Déploiement de logiciels via GPO (MSI)¶

La CSE Software Installation¶

GUID et enregistrement¶

La fonctionnalite Software Installation repose sur deux GUIDs de CSE, selon le contexte :

{C6DC5466-785A-11D2-84D0-00C04FB169F7}   # traitement machine
{3610EDA5-77EF-11D2-8DC5-00C04FA31A66}   # traitement utilisateur

Ces deux CSE sont implementees dans appmgmts.dll, chargee par gpsvc dans le contexte SYSTEM pour le traitement machine, et dans le contexte de la session utilisateur pour le traitement utilisateur.

Son entrée de registre se trouve sous :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\
  {C6DC5466-785A-11D2-84D0-00C04FB169F7}
  {3610EDA5-77EF-11D2-8DC5-00C04FA31A66}

Valeurs de registre de la CSE¶

Le fichier psmt.xml dans le GPT¶

Chaque GPO contenant des packages Software Installation dispose d'un fichier psmt.xml dans son GPT (Group Policy Template), au chemin :

\\<domain>\SYSVOL\<domain>\Policies\{GPO-GUID}\
  Machine\Applications\psmt.xml     ← packages assignés à l'ordinateur
  User\Applications\psmt.xml        ← packages assignés/publiés à l'utilisateur

Ce fichier XML est le manifeste que la CSE lit pour connaître la liste des packages à appliquer, leurs ProductCode, leurs transforms associées et leurs règles de mise à niveau.

<MachinePackages>
  <Package
    name="7-Zip 23.01"
    productCode="{23170F69-40C1-2702-2301-000001000000}"
    deploymentType="Assigned"
    scriptName="\\server\share\7zip-2301.msi"
    transformList="\\server\share\transforms\7zip-corp.mst"
    upgradeProductCode=""
    removalPolicy="uninstall" />
</MachinePackages>

La clé de registre AppMgmt¶

Lors de l'application des packages, la CSE écrit les données dans :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\AppMgmt\

Cette clé contient une sous-clé par package déployé, nommée par le ProductCode MSI (GUID).

HKLM\...\AppMgmt\
  {23170F69-40C1-2702-2301-000001000000}\
    ProductName    REG_SZ     "7-Zip 23.01"
    AssignCount    REG_DWORD  0x00000001
    DeploymentType REG_DWORD  0x00000001   (1=Assigned, 2=Published)
    ScriptPath     REG_SZ     "\\server\share\7zip-2301.msi"
    Transforms     REG_SZ     "\\server\share\transforms\7zip-corp.mst"

Exemple terrain : audit rapide d'un package assigné¶

Sur un poste censé recevoir 7-Zip 23.01 en mode Assigned to Computer, vous pouvez vérifier en quelques secondes si la CSE a bien traité la GPO et si Windows Installer voit encore le produit.

$productCode = '{23170F69-40C1-2702-2301-000001000000}'
$appMgmtPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\AppMgmt\$productCode"
$uninstallPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$productCode"

[PSCustomObject]@{
    InAppMgmt      = Test-Path $appMgmtPath
    InUninstallKey = Test-Path $uninstallPath
    ScriptPath     = (Get-ItemProperty -Path $appMgmtPath -ErrorAction SilentlyContinue).ScriptPath
    DeploymentType = (Get-ItemProperty -Path $appMgmtPath -ErrorAction SilentlyContinue).DeploymentType
}

Exemple de lecture :

• InAppMgmt = True, InUninstallKey = False : la CSE a traité la GPO, mais l'installation MSI a échoué ou a été retirée ensuite.
• InAppMgmt = False, InUninstallKey = False : le poste n'a pas encore traité la GPO, ou il est hors scope.
• InAppMgmt = True, InUninstallKey = True : l'assignation et l'installation sont cohérentes.

Cette corrélation entre AppMgmt et Uninstall évite de confondre un problème de ciblage GPO avec un échec propre à Windows Installer.

GUIDs complémentaires¶

Modes d'assignation et de publication¶

Assigned to Computer¶

Le package est assigné à l'objet ordinateur. L'installation est déclenchée au démarrage de la machine, avant l'ouverture de session, dans le contexte SYSTEM.

Ce mode est silencieux : aucune interaction utilisateur n'est possible ni requise. Le package s'installe (ou se désinstalle) sans UI visible. C'est le mode recommandé pour les packages d'infrastructure.

La commande MSI sous-jacente est équivalente à :

msiexec /i "\\server\share\package.msi" /qn TRANSFORMS="\\server\share\package.mst" ALLUSERS=1

Assigned to User¶

Le package est assigné à l'objet utilisateur. Le comportement diffère fondamentalement du mode Computer.

Au lieu d'une installation immédiate, Windows crée une installation annoncée (advertised). Des raccourcis, des extensions de fichier et des entrées dans Add/Remove Programs sont enregistrés, mais les fichiers du package ne sont pas copiés.

L'installation réelle se déclenche sur activation : ouverture du raccourci, double-clic sur un fichier de l'extension associée, ou lancement d'un composant annoncé. Le package se termine en quelques secondes à quelques minutes selon sa taille.

Published to User¶

Le package est disponible dans Add/Remove Programs → Add Programs, mais n'est ni installé ni annoncé automatiquement. L'utilisateur choisit d'installer ou non.

Ce mode ne supporte pas les packages MSI pour des raisons de compatibilité. Pour les exécutables non-MSI, le format ZAP (voir section suivante) permet exclusivement ce mode Published.

Tableau comparatif des modes¶

Cycle de vie d'une installation MSI par GPO¶

flowchart TD
    A([Démarrage / Logon]) --> B{Type de déploiement ?}

    B -- "Assigned to Computer" --> C[CSE Software Installation\nchargée dans contexte SYSTEM]
    C --> D[Lecture de psmt.xml\ndepuis SYSVOL]
    D --> E{Package déjà installé ?}
    E -- Non --> F[msiexec /i ... /qn\ninstallation silencieuse]
    E -- Oui --> G{Version ou transforms\nchangés ?}
    G -- Non --> H([Aucune action])
    G -- Oui --> I[msiexec /i ... /qn REINSTALL=ALL\nmise à jour silencieuse]
    F --> J([Installation terminée\nDémarrage continué])
    I --> J

    B -- "Assigned to User" --> K[CSE Software Installation\nchargée dans contexte utilisateur]
    K --> L[Création de l'installation\nannoncée dans le registre]
    L --> M([Logon terminé\nRaccourcis visibles])
    M --> N{Utilisateur active\nun composant ?}
    N -- Non --> O([Aucune installation\nréelle effectuée])
    N -- Oui --> P[Accès source MSI via réseau\nmsiexec /i ... installation]
    P --> Q([Application disponible])

    B -- "Published to User" --> R[Entrée dans\nAdd/Remove Programs]
    R --> S{Utilisateur installe\nexplicitement ?}
    S -- Non --> T([Aucune action])
    S -- Oui --> P

Format ZAP¶

Contexte et limitations¶

Le format ZAP (Zero Administration Package) permet de référencer des exécutables non-MSI dans un déploiement Software Installation GPO. Il s'agit d'un fichier texte avec l'extension .zap qui décrit le setup à lancer.

ZAP supporte uniquement le mode Published to User. Il n'est pas possible d'assigner un package ZAP à un ordinateur ou à un utilisateur. Il n'y a aucun mécanisme de désinstallation automatique, aucun suivi de version, aucune gestion de montée de version.

Syntaxe d'un fichier ZAP¶

[Application]
FriendlyName = "Notepad++ 8.6.4"
SetupCommand = "\\server\share\npp-864.exe /S"
DisplayVersion = 8.6.4
Publisher = Notepad++ Team
URL = https://notepad-plus-plus.org

[Ext]
.txt
.log
.ini
.xml

Les sections reconnues sont :

Déployer un fichier ZAP¶

Dans la GPMC, la procédure est identique à un package MSI :

User Configuration
  └── Policies
        └── Software Settings
              └── Software Installation
                    └── Clic droit → New → Package...

Sélectionnez le fichier .zap dans le dialogue. La GPMC force automatiquement le mode Published — les modes Assigned ne sont pas proposés.

Transforms MSI (.mst)¶

Principe¶

Un transform (fichier .mst) est une base de données différentielle au format MSI qui modifie le comportement du package parent au moment de l'installation. Il ne modifie pas le MSI d'origine — il lui est appliqué en superposition par le moteur Windows Installer.

Les usages typiques en entreprise :

• Changer le répertoire d'installation (INSTALLDIR)
• Désactiver des composants optionnels (telemetrie, mise à jour automatique de l'éditeur)
• Pré-remplir des propriétés (COMPANY, SERIAL, TARGETDIR)
• Modifier le niveau de langue d'un package multilingue
• Réduire l'espace disque en excluant des sous-composants

Créer un transform avec Orca¶

Orca est l'éditeur MSI inclus dans le Windows SDK. Il permet de visualiser et modifier les tables internes d'un MSI, et d'exporter un transform.

msiexec /a "\\server\share\package.msi" TARGETDIR="C:\MSI_Extract" /qn

Procédure dans Orca :

1. File → Open → sélectionner le .msi
2. Transform → New Transform
3. Modifier les tables souhaitées (ex. : table Property → changer INSTALLDIR)
4. Transform → Generate Transform... → enregistrer le .mst

msiexec /i "C:\test\package.msi" TRANSFORMS="C:\test\package.mst" /l*v "C:\logs\install.log"

