none
GPO sous Windows 10 aprés sysprep RRS feed

  • Discussion générale

  • Bonjour,

    Je suis en train de configurer un master W10 Entreprise x64 1607 et je me rend compte de certains problèmes une fois l'image déployée

    Sur le master voici ce que je fait :

    • Installation des dotnet 3.5 et 4.5
    • Suppression des applications du store inutiles via la ligne de commande : Get-appxprovisionedpackage –online | where-object {$_.packagename –like "*packagename*"} | remove-appxprovisionedpackage –online
    • Insertion de la licence kms et du serveur kms (slmgr ...)
    • paramètrage du menu démarrer (starlayout) 
    • Je fais les Windows update

    En parallèle je configure des GPO pour Windows Update (afin d'être en CBB), pour désactiver onedrive ...

    Lorsque j'insère le master dans le domaine et que je test si les GPO descendent bien, tout est ok

    Je me décide donc de faire le sysprep (master hors domaine) puis je lance la capture du master via mon logiciel de déploiement.

    Je déploie maintenant W10 sur un PC et une fois fini, je me rend compte que les GPO Ordinateurs ne descendent pas. La GPO utilisateur semble fonctionner puisque l'accès à Windows Store est bien bloqué (seul paramètre configuré par GPO Utilisateurs)

    L’observateur d'événement reste muet. Si je lance un gpresult /R ou gpresult /v, je vois bien les GPO attribuées au compte ordinateur et utilisateur. Je peux même lire à ce moment là tous les paramètres des GPO en question

    J'ai essayé d'appliquer l'import de ces deux clé sans que cela résolve mon problème :

    %COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ

    %COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ

    Pour résumer :

    - les GPO sur le master fonctionne bien

    - Les GPO Ordinateurs sur l'image de déploiement ne fonctionne pas

    - J'arrive à lire l'ensemble des GPO sur un PC W10 avec la commande gpresult /v

    D'avance merci pour votre aide, en espérant vous avoir donné assez d'informations. 

    Fabien




    lundi 10 octobre 2016 15:55

Toutes les réponses

  • Bonjour,

    Voici quelques règles de base pour préparer ton image de référence (master) Windows:

    - Ne jamais joindre le domaine (meme enlevé du domaine laisse des traces)
    - Vu que tu utilises le paramètre -online pour les appx, il est plus judicieux d'enlever ces applications lors du déploiement qu'avant la capture.
    - Il ne faut jamais insérer la licence lors du master. Heureusement tu es en KMS donc tu ne verras pas de problème mais il y a des problèmes avec les MAK.
    - Utiliser sysprep (generalize, oobe)

    Concernant ton souci, essaye le meme test mais cette fois ci sans joindre la machine au domaine auparavant. D'ailleurs tu as déjà pu t'assurer que tes GPO fonctionnait correctement. Si tu as besoin de tester tes GPO à l'avenir, pense à une VM.


    signatureforums

    lundi 10 octobre 2016 20:58
    Modérateur
  • Bonjour,

    Merci pour ton retour.

    - Lorsque je fais le sysprep, le master n'a jamais été joint au domaine. Lorsque je dis que j’insère le master dans le domaine, c'était pour un test. Je m'étais assuré de faire un snapshot auparavant. 

    - Pour les appx, si je comprends bien, il est donc préférable de faire un script de désinstallation qui s’exécute après le déploiement de l'image ?

    - Oui je suis en KMS !! sinon je suis d'accord, c'est moche pour des clés MAK

    - Sysprep est bien utilisé avec les paramètre generalize, oobe

    Tu as peut être pu le comprendre avec ce nouveau message, je travaille bien sur des VM. J'ai omis de le signaler sur mon premier message.


    mardi 11 octobre 2016 09:09
  • Je viens de refaire un master et le problème des GPO est toujours présent. Pour le coup je n'ai rien paramétré sur ce master, toutes les applications du store sont en l'état et tout le reste aussi.

    J'ai juste fait un sysprep. 

    Malheureusement les GPO Ordinateurs ne descendent toujours pas ... 

