Gérer un parc de 1000 machines sans GPO

Gérer un parc de 1000 machines sans GPO - Poste de travail - Systèmes & Réseaux Pro

Marsh Posté le 05-06-2016 à 10:38:44    

Bonjour a tous,
 
Notre client (nous sommes une société d'infogérance), possède environ 1000 PC répartis sur le territoire national.
 
Ils possèdent une direction informatique, mais la gestion du poste de travail est un peu archaïque :
 
Nous nous trainons encore de vieux XP, les achats sont gérés au compte goutte, et les postes en XP ne sont pas prêts d'être changés, car pas de budget... et nous devons gérer cela derrière.
 
Auparavant, nous les postes étaient dans un domaine sur lequel nous avions la main (gestion du DNS, gestion des GPO...), mais suite a un rachat, un nouveau domaine a été crée, et géré par une autre société.
Et il est impossible de crée une GPO ou de leur faire créer, impossible de modifier les DNS.
 
Comment pouvons nous nous passer de GPO ?
 
Exemple, pour le déploiement d'un raccourci sur le bureau, nous pouvons utiliser du psexec ou autre logiciel ?
Mais pour gérer le firewall ou le paramétrage d'internet explorer, comment pouvons nous faire sans GPO ? Existe t'il d'autres logiciels pour faire cela ?
 
Autre chose, a l'installation d'un poste, nous avions l'habitude d'utiliser la connectique VGA, qui était un peu le standard sur les PC de bureau et PC portables, mais avec les dernières machines qui nous ont étés livrées, des Optiplex 3040, nous n'avons plus de connecteur VGA.
Et problème, nos écrans ne disposent quasi pas de connectique Display port (écrans achetés au rabais a environ 100€), ils ont pour la plupart du VGA/DVI.
 
Comment vous êtes vous adaptés a ce changement, a l'installation d'un nouveau poste, qu'installez vous comme connectique ?

Reply

Marsh Posté le 05-06-2016 à 10:38:44   

Reply

Marsh Posté le 05-06-2016 à 15:43:32    


Citation :

Exemple, pour le déploiement d'un raccourci sur le bureau, nous pouvons utiliser du psexec ou autre logiciel ?  
Mais pour gérer le firewall ou le paramétrage d'internet explorer, comment pouvons nous faire sans GPO ? Existe t'il d'autres logiciels pour faire cela ?  
 


 
 
les gpo ne sont que des clé de registre,
 
https://www.microsoft.com/en-us/dow [...] x?id=25250
 
le firewall peut etre paramétré part netsh
https://technet.microsoft.com/fr-fr [...] s.10).aspx
 
 
 

Citation :


Autre chose, a l'installation d'un poste, nous avions l'habitude d'utiliser la connectique VGA, qui était un peu le standard sur les PC de bureau et PC portables, mais avec les dernières machines qui nous ont étés livrées, des Optiplex 3040, nous n'avons plus de connecteur VGA.  
Et problème, nos écrans ne disposent quasi pas de connectique Display port (écrans achetés au rabais a environ 100€), ils ont pour la plupart du VGA/DVI.  
 
Comment vous êtes vous adaptés a ce changement, a l'installation d'un nouveau poste, qu'installez vous comme connectique ?


 
adaptateur dp-vga

Reply

Marsh Posté le 05-06-2016 à 15:52:11    

+1, c'est des clés de registre donc au pire tu les pousses via un outil de gestion du poste (sccm, altiris and co)

Reply

Marsh Posté le 05-06-2016 à 20:38:00    

xu5ja a écrit :

Auparavant, nous les postes étaient dans un domaine sur lequel nous avions la main (gestion du DNS, gestion des GPO...), mais suite a un rachat, un nouveau domaine a été crée, et géré par une autre société.
Et il est impossible de crée une GPO ou de leur faire créer, impossible de modifier les DNS.


