Prérequis pour l’intégration de clients-windows

Ceci correspond aux configurations testées et validées pour l’intégration de postes Windows à un domaine SE3. Vu l’infinité de situations possibles, seules ces configurations sont supportées et feront l’objet d’une assistance.
* Prérequis
* Système
* Installation
* Ordre de boot
* Drivers
* Licence et activation
* Antivirus Trend
* Préparation et mise à jour
* Logiciels
* Outils

Pour l’intégration au domaine voir https://github.com/SambaEdu/sambaedu-client-windows/blob/master/README.md

Voici la procédure pour intégrer un windows10 à un domaine géré par un se3.

Prérequis

Il est nécessaire que le serveur se3 soit au minimum en Wheezy 3.0.5. Le paquet sambaedu-client-windows doit être installé. Ce paquet s’installe

Une recommendation : partez d’un windows10 de base, c’est-à-dire uniquement avec windows10 (version actuelle 1709), rien d’autre. Ou refaites une installation propre à l’aide du paquet sambaedu-client-windows, c’est automatisé et cela permet d’avoir un poste compatible à 100 % avec SambaEdu.

Les instructions complètes sont ici :
installation windows 10

Système

Il faut impérativement partir d’un poste fraîchement installé. Le temps perdu à refaire une installation propre sera toujours du temps qu’on ne perdra pas ensuite à résoudre des incompatibilités.

  • Windows10 Pro 64 bits
    L’image peut être téléchargé directement chez Microsoft sans restrictions particulières, et installée automatiquement à l’aide du paquet sambaedu-client-windows.
    https://github.com/SambaEdu/sambaedu-client-windows/blob/master/README.md

Attention !! En aucun cas l’ancienne méthode netlogondomscriptsrejointse3.exe ne doit être utilisée. Elle est définitivement incompatible avecs les versions récentes de Windows 10. Même si dans un premier temps vous pouvez croire que cela fonctionne, cela va casser à la première mise à jour de Windows !

  • Windows7 Pro 32 et 64 bits
    Il faut utiliser une version officielle sans personnalisations OEM, il est admis d’y ajouter les mises à jour ainsi que les drivers à l’aide d’outils tiers : voir
    les outils plus bas. En revanche aucune personnalistion de type GPO ne doit avoir été faite.
    En pratique, pour avoir un système à jour il faut déployer des milliers de mises à jour. C’est très lent ! Il vaut mieux installer W10 !

  • WindowsXP n’est plus supporté, ni par SE3, ni par Microsoft, ni par les applications récentes.
    Si vous vous posez la question d’installer des postes windowsXP, installez des clients-linux !

Installation

Installation en mode Legacy Bios. Surtout pas d’UEFI !.

le paquet sambaedu-client-windows crée automatiquement la bonne structure de disque

Une seule partition windows + éventuellement la petite partition de boot qui est créée automatiquement par l’installeur. Pour cette partition, 100 Go sont largement suffisants.

remarque pour Windows 7 uniquement (obsolète)

Une astuce permet d’éviter la création de la partition de boot de 100Mo créée automatiquement à l’installation de Windows 7. Cela simplifie le clonage et la création d’images. Voici comment procéder.

Avant de lancer l’installation de Windows (par exemple avec gparted inclu dans SystemRescuCD via le boot PXE) :
* supprimer toute partition du disque,
* (re)créer une table de partition ms-dos (pas de gpt),
* créer la partition destinnée à recevoir l’OS (100G suffisent),
* formater cette partition en NTFS.

Ainsi, lors de l’installation, en choisisannt cette partition, la partition de boot de 100Mo ne sera pas créée.

double boot

Il est possible d’avoir un double-boot Gnu/Linux, dans ce cas vous laisserez un espace vide en partageant le disque dur en deux parties sensiblement égales.

Ordre de boot

Boot PXE activé (soit systématiquement, soit manuellement avec F12).

Drivers

Tous les drivers utiles doivent être installés et à jour : voir
les outils plus bas.

Licence et activation

Pour Windows7 il faut activer à l’aide d’un outil tiers…

Pour Windows10, théoriquement aucune activation n’est requise si le poste est éligible à une installation OEM. Ceci implique généralement que les clés OEM SLIC V2.4 soient intégrées au Bios. Ce n’est malheureusement pas toujours le cas. Il est possible de récupérer la licence du bios, l’intégration se3 le fera automatiquement en cas de besoin.
En cas d’absence d’activation, un message s’affiche en fond d’écran, mais à part cela tout fonctionne.

Attention Ne pas télécharger et utiliser Windows Loader pour Windows 10 : c’est un faux, qui en revanche installe de vrais virus !

Antivirus Trend

Si l’établissement dispose d’un serveur antivirus Trend, alors celui-ci doit impérativement être à jour pour que le client puisse s’installer sur les postes Windows 10 en version 1709.

Intégration au domaine et mise à jour

Sur un serveur à jour, AUCUNE opération manuelle n’est nécessaire pour intégrer windows 10 et 7, il faut utiliser le paquet sambaedu-client-windows.

SambaEdu/sambaedu-client-windows

sambaedu-client-windows – Installation et mise au domaine automatique des clients windows

ancienne méthode (obsolète, windows 7 uniquement !!!)

  • ne fonctionne pas pour les postes en w10 !
  • obsolète et non maintenue pour w7

Désactiver la mise en veille pour surveiller le poste pendant son intégration l’intégration.

Il est possible d’automatiser un certain nombre de réglages, dans l’optique de faire une image de la machine avant l’intégration. À vous de choisir parmi les commandes suivantes, celles qui vous conviennent et les mettre dans un fichier .bat.

Si l’image de la machine possède déjà l’utilisateurs adminse3, et que le mdp d’adminse3 est bien donné qu compte administrateur, alors l’intégration à distance de l’image déployée pourra se faire directement par l’interface.

  • Désactiver les 3 pare-feux de Windows7 :

netsh advfirewall set allprofiles state off

  • Désactiver un compte local “essai” issu de l’installation :

net user essai /active:no

  • Rendre actif le compte Administrateur :

net user Administrateur /active:yes

  • Ajouter le compte “adminse3” :

net user /add adminse3 mdp_admise3

  • Ajouter ce compte adminse3 aux administrateurs locaux :

net localgroup Administrateurs adminse3 /add

  • Donner aux mots de passe une durée de validité illimitée :

net accounts /maxpwage:unlimited

  • Désactiver le controle UAC :

reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f

  • Mettre à jour depuis wsusoffline du Se3 :

net use W: \IP_du_Se3installwsusoffline mdp_admise3 /user:sambaedu3adminse3
w:clientcmdDoUpdate.cmd /updatecerts /instielatest /updatecpp /instmssl /instdotnet35 /instdotnet4 /instpsh /instofv
net use W: /delete

Si par hasard les màj windows update sont bloquées, une piste de résolution ici.

Logiciels

Aucun logiciel installable à l’aide de Wpkg ne doit être installé préalablement. C’est une source de problème sans fin.

Partez d’une installation de Windows de base et laissez le serveur Wpkg gérer les applications à installer.

Outils

…à compléter…
* Obtenir des ISO légalement
* Pack de drivers
* Créer une clé USB bootable
* Créer une ISO personnalisée
* Sauvegarder et restaurer l’activation (Documentation)