Mise à jour du 20/03/2016 : La méthode décrite ci-dessous est toujours fonctionnelle mais présente des difficultés dues à son ancienneté (cf les commentaires), l'article Intégrer les mises à jour à un ISO Windows 7 (épisode 2) décrit une méthode plus récente et plus simple.

Dans les semaines qui viennent, je vais être amené à déployer Windows 7 64 bits sur l'ensemble du parc informatique de la société (enfin sauf sur mon poste, faut pas pousser hein…), mettant ainsi fin au règne de Windows XP. Pas de problème particulier en perspective si ce ne sont d'éventuelles incompatibilités entre les plugins développés en interne (32 bits) et les futurs 3DS Max (64 bits). Message personnel pour Patrick, mon lead-artist préféré : si tu pouvais enfin te libérer quelques jours pour tester ça en profondeur, je ferai un effort pour ne plus renverser (accidentellement bien sûr !) le monceau de figurines nippones qui jonchent ton poste de travail. Mais revenons au sujet du jour, Windows 7 qui est sorti il y a maintenant 2 ans est affublé d'un Service Pack ainsi que d'un nombre non négligeable de mises à jour, typiquement le genre raffinements qui font que la procédure de mises à jour prend plus de temps que l'installation de l'OS (même avec un serveur WSUS sous le coude). L'idéal serait donc d'avoir un ISO de Windows 7 contenant l'intégralité des mises à jour. Il y a une dizaine de jours, Olivier Olejniczak de l'excellent site Synergeek, publiait un article qui allait me faciliter la tâche, la lecture de cet article est recommandée pour en apprendre un peu plus sur les fichiers .wim (que nous allons ici modifier). Olivier, donc, termine son article par la mention d'un script Powershell permettant de télécharger toutes les mises à jour concernant son OS et de les intégrer dans le fameux fichier install.wim. Je vais donc détailler la mise en œuvre de ce processus ô combien distrayant.

Pré-requis :

  • Windows 7 / 2008 R2 (64 bits dans le cas présent)
  • Powershell 2.0 (la version 3.0 pose problème)

Procédure :

On va commencer par télécharger le Microsoft Deployment Toolkit qui nous fournira tous les outils nécessaires aux futures manipulations. Une fois installé, exécuter le Deployment Workbench, se rendre dans la partie Information Center > Components et télécharger Windows Automated Installation Kit (boire 5 cafés le temps de rapatrier les 1,7 Gio).

DeployementWorkbench - Télécharger WAIK

Si vous n'aimez pas le café (et je vous plains sincèrement), vous pouvez préparer l'environnement de travail pendant ce temps :

 – Copier le contenu de l'ISO de Windows 7 dans un dossier (par exemple X:\ISO_update\Win7\), notez que l'utilisation d'un ISO contenant le SP1 est recommandé, l'ISO finale n'en sera que plus léger. Pour ceux qui n'ont pas accès facilement à ces ISO, ils sont disponibles ici (attention, je vous invite grandement à vérifier les checksum MD5 ou SHA1 de ces images pour éviter toutes mauvaises surprises, pour ma part le MD5 de l'ISO Français x64: X17-59197.iso est conforme à ce qu'il doit être – 9211b4c6f8ca317a09e32e701faf2be1)

 – Télécharger dans le dossier X:\ISO_update\ le script magique qui va intégrer les mises à jour et protéger votre machine des BSoD, de la cirrhose et de la calvitie : https://imagepatcher.codeplex.com

 – Lancer une session Powershell en mode administrateur et entrer la commande suivante afin d'autoriser les scripts non-signés (à utiliser en connaissance de cause !) :

Set-ExecutionPolicy RemoteSigned

– Si cela ne fonctionne pas, utiliser la commande suivante :