C'est quoi cette manière de bosser ?
Vous êtes l’infogérance d'une société qui est géré pour certaines parties par une autre société d’infogérance ?
Déjà je demanderais si le client à l'intention de vous garder ou pas, car là ça sent aussi le futur départ de ce client [:spamatounet]  
Si oui -> demander l'accès à l'AD et osef.
Si non -> osef laisser tout en plan et bye.

xu5ja a écrit :

Autre chose, a l'installation d'un poste, nous avions l'habitude d'utiliser la connectique VGA, qui était un peu le standard sur les PC de bureau et PC portables, mais avec les dernières machines qui nous ont étés livrées, des Optiplex 3040, nous n'avons plus de connecteur VGA.
Et problème, nos écrans ne disposent quasi pas de connectique Display port (écrans achetés au rabais a environ 100€), ils ont pour la plupart du VGA/DVI.
 
Comment vous êtes vous adaptés a ce changement, a l'installation d'un nouveau poste, qu'installez vous comme connectique ?


Y'a du HDMI non ? Donc achat de câbles HDMI/DVI de ce style.
Pour l'utilisation de DP, achat d'adaptateurs DP/DVI de ce style et utilisation du câble DVI d'origine de l'écran, ou achat de câbles DP/DVI.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 06-06-2016 à 06:53:22    

exmachina a écrit :


Citation :

Exemple, pour le déploiement d'un raccourci sur le bureau, nous pouvons utiliser du psexec ou autre logiciel ?  
Mais pour gérer le firewall ou le paramétrage d'internet explorer, comment pouvons nous faire sans GPO ? Existe t'il d'autres logiciels pour faire cela ?  
 


 
 
les gpo ne sont que des clé de registre,
 
https://www.microsoft.com/en-us/dow [...] x?id=25250
 
le firewall peut etre paramétré part netsh
https://technet.microsoft.com/fr-fr [...] s.10).aspx
 
 
 

Citation :


Autre chose, a l'installation d'un poste, nous avions l'habitude d'utiliser la connectique VGA, qui était un peu le standard sur les PC de bureau et PC portables, mais avec les dernières machines qui nous ont étés livrées, des Optiplex 3040, nous n'avons plus de connecteur VGA.  
Et problème, nos écrans ne disposent quasi pas de connectique Display port (écrans achetés au rabais a environ 100€), ils ont pour la plupart du VGA/DVI.  
 
Comment vous êtes vous adaptés a ce changement, a l'installation d'un nouveau poste, qu'installez vous comme connectique ?


 
adaptateur dp-vga


 
Pour les GPO et le firewall, OK, mais comment puis-je faire pour les "pousser" au démarrage de la machine ?

Reply

Marsh Posté le 06-06-2016 à 06:54:42    

Je@nb a écrit :

+1, c'est des clés de registre donc au pire tu les pousses via un outil de gestion du poste (sccm, altiris and co)


Quelle infra devons nous avoir pour du SCCM ?
 
1 serveur d'administration et 1 agent a déployer sur les postes ?

Reply

Marsh Posté le 06-06-2016 à 06:56:26    

bardiel a écrit :


C'est quoi cette manière de bosser ?
Vous êtes l’infogérance d'une société qui est géré pour certaines parties par une autre société d’infogérance ?
Déjà je demanderais si le client à l'intention de vous garder ou pas, car là ça sent aussi le futur départ de ce client [:spamatounet]  
Si oui -> demander l'accès à l'AD et osef.
Si non -> osef laisser tout en plan et bye.


 

bardiel a écrit :


Y'a du HDMI non ? Donc achat de câbles HDMI/DVI de ce style.
Pour l'utilisation de DP, achat d'adaptateurs DP/DVI de ce style et utilisation du câble DVI d'origine de l'écran, ou achat de câbles DP/DVI.


Nous sommes surtout le support informatique des utilisateurs, et l'autre domaine est géré par l'hébergeur.

