Déploiement à l'aide du mécanisme des stratégies de groupe Microsoft Windows

Il est conseillé de réaliser le déploiement initial des Agents d'administration à l'aide des stratégies de groupe Microsoft Windows quand les conditions suivantes sont remplies :

• Les appareils sont les membres du domaine Active Directory.
• Le plan de déploiement permet d'attendre le redémarrage standard des appareils avant le début du déploiement sur ceux ci des Agent d'administration ou la stratégie de groupe Windows peut être imposée aux appareils.

L'essence de ce mode de déploiement est la suivante :

• Le paquet de distribution de l'application au format Microsoft Installer (paquet MSI) se place dans le dossier partagé (le dossier accessible en lecture aux comptes utilisateurs LocalSystem des appareils).
• Dans la stratégie de groupe Active Directory, l'objet d'installation est créé pour le paquet de distribution.
• La zone d'action de l'installation est définie en indiquant l'organisation unitaire et/ou le groupe de sécurité qui contient le ou les appareil(s) cible(s).
• Lorsque l'appareil entre à nouveau dans le domaine (avant l'entrée des utilisateurs de l'appareil dans le système), la recherche de la présence de l'application requise parmi les applications installées a lieu. Si l'application est absente, le paquet de distribution est téléchargé depuis la ressource définie dans la stratégie, puis l'installation a lieu.

Un des avantages de ce mode de déploiement est le fait que les applications désignées sont installées sur les appareils lors du chargement du système d'exploitation avant l'entrée de l'utilisateur dans le système. Même si l'utilisateur doté des privilèges requis supprime l'application, celle-ci est à nouveau installée au prochain chargement du système d'exploitation. Ce mode de déploiement présente toutefois un inconvénient : les modifications introduites par l'administrateur dans la stratégie de groupe entrent en vigueur uniquement après le redémarrage des appareils (sans l'application des moyens complémentaires).

Les stratégies de groupe permettent d'installer l'Agent d'administration ainsi que d'autres applications dont les programmes d'installation possèdent le format Windows Installer.

Si vous choisissez ce mode de déploiement, il faut, entre autres, évaluer la charge sur la ressource fichier d'où les fichiers seront copiés vers les appareils au moment de l'application des stratégies de groupe Windows.

Utilisation des stratégies Microsoft Windows avec l'aide de la tâche d'installation à distance des applications de Kaspersky Security Center

La méthode la plus simple pour installer des applications à l'aide de stratégies de groupe Microsoft Windows consiste à sélectionner l'option Réparer l'installation du paquet d'installation dans les stratégies de groupe d'Active Directory dans les propriétés de la tâche d'installation à distance de Kaspersky Security Center. Dans ce cas, le Serveur d'administration exécute lui-même les actions suivantes au lancement de la tâche :

• Création des objets nécessaires dans la stratégie de groupe Microsoft Windows.
• Création des groupes spéciaux de sécurité qui reprennent les appareils et désignation de l'installation des applications sélectionnées pour ces groupes de sécurité. La composition du groupe de sécurité est actualisée à chaque lancement de la tâche conformément à l'ensemble d'appareils au moment du lancement.

Pour que cette fonction soit opérationnelle, il faut renseigner dans les paramètres de la tâche un compte utilisateur autorisé à modifier les stratégies de groupe Active Directory.

S'il est prévu d'installer l'Agent d'administration et une autre application au cours de la même tâche, la sélection de l'option Réparer l'installation du paquet d'installation dans les stratégies de groupe d'Active Directory entraîne la création dans la stratégie Active Directory d'un objet d'installation uniquement pour l'Agent d'administration. La deuxième application choisie dans la tâche s'installe quant à elle via les outils de l'Agent d'administration dès que celui-ci a été installé sur l'appareil. Si pour une raison quelconque il faut installer une application autre que l'Agent d'administration à l'aide de stratégies de groupe Windows, il faut créer une tâche d'installation uniquement pour ce paquet d'installation (sans le paquet de l'Agent d'administration). Toutes les applications ne peuvent pas être installées à l'aide des stratégies de groupe Microsoft Windows. Vous pouvez en savoir plus sur cette fonction en consultant les informations sur les modes d'installation de l'application.

Quand les objets nécessaires sont créés dans la stratégie de groupe via les outils de Kaspersky Security Center, la source du paquet d'installation est le dossier partagé de Kaspersky Security Center. Lors de la planification du déploiement, il faut comparer la vitesse de la lecture depuis ce dossier à la quantité d'appareils et à la taille du paquet de distribution à installer. Il sera probablement logique de placer le dossier partagé de Kaspersky Security Center dans un stockage spécialisé de fichiers puissant.

Outre sa simplicité, la création automatique de stratégies de groupe Windows à l'aide des outils de Kaspersky Security Center offre un autre avantage : lors de la planification de l'installation de l'Agent d'administration, il est facile de désigner le groupe d'administration de Kaspersky Security Center vers lequel les appareils vont être déplacés automatiquement à l'issue de l'installation. Le groupe peut être désigné dans l'Assistant de création d'une tâche ou dans la fenêtre des paramètres de la tâche d'installation à distance.

Dans le cadre de l'utilisation de stratégies de groupe Windows par les outils de Kaspersky Security Center, la désignation des appareils pour l'objet de la stratégie de groupe s'opère via la création d'un groupes de sécurité. Kaspersky Security Center synchronise la composition du groupe de sécurité avec l'ensemble actuel d'appareils de la tâche. En cas d'utilisation d'autres outils pour travailler avec les stratégies de groupe, il est possible d'associer des objets des stratégies de groupe directement aux sous-section Active Directory choisies.

Installation indépendante d'applications à l'aide de stratégies Microsoft Windows

L'administrateur peut créer lui-même dans la stratégie de groupe Windows les objets nécessaires à l'installation. Dans ce cas, il est possible de faire référence aux paquets qui se trouvent dans le dossier partagé de Kaspersky Security Center ou de placer les paquets sur un serveur de fichiers distinct et de les référencer.

Les scénarios d'installation suivants sont possible :

• L'administrateur crée le paquet d'installation et configure ses propriétés dans la Console d'administration. L'objet de la stratégie de groupe fait référence au fichier MSI de ce paquet d'installation qui se trouve dans le dossier partagé de Kaspersky Security Center.
• L'administrateur crée le paquet d'installation et configure ses propriétés dans la Console d'administration. Ensuite, l'administrateur copie l'ensemble du sous-dossier EXEC de ce paquet dans le dossier partagé de Kaspersky Security Center et le colle dans le dossier sur une ressource fichiers spéciale de l'entreprise. L'objet de la stratégie de groupe fait référence au fichier MSI de ce paquet configuré qui se trouve dans le sous-dossier sur une ressource fichier spéciale de l'entreprise.
• L'administrateur charge le paquet de distribution de l'application (y compris la distribution de l'Agent d'administration) depuis Internet et la place sur la ressource fichier spéciale de l'entreprise. L'objet de la stratégie de groupe fait référence au fichier MSI de ce paquet configuré qui se trouve dans le sous-dossier sur une ressource fichier spéciale de l'entreprise. La configuration des paramètres de l'installation s'opère via la configuration des propriétés MSI ou via la configuration des fichiers de transformation MST.