Set-ExecutionPolicy Unrestricted

 – Une fois le Windows Automated Installation Kit installé, exécuter le script de mise à jour (la procédure peut durer plusieurs dizaines de minutes selon le nombre d'images à mettre à jour) :

cd X:\ISO_update
.\imagepatcher.ps1 -dbg:no -imagefile:X:\ISO_update\Win7\sources\install.wim -patchimages:"3"

ImagePatcher

Paramètres du script :

  • dbg [yes/no] : mode verbeux
  • imagefile [path] : chemin vers le fichier .wim
  • patchimages [all/1,2,3,4…] : détermine quelle(s) image(s) mettre à jour dans le fichier .wim (éditer le fichier [1].xml contenu dans le fichier install.wim pour déterminer le numéro de chaque image, ici 1=Home Basic ; 2=Home Premium ; 3=Professional ; 4=Ultimate)

 – La procédure terminée, il ne reste plus qu'à créer un ISO bootable (plus d'infos sur les paramètres de oscdimg) :

cd C:\Program Files\Windows AIK\Tools\amd64\
.\oscdimg.exe -u2 -m -h -oc -g -bX:\ISO_update\Win7\boot\etfsboot.com X:\ISO_update\Win7 X:\win7_updated.iso

– Interdire de nouveau les scripts non-signés :

Set-ExecutionPolicy Restricted 

Bilan : l'image obtenue pèse quelques 3,3 Gio, je note cependant qu'une vingtaine de mises à jour supplémentaires sont quand même nécessaires après l'installation de OS, sans compter celles concernant .NET ou Silverlight. Toujours est-il que ce script permet d'avoir une image de Windows 7 à peu près à jour qui permettra d'économiser un temps précieux lors du déploiement des postes de travail.

Bonus : Pour ceux qui rechignent à utiliser la ligne de commande (ce que je peux comprendre, malgré tout), je suis tombé sur gDISM, un outil écrit en Java qui permet d'utiliser les possibilités de la commande dism de manière intuitive. Il ne permet pas l'intégration automatique des mises à jour mais par exemple, l'ajout de pilotes (pour ceux qui ont la chance d'avoir un parc informatique homogène…), l'activation de diverses fonctionnalités ainsi que tout un tas d'outils bien utiles à la bidouille des ISO Windows.

gDISM

Sources :


Mr Manatane
L’incorrigible enfant gâté que vous êtes ! Vous l’avez installé hein, n’est-ce pas ?! Le système d’exploitation de l’an 2000, la distribution Linux de Monsieur Puissance. L’informatique au service de l’homme moderne. Et vous avez décidé d’en apprécier les performances réelles par une petite compilation sur le vif. Bref, ça va chier dans le compilateur les loulous ; c’est bien légitime. Mais au moment de vous connecter au serveur de fichiers pour y récupérer les sources, un popup vous invite à marquer un temps d’arrêt, il prétend dans un jargon très approximatif, vouloir vous authentifier sur le domaine Active Directory de l’entreprise et parait en vouloir à votre couple identifiant/mot de passe. Voilà qui est fort désobligeant convenez-en. Alors que faire ?

J’interrompt brièvement cette introduction honteusement empruntée au regretté Mr Manatane pour préciser que cette dernière m’a été inspirée par la découverte de l’ignorance crasse de mes Jeunes quant à l’humour télévisuel belge de la fin du siècle dernier (je préfère employer le mot Jeune à celui de Stagiaire qui ne reflète en rien l’affection que le Pygmalion porte à ses disciples et ce malgré l’ingratitude de certains d’entre eux, notez-le). Mais reprenons, voulons-nous?