MSI (s) (A0:C4) [10:32:14:441]: Applying multiple transforms to a product
MSI (s) (A0:C4) [10:32:14:443]: TRANSFORMS property is now: C:\test\package.mst
MSI (s) (A0:C4) [10:32:14:445]: PROPERTY CHANGE: Adding INSTALLDIR property. Its value is 'D:\Apps\VendorApp\'

Associer un transform dans la GPO¶

Dans la GPMC, lors de l'ajout d'un package :

Software Installation → New → Package...
→ Sélectionner le .msi
→ Dans le dialogue "Deploy Software" : choisir "Advanced"
→ Onglet "Modifications"
→ "Add..." → sélectionner le .mst (chemin UNC)

Le chemin est stocké dans psmt.xml dans la propriété transformList. Il peut contenir plusieurs transforms séparés par des points-virgules — ils sont appliqués dans l'ordre déclaré.

Montée de version et redéploiement¶

ProductCode et UpgradeCode¶

Chaque package MSI est identifié par deux GUIDs distincts :

Le ProductCode est la clé utilisée par AppMgmt et par le moteur Windows Installer pour identifier un package installé. Une montée de version qui change le ProductCode est traitée comme un nouveau produit par Windows Installer si la table Upgrades ne le spécifie pas explicitement.

Déclarer un Upgrade dans la GPO¶

Dans la GPMC, pour remplacer un ancien package par un nouveau :

Software Installation → [nouveau package] → clic droit → Properties
→ Onglet "Upgrades"
→ "Add..." → sélectionner l'ancien package dans la même GPO ou une autre
→ Choisir le comportement : "Uninstall existing package, then install the upgrade package"
   ou "Package can upgrade over the existing package"

La CSE traite cet upgrade en deux phases lors du prochain démarrage ou logon :

1. Désinstallation de l'ancien ProductCode via msiexec /x {ancien-GUID} /qn
2. Installation du nouveau package avec le transform éventuel

msiexec /x {23170F69-40C1-2702-2301-000001000000} /qn
msiexec /i "\\server\share\7zip-2400.msi" TRANSFORMS="\\server\share\7zip-corp.mst" /qn ALLUSERS=1

Source: MsiInstaller  EventID: 1034
Product: 7-Zip 23.01 -- Removal completed successfully.

Source: MsiInstaller  EventID: 1033
Product: 7-Zip 24.00 -- Installation completed successfully.

Redéploiement forcé¶

Le redéploiement force la réinstallation d'un package dont le ProductCode n'a pas changé — utile pour rétablir un package corrompu ou pour propager une mise à jour mineure (correctif).

Dans la GPMC :

Software Installation → [package] → clic droit → "All Tasks" → "Redeploy application"

La CSE détecte que le package est marqué pour redéploiement et exécute :

msiexec /i "\\server\share\package.msi" TRANSFORMS="..." REINSTALL=ALL REINSTALLMODE=vomus /qn

Scénarios de gestion de version¶

Limites et alternatives¶

SYSVOL n'est pas un dépôt de packages¶

Le déploiement MSI par GPO suppose que le fichier .msi soit accessible depuis le poste client. Il existe deux approches :

1. Hébergement direct dans SYSVOL — techniquement possible, fortement déconseillé. SYSVOL est répliqué par DFS-R entre tous les DC. Un MSI de 200 Mo répliqué sur 10 DC représente 2 Go de données dans DFS-R, avec un impact direct sur la bande passante de réplication AD.

2. Partage dédié — approche recommandée. Le MSI est hébergé sur un partage de fichiers dédié (\\server\AppDeploy\), accessible en lecture seule pour les comptes ordinateurs et utilisateurs. La GPO référence ce chemin UNC.

Absence de reporting natif¶

Le mécanisme Software Installation GPO ne propose aucun reporting consolidé. Pour savoir si un package est installé sur 500 postes, vous devez :

• Interroger le registre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ de chaque poste via un script
• Utiliser RSOP (Resultant Set of Policy) poste par poste
• Exploiter les Event Logs (Application / MsiInstaller) de chaque machine

Il n'existe aucun tableau de bord central nativement intégré à la GPMC.

Comparatif avec les alternatives modernes¶

Cas où Software Installation GPO reste pertinent¶

Malgré ses limites, le déploiement MSI par GPO reste une option valide dans certains contextes :

• Environnement sans SCCM ni Intune : PME, infrastructure isolée, réseau classifié air-gap
• Packages légers (< 50 Mo) assignés à l'ordinateur, sans dépendances complexes
• Déploiement de certificats via MSI ou de drivers WHQL packagés en MSI
• Migration temporaire avant déploiement d'une solution MDM ou SCCM
• Scripts de configuration packagés en MSI pour bénéficier des garanties d'état Windows Installer