    Le gpresult est correct sur le poste de travail. La GPO en question est bien listée dans les objets de stratégie de groupe appliqués et l'observateur d'événement ne me dit rien d'anormal. 

    Je crois que je sèche carrément là.

    mardi 11 octobre 2016 13:30
  • Bonjour,

    Pour les GPO Ordinateurs qui ne decendent pas, il faut désactiver le démarrage rapide de Windows 10 sur ton master. Pour ma part cela a fonctionné (et avec la même build Win10 que toi). Il est bien aussi d'activer l'option "Attendre le réseau au démarrage" dans tes GPO Ordinateurs ou directement sur ton master en local, cela t'évitera des soucis lors de l'intégration au domaine.

    Salutations.

    Michaël

    jeudi 13 octobre 2016 08:00
  • Bonjour,

    Merci Michaël pour ta réponse.

    Je ne trouve pas l'option désactiver le démarrage rapide sur mon master qui est hors domaine. Par contre, si je le met dans le domaine, j'ai bien accès à cette option. J'ai essayé d'activer cette option sur une VM après déploiement du master mais sans pour autant que ça résolve mon problème.

    J'ai cependant avancé, et après avoir fait des milliers de tests, je me rend compte que lorsque j'utilise un fichier de réponse unattend.xml j'ai des problèmes pour faire descendre les GPO. Si je n'utilise pas unattend.xml, j'ai ne pas de problème de GPO. Je n'ai pour autant pas trouvé ce qui pose problème dans l'utilisation de unattend.xml.

    Pour info, j'ai réalisé unattend.xml via l'outils Microsoft de déploiement d'image contenu dans ADK.

    Je me suis aussi rendu compte que le paramètre Windows Update de la GPO Ordinateur fini par s'appliquer au bout de quelques heures sur un poste client après descente du master et cela en utilisant unattend.xml. L'autre paramètre (désactiver ondrive) ne s'applique jamais. 

    Pour résumer :

    En utilisant unattend.xml :

    Les GPO utilisateurs fonctionnent

    Les paramètres de la GPO ordinateurs ne descendent pas tous. Seul le paramètre Windows Update fini par descendre au bout de quelques heures (Option Curent Branch for Business)

    En ne pas utilisant unattend.xml:

    Toutes les GPO fonctionnent (Ordinateurs+Utilisateurs)

    Rspo.msc / gpresult :

    Tous les paramètres de la GPO sont bien présent avec et sans unattend.xml

    Observateur d'événements :

    Je n'ai pas trouvé d'erreurs concernant les GPO ou les paramètres en question  

    Voici mon fichier unattend.xml :