Il ne faut jamais au grand jamais vous exécuter en invoquant une quelconque fatalité, sous peine de devoir saisir vos identifiant et mot de passe à qui mieux mieux. Non, vous devez avec l’assurance du sysadmin chevronné vous gausser devant tant de naïveté et dire : « Mais que me contez-vous là, le Windows ? Vous m’insultez, sachez que je ne m’authentifie qu’une fois par jour et pas une de plus. Likewise Open, vous voyez ce que c’est ? » Et ponctuez éventuellement votre phrase de cliquetis de souris ou de quelques claquements de touches de clavier. Vous passerez instantanément pour ce que l’on appelle en langage informatique, un as du clavier. Et il y a fort à parier que le contrôleur de domaine piqué au vif vous mette au défi et vous propose sur le champ de mettre vos dires en pratique. Et là petit conseil d’ami, consentez à brider vos ardeurs, il est toujours utile de rester en bon terme avec votre contrôleur de domaine attitré.

Pré-requis :

  • Un poste de travail sous GNU/Linux (ici Ubuntu 11.04 64 bits)
  • Un domaine Active Directory (dans mon cas les contrôleurs de domaines sont sous Windows 2008 R2)

Conventions :

  • prompt : # commande : exécuter la commande sous le compte root ou précédée de la commande « sudo »
  • prompt : $ commande : exécuter la commande sous le compte utilisateur

Likewise Open est donc un logiciel qui permet d’intégrer un poste UNIX, GNU/Linux ou Mac OS X dans un environnement Microsoft Active Directory (la liste des systèmes supportés est disponible ici). Je m’intéresse ici à la version Open qui est gratuite et amplement suffisante pour mon usage. La version Entreprise offre quant à elle bien plus de fonctionnalités qui sont détaillées ici pour les personnes intéressées.

1. Installation

Il est possible de télécharger le logiciel sur le site de Likewise à l’adresse : http://www.likewise.com/download (quelques informations vous serons demandées) mais pour ceux qui rechignent à lâcher le moindre renseignement qui alimentera sans nul doute quelques obscures bases de données marketing, voici le lien direct vers la version stable (6.0.0.8360) : http://www.likewise.com/community/index.php/download. Pour ma part, la version présente dans les dépôts n’a pas fonctionnée (6.0.0.53010). De plus, il peut parfois être nécessaire avec les distributions récentes de recourir à la version de développement de Likewise Open (actuellement 6.1.0.8656) : http://www.likewise.com/community/index.php/download/6.1.

– Télécharger le logiciel qui correspond à votre OS :

$ cd /tmp
$ wget http://www.likewise.com/bits/6.0/8360/LikewiseOpen-6.0.0.8360-linux-amd64-deb.sh

– Rendre le fichier exécutable et le lancer :

# chmod u+x LikewiseOpen-6.0.0.8360-linux-amd64-deb.sh
# ./LikewiseOpen-6.0.0.8360-linux-amd64-deb.sh

– Suivre les instructions d’installation.

– Éditer le fichier /etc/nsswitch et modifier les lignes passwd, group, hosts pour qu’elles soient exactement comme ci-dessous (l’ordre des paramètres est important) :

# nano /etc/nsswitch
passwd:         compat lsass
group:          compat lsass
shadow:         compat

hosts:          files dns mdns4_minimal [NOTFOUND=return] mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Redémarrer le poste de travail n’est pas obligatoire mais d’expérience, c’est plus que recommandé afin de prendre en compte les changements.

– Vérifier que le domaine est joignable (c’est 2 commandes doivent impérativement fonctionner, le cas échéant consulter la documentation afin de résoudre le problème) :

# ping my_domain.local
64 bytes from domain_controler_01.my_domain.local (172.16.0.1): icmp_req=1 ttl=128 time=0.187 ms
# nslookup my_domain.local
Server:        172.16.0.1
Address:    172.16.0.1#53

Name:    my_domain.local
Address: 172.16.0.1
Name:    my_domain.local
Address: 172.16.0.2

2. Rejoindre un domaine

– Il est possible d’utiliser l’interface graphique pour joindre le domaine :

# /opt/likewise/bin/domainjoin-gui

Likewise Open GUILikewise Open GUI Authentification

ou d’utiliser la ligne de commande :

# /opt/likewise/bin/domainjoin-cli join my_domain.local active_directory_admin
Joining to AD Domain:   my_domain.local
With Computer DNS Name: my_computer.my_domain.local
active_directory_admin@my_computer.my_domain.local's password:
SUCCESS

– Il ne reste plus qu’à redémarrer le poste de travail pour prendre en compte les changements et se connecter via l’interface graphique avec l’identifiant my_domain\my_account ou en ligne de commande avec l’identifiant my_domain\\my_account (notez le double \).

 

3. Configuration du compte

Avant de pouvoir profiter pleinement de votre session, il va falloir se connecter sur un compte local du poste de travail ayant un accès root (typiquement celui qui est créé à l’installation de l’OS) afin de donner les droits d’administration local au compte du domaine.

– Editer le fichier /etc/sudoers et ajouter le compte du domaine (permet au compte d’exécuter des commandes avec les droits root) :

# visudo
# User privilege specification
root    ALL=(ALL:ALL) ALL
my_domain\\my_account ALL=(ALL:ALL) ALL
my_account ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%my_domain\\my_account ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo    ALL=(ALL:ALL) ALL

– Editer le fichier /etc/group et ajouter le compte du domaine aux mêmes groupes que l’utilisateur local (afin qu’il bénéficie des mêmes droits sur le poste de travail) :

# nano /etc/group
adm:x:4:my_local_account,my_domain\my_account
dialout:x:20:my_local_account,my_domain\my_account
cdrom:x:24:my_local_account,my_domain\my_account
plugdev:x:46:my_local_account,my_domain\my_account
lpadmin:x:112:my_local_account,my_domain\my_account
admin:x:120:my_local_account,my_domain\my_account
sambashare:x:122:my_local_account,my_domain\my_account
vboxusers:x:123:my_local_account,my_domain\my_account

On va maintenant se connecter sous son compte du domaine comme indiqué précédemment pour paramétrer plus finement ce dernier.

– Lancer un terminal, on remarque ici que le classique account@computer:~$ est remplacé par un simple $, pour y remédier on va définir le shell par défaut (bash dans mon cas) :

# /opt/likewise/bin/lwconfig LoginShellTemplate /bin/bash

– De la même manière, on va définir le domaine par défaut afin de ne plus avoir à le renseigner :

# /opt/likewise/bin/lwconfig AssumeDefaultDomain true

4. Quitter un domaine

– Il est possible d’utiliser l’interface graphique pour quitter le domaine :

# /opt/likewise/bin/domainjoin-gui

ou la ligne de commande :

# /opt/likewise/bin/domainjoin-cli leave active_directory_admin

5. Dernière astuce pour la route…

Utilisant le logiciel Truecrypt assez couramment, j’ai rencontré des difficultés pour accéder à mes volumes montés sous le compte de domaine, et ce malgré le fait que ce compte est censé avoir les mêmes droits que le compte créé à l’installation du système. Le problème est en partie résolu en ajoutant les paramètres de montage suivants dans les préférences du logiciel :

uid=my_account,gid=1000,umask=0007

Un autre problème gênant que je n’ai par contre pas réussi à résoudre, c’est le non-affichage des volumes montés dans l’interface de Truecrypt alors qu’il apparaît si Truecrypt est lancé avec les droits root. Qui plus est, pour démonter le volume il faut donc utiliser Truecrypt avec les droits root, on se heurte alors au message d’erreur suivant :

Un petit tour sur le web pour trouver une solution guère élégante mais qui a l’immense mérite de fonctionner (/media/truecrypt1 étant mon point de montage, à adapter au cas par cas) :

# umount /media/truecrypt1 -d && rm -rf /tmp/.truecrypt_aux_mnt1/

Vous voici donc l’heureux possesseur d’un poste de travail sous GNU/Linux intégré dans un Active Directory et ce au prix de quelques ridicules petites commandes. En vous remerciant, bonsoir !