Reply

Marsh Posté le 06-06-2016 à 07:20:26    

J'avais pensé aux adaptateurs Display Port/VGA, mais :
 
-Les machines sont toujours commandées en urgence (panne ou installation urgente), et quelques fois nous avons le PC qui est bien livré, mais nous devons attendre 1 semaine l'écran, et donc l'adaptateur, nous pouvons aussi attendre 1 semaine.
Autant l'écran, si on a l'adaptateur, nous pouvons nous débrouiller pour en trouver 1, sans adaptateur, nous ne pouvons pas faire l'install :D
 
-Cela fait un composant en plus qui peut tomber en panne : Pour effectuer la conversion Numerique=>Analogique, il y a bien un petit composant a l'intérieur du convertisseur, et donc ce convertisseur peut tomber en panne. N'oublions pas que les machines ont une durée de vie de 5 ans :D
Les Optiplex 3040 disposent bien d'un port VGA, mais uniquement en accessoires Dell. Problème, cela nous fait perdre 15 min a l'installer et second problème, la livraison de cet accessoire peut être livré après le PC.

Reply

Marsh Posté le 06-06-2016 à 08:13:51    

Pour du déploiement de clé de registre ou de paquets updatengine est top et pas besoin de domaine. Seul problème les agents...


---------------
-- Topic de vente -- FeedBack --
Reply

Marsh Posté le 06-06-2016 à 09:32:03    

1000 postes et pas de budget ?! c'est plutôt une gestion irresponsable.
votre client court vers une catastrophe industrielle

Reply

Marsh Posté le 06-06-2016 à 09:32:03   

Reply

Marsh Posté le 06-06-2016 à 10:10:59    

Je ne comprends pas pourquoi tu t'enfermes dans des problématiques techniques quand tu as des problématiques d'organisation et de gouvernance majeures...
 
Concrètement, après le rachat, qui gère légalement la partie support utilisateur ? Pourquoi ne pouvez-vous pas compter sur l'autre équipe informatique pour les change de plus haut niveau ? Quels sont les rôles et responsabilités de chacun ?
On dirait que tu bosses sans hiérarchie, et que ton client bosse dans l'anarchie la plus totale, c'est assez flippant.

Reply

Marsh Posté le 06-06-2016 à 11:21:56    

Citation :

Pour les GPO et le firewall, OK, mais comment puis-je faire pour les "pousser" au démarrage de la machine ?


 
voila :
https://dev.tranquil.it/wiki/WAPT_- [...] ur_Windows
 
ou avec psexec.

Reply

Marsh Posté le 17-06-2016 à 18:44:10    

nebulios a écrit :

Je ne comprends pas pourquoi tu t'enfermes dans des problématiques techniques quand tu as des problématiques d'organisation et de gouvernance majeures...
 
Concrètement, après le rachat, qui gère légalement la partie support utilisateur ? Pourquoi ne pouvez-vous pas compter sur l'autre équipe informatique pour les change de plus haut niveau ? Quels sont les rôles et responsabilités de chacun ?
On dirait que tu bosses sans hiérarchie, et que ton client bosse dans l'anarchie la plus totale, c'est assez flippant.

Parceque c'est pas son role ? Faut peut être remonter ca au responsable de compte.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 18-06-2016 à 02:06:16    

Tu devrais dire que c'est humainement pas possible d'effectuer les modifications qu'on te demande de faire sur 1000 machines sans gestion centralise et botter en touche.
 
A ta place sans outils, le seul truc c'est faire une doc et l'envoyer a tes utilisateurs en les enjoignant de proceder aux modifications. (LOL)
 
Ok c'est de la merde mais t'as pas le choix. Oublie PSexec, oublie les modifications de registres, oublie les scripts WMI cela ne marchera pas.
 
Il n'y a aucune alternative viable. PSexec et autres restent des bricolages qui vont etre presques impossibles a mettre en place. Pour les sceptique => comment vous vous assurez que toutes les cibles sont atteintes et comment vous vous assurez que l'etat que vous avez defini est persistant.


