Policy" par exemple.

- propriétés de la GPO -> onglet "General", tu actives la coche "Disable User Configuration settings", onglet "Security", tu enlèves le groupe "Authenticated Users" de la liste afin d'éviter que des machines appliquent la GPO avant d'avoir terminé et testé. Tu y ajoutes le groupe créé plus haut et tu "Allow" -> "Apply Group Policy".

- édite la GPO et sous "Computer Configuration\Windows Settings\Scripts (Startup/Shutdown)", ouvre "Startup". Je n'ai pas essayé, mais peut-être qu'en faisant des scripts de "Shutdown", on éviterait un reboot mais je n'ai pas testé et ne suis pas sûr qu'il soit d'accord d'appliquer le patch une fois que la machine a déjà amorcé le shutdown.

- Clique ensuite sur "Show Files ..." ce qui va t'ouvrir le dossier contenant les scripts de startup de la nouvelle GPO. Tu y copies les fichiers .exe du patch tels que tu les as téléchargés du site de Microsoft (1 par édition d'OS et par langue -> Pour W2K FR + EN et WXP FR + EN, ça fait donc 4 fichiers).

- Ensuite, pour chaque fichier (patch), clique sur "Add...", sélectionne-le et ajoute les paramètres /u /q dans la 2ème boîte de texte "Script Parameters".

- Ferme la fenêtre "Startup Properties", celle de la GPO ainsi que celle des propriétés de ton OU.

- Assure-toi que tes machines de test sont bien dans une OU sur laquelle ta GPO s'applique et redémarre-les. Elles doivent appliquer le patch en mode silencieux et redémarrer à nouveau. Elles sont patchées !

- Une fois que tout fonctionne, ajoute les machines à patcher dans le groupe que tu as créé et redémarre-les les unes après les autres.

- Si toutes tes machines ont le .NET Framework, tu peux facilement faire un script .vbs qui "auto-retire" les machines du groupe une fois qu'elles sont patchées. Ceci évitera qu'elles ne l'appliquent à chaque Startup (ce qui ne réapplique pas réellement le patch, mais c'est juste plus propre). Tu devrais auparavant ajouter une ACE sur le groupe "KB..." : "SELF" -> "Add/Remove self as member". Autrement, tu peux le faire à la main au fur et à mesure qu'elles disparaissent du tableau du Dieux Sécurité :-)


Article N° 208 du 26.09.2003 10:47:26 par Thierry Charles -- Permalink : http://windows.epfl.ch/?article=208
Mentions légales     Signaler un problème
© 2001-2021 EPFL, EPFL-EXAPP, T. Charles, tous droits réservés.