    <?xml version="1.0" encoding="utf-8"?>
    <unattend xmlns="urn:schemas-microsoft-com:unattend">
        <settings pass="specialize">
            <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
                <OEMInformation>
                    <SupportPhone>9870</SupportPhone>
                    <SupportURL>http://supportDSI</SupportURL>
                </OEMInformation>
                <CopyProfile>true</CopyProfile>
                <ProductKey>XXXXX-XXXXX-XXXXX-XXXXX-2YT43</ProductKey>
                <RegisteredOrganization>DSI</RegisteredOrganization>
                <RegisteredOwner>DSI</RegisteredOwner>
                <ComputerName>%ldHostname%</ComputerName>
                <AutoLogon>
                    <Password>
                        <Value>QABmADEAMABOAFYAOABtAGQAKgBQAGEAcwBzAHcAbwByAGQA</Value>
                        <PlainText>false</PlainText>
                    </Password>
                    <Domain>mondomain</Domain>
                    <Enabled>true</Enabled>
                    <LogonCount>1</LogonCount>
                    <Username>admin</Username>
                </AutoLogon>
                <ShowPowerButtonOnStartScreen>true</ShowPowerButtonOnStartScreen>
            </component>
            <component name="Microsoft-Windows-UnattendedJoin" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
                <Identification>
                    <Credentials>
                        <Domain>mondomain.fr</Domain>
                        <Password>monpass</Password>
                        <Username>admin</Username>
                    </Credentials>
                    <JoinDomain>mondomain.fr</JoinDomain>
                    <MachineObjectOU>OU=Desktop,OU=Computers_GPO,DC=mondomain,DC=fr</MachineObjectOU>
                </Identification>
            </component>
            <component name="Microsoft-Windows-International-Core" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
                <InputLocale>fr-fr</InputLocale>
                <SystemLocale>fr-fr</SystemLocale>
                <UILanguage>fr-fr</UILanguage>
                <UILanguageFallback>fr-fr</UILanguageFallback>
                <UserLocale>fr-fr</UserLocale>
            </component>
            <component name="Microsoft-Windows-Deployment" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
                <RunSynchronous>
                    <RunSynchronousCommand wcm:action="add">
                        <Order>1</Order>
                        <Path>cscript.exe C:\Temp\Date_Master.vbs</Path>
                        <Description>Insertion date installation</Description>
                    </RunSynchronousCommand>
                </RunSynchronous>
            </component>
        </settings>
        <settings pass="oobeSystem">
            <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
                <OOBE>
                    <HideEULAPage>true</HideEULAPage>
                    <HideLocalAccountScreen>true</HideLocalAccountScreen>
                    <HideOEMRegistrationScreen>true</HideOEMRegistrationScreen>
                    <HideOnlineAccountScreens>true</HideOnlineAccountScreens>
                    <HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>
                    <ProtectYourPC>2</ProtectYourPC>
                    <SkipUserOOBE>true</SkipUserOOBE>
                </OOBE>
                <UserAccounts>
                    <LocalAccounts>
                        <LocalAccount wcm:action="add">
                            <Password>
                                <Value>TgBlAHQAUABhAHMAcwAkAG8AcgBsAGUAYQBuAHMAUABhAHMAcwB3AG8AcgBkAA==</Value>
                                <PlainText>false</PlainText>
                            </Password>
                            <DisplayName>admin</DisplayName>
                            <Group>Administrateurs</Group>
                            <Name>admin</Name>
                        </LocalAccount>
                    </LocalAccounts>
                </UserAccounts>
            </component>
        </settings>
        <cpi:offlineImage cpi:source="wim:c:/windows/system32/sysprep/install.wim#Windows 10 Enterprise" xmlns:cpi="urn:schemas-microsoft-com:cpi" />
    </unattend>
    




    jeudi 13 octobre 2016 16:26
  • bon à force de chercher je pense avoir trouver le problème.

    Dans le fichier unattend.xml, j'ai modifié le paramètre Copy profil de true à false

    Cela semble beaucoup mieux fonctionner comme cela.

    J'ai également profité pour refaire l'ensemble de mon Master :

    1- Démarrage de W10 en mode audit

    2- Paramétrage et installation des logiciels / Scripts nécessaires + Windows Update ...

    3-  Sysprep en mode OOBE / Genralize

    4- Capture du master 

    5- Déploiement du master

    6- Désinstallation des applications par défaut de W10 via un script PS (sur conseil de Yannick)

    Je vais encore faire plusieurs tests pour bien valider que le paramètre copy profil du fichier unattend.xml me faisait vraiment défaut. J'avais pourtant lu plusieurs recommandations et tuto à ce sujet qui indiquent de mettre true sur copy profil.

    Je me pose donc la question pour savoir quelle est la bonne méthode recommandée officiellement par Microsoft? 

    Au passage, le fichier unattend.xml me pose un autre soucis. Lors du déploiement du master, cela me demande de valider la page concernant le langage. J'ai pourtant mis des true sur les lignes Hide EULA, HideLocal... mais visiblement il doit me manquer quelques choses pour passer cette étape sans intervention de ma part. Si jamais vous avez une idée ... 

    jeudi 13 octobre 2016 20:30
  • Bonjour Fabien-VIRT,

    Le thread est-il toujours d'actualité?
    Je vous remercie par avance de votre retour.

    Cordialement,
    Teodora


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    mercredi 2 novembre 2016 15:39