Message édité par ahbahlut le 18-06-2016 à 02:10:04
Reply

Marsh Posté le 18-06-2016 à 12:52:52    

Au délà de l'aspect technique, c'est quand même vraiment mal géré et organisé je trouve. Comment-veux tu gérer proprement 1000 postes (sur différents sites en plus) sans une gestion centralisé ?
 
Soit avoir un minimum la main sur les GPO, ou alors mettre des procédures en place pour que l'autre société mettre en place vos demandes.
Soit mettre en place une infra avec un outil tiers qui offre les même fonctionnalités que les GPO, et dans ce cas il faudra passer à la caisse.
 
Les solutions comme psexec ou autre, ça va pour un cas unitaire à l'instant T, pour 1000 postes au quotiden la réponse est clairement non.
 
Par ailleurs, je me pose les questions suivantes :
- comment vous installez les PC ?
- qui décide des composants/scripts/logiciels à installer sur les PC ?
- qui met le PC dans le domaine ?
 
 
Pour ce qui est de l'adapteur pour les écrans, je ne vois pas où est le problème ?
- Combien d'adapteur vont réellement tomber en panne ? 1 pour 1000 ? qui plus est, ce sont des Optiplex, les utilisateurs ne sont pas sensés y toucher tous les jours...
- Pour le problème de livraison, avoir un minimum de stock est quand même un... minimum. Vous ne gérez pas ici un parc de 50 PC, mais 1000.
 
Bref, si tu regardes chacun des points, le problème ici est avant tout organisationnel, et non technique.

Reply

Marsh Posté le 18-06-2016 à 21:30:52    

Evelations a écrit :

Au délà de l'aspect technique, c'est quand même vraiment mal géré et organisé je trouve. Comment-veux tu gérer proprement 1000 postes (sur différents sites en plus) sans une gestion centralisé ?
 
Soit avoir un minimum la main sur les GPO, ou alors mettre des procédures en place pour que l'autre société mettre en place vos demandes.
Soit mettre en place une infra avec un outil tiers qui offre les même fonctionnalités que les GPO, et dans ce cas il faudra passer à la caisse.
 
Les solutions comme psexec ou autre, ça va pour un cas unitaire à l'instant T, pour 1000 postes au quotiden la réponse est clairement non.
 
Par ailleurs, je me pose les questions suivantes :
- comment vous installez les PC ?
- qui décide des composants/scripts/logiciels à installer sur les PC ?
- qui met le PC dans le domaine ?
 
 
Pour ce qui est de l'adapteur pour les écrans, je ne vois pas où est le problème ?
- Combien d'adapteur vont réellement tomber en panne ? 1 pour 1000 ? qui plus est, ce sont des Optiplex, les utilisateurs ne sont pas sensés y toucher tous les jours...
- Pour le problème de livraison, avoir un minimum de stock est quand même un... minimum. Vous ne gérez pas ici un parc de 50 PC, mais 1000.
 
Bref, si tu regardes chacun des points, le problème ici est avant tout organisationnel, et non technique.


C'est sur que c'est mal géré, et que c'est le gros bordel, mais nous manquons aussi de temps.
Tout a besoin d'etre remis a plat exemple:
-Pouvoir finir de virer les quelques XP qui nous restent sur le parc
-Supprimer l'antivirus MS Endpoint Protection, que nous utilisons sans console, le client a fait le choix de Kaspersky EndPoint Protection
-Réactiver le firewall sur toutes les machines, mais pour cela nous devons inventorier toutes les applications métier utilisées et si toutes les applications fonctionnent correctement
-Penser au déploiement de Windows 10, mais pour cela, il faut que l'on teste que chaque appli métier fonctionne.
 
