# Note DSI — Déploiement / mise à jour de Léa par GPO (AD clinique) - Date : 2026-06-28 - Pour : Nicolas PORQUET (DSI Hôpital privé Wallerstein) - De : équipe Léa (Dom) - Objet : utiliser l'AD/GPO de la clinique comme **canal de déploiement** des mises à jour de l'agent Léa sur les postes pilotes, en remplacement d'un updater applicatif maison. ## 1. Contexte technique de Léa (côté poste) - Léa s'installe **par utilisateur** (`%LOCALAPPDATA%\Lea\`), **sans droits administrateur ni UAC**, sans Python système (Python embarqué). - Le programme d'installation est un **EXE (Inno Setup)** supportant le mode **silencieux** (`/SILENT` / `/VERYSILENT`). **Pas de package MSI** à ce jour. - L'app tourne en contexte utilisateur (`pythonw.exe`), démarrage par raccourci/observation. ## 2. Besoin Pousser une **mise à jour** (la prochaine, et idéalement les suivantes) sur **un sous-ensemble de postes** (les postes pilotes Léa), **sans intervention manuelle poste par poste**. ## 3. Options GPO envisagées (à valider avec vous) | Option | Mécanisme | Adapté ? | |---|---|---| | **Logon script (utilisateur)** | script au login qui lance l'installeur en silencieux ou copie les fichiers à jour dans `%LOCALAPPDATA%\Lea\` | ✅ **fit naturel** (per-user, sans admin) | | **GPP — Files / Scheduled Task** | déploiement de fichiers ou tâche planifiée de mise à jour | ✅ alternative | | GPO **Software Installation** | déploiement **MSI** assigné machine/utilisateur | ❌ nécessite un **MSI** (non disponible) | - **Idempotence** : le script vérifiera un **marqueur de version** pour ne PAS réinstaller à chaque ouverture de session. - **Payload** : les fichiers de mise à jour seront déposés sur un **partage atteignable** par les postes (SYSVOL ou share réseau dédié) — à définir avec vous. - **Rollback** : en cas de version défaillante, repush de la version précédente par la même voie. ## 4. Questions / ce que nous vous demandons 1. **Topologie exacte des postes pilotes** : PC physiques joints à l'AD ? hôtes **RDP** ? applications **Citrix** publiées ? (cela décide GPO **machine** vs **utilisateur**). 2. Pouvez-vous créer une **OU dédiée** ou un **groupe de sécurité** ciblant les postes/utilisateurs Léa ? 3. Un **partage réseau** (ou SYSVOL) pour héberger le payload de mise à jour ? 4. Vos **contraintes de sécurité** : les **logon/startup scripts** sont-ils autorisés par votre politique ? Y a-t-il **AppLocker / SRP / WDAC** ou une exigence de **signature de code** sur les exécutables ? (le cas échéant on fournit l'empreinte SHA256 / on discute signature). 5. Validez-vous le principe **rollback = repush version précédente** ? ## 5. Ce que nous fournissons - L'**installeur silencieux** (EXE) + son empreinte SHA256. - Un **script de logon** type (lancement silencieux + contrôle de version/marqueur). - La **liste des postes** pilotes concernés. ## 6. Bénéfice Canal de déploiement **standard, piloté par la DSI, traçable**, sans updater applicatif maison (donc sans risque de « briquer » les postes par un mécanisme de mise à jour custom). Compatible mises à jour ultérieures.