Comment cela se passe lors d'une install,  
 
Le PC est commandé puis reçu sur site, nous n'avons pas de Ghost, donc nous devons tout paramétrer (mdp admin local, options de paramètres d'alimention...), nous nommons correctement la machine, nous intégrons la machine au domaine.
Quand aux softs a installer, de nombreuses applications sont full web, mais Office par exemple, nous avons notre clé USB qui contient l'installeur pour Office. Nous l'installons uniquement si l'utilisateur en a besoin.
 
Pour l'adaptateur, ne pas oublier que nos machines durent minimum 5 ans, et j'ai bien peur que ces adaptateurs ne durent pas 5 ans.
 
Quand au problème de stock, c'est impossible : nous avons par exemple 5 entités sur la région parisienne, nous devrions gérer 5 stocks, gérer un local dédié et sécurisé pour cela.

Reply

Marsh Posté le 19-06-2016 à 23:52:28    

J'ai des PC avec de l'adaptateur DP-DVI qui ont 5 ans, ça bouge pas. Et pourtant j'en ai certains qui sont exposé plein soleil l'été, du plastique quasi-fondu, mais ça fonctionne [:spamatounet]  
D'autres qui sont "shootés" par les femmes de ménage qui ne font vraiment pas attention au matos installé (du genre "tiens on débranche un prise au hasard pour brancher l'aspirateur... oups c'est quoi ce bruit oulala je me barre vite fait sans rien rebrancher", bah ouais ma p'tite dame, un onduleur ça braille fort :D )
 
Après de ce que je comprend c'est vraiment un gros bordel chez vous... et invoquer un manque de temps, c'est plutôt un manque d'organisation. Un support informatique qui n'a pas la main directement (ou très rapidement) sur le domaine, c'est suicidaire.
Comme l'a indiqué auparavant ChaTTon2, ce n'est pas à toi que reviendrait la charge de réorganiser tout le process d'installation et de maintenance. Fais remonter le "manque de temps" et les problèmes remontés à ta hiérarchie, en indiquant qu'il y aurait probablement moyen de faire mieux. Veux-tu (peux-tu ? :D ) le faire ?


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 20-06-2016 à 09:13:19    

bardiel a écrit :


D'autres qui sont "shootés" par les femmes de ménage qui ne font vraiment pas attention au matos installé (du genre "tiens on débranche un prise au hasard pour brancher l'aspirateur... oups c'est quoi ce bruit oulala je me barre vite fait sans rien rebrancher", bah ouais ma p'tite dame, un onduleur ça braille fort :D )


 
Mais c'est tellement ça en plus  :lol:  
 

Reply

Marsh Posté le 20-06-2016 à 09:16:59    


L'organisation informatique de votre boîte fait vraiment très peur, nous avons beaucoup plus de moyen pour un parc de 200 PCs.
 
Je pense qu'il faut savoir refuser certaines tâches, tant que votre direction ne veut pas faire un effort et mettre la main à la poche. C'est terrible comme les dirigeants ne voient l'informatique uniquement comme un contre de coût, sans même chercher à en tirer un bénéfice... faut dire que vu le niveau des gens en info ... pour eux c'est juste chiant l'informatique :)

Reply

Marsh Posté le 21-06-2016 à 12:46:45    

Tout simplement tu indique a ta hierachie que n'ayant pas la possibiltié de faire automatiquement via des outils adapté centralisé (GPO) la seule solution c'est manuellement.
Il te faut passer environ 30 minutes sur chaque pc. Ils calculerons vite le temps.
Il te faut donc 500heures pour les 1000PC, tu seras donc occupé pendant 3 mois sur cette taches.
T'embarrasse pas trop. Si tu n'as pas de moyen, laisse les en faces de leur responsabilité.
 


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 21-06-2016 à 18:00:59    

ChaTTon2 a écrit :

Parceque c'est pas son role ? Faut peut être remonter ca au responsable de compte.


Justement, c'est précisément ârce que ce n'est pas son rôle que je ne comprends pas pourquoi il s'aventure là-dedans - si l'opération foire - et elle va foirer - il deviendra un bouc émissaire idéal.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed