- 21 docs/*.md: audits, design notes, deployment plans, checklists, memos - Coordination: ROLES, runbooks (DGX reboot, Lea live), patches, registre, syntheses, systemd, QG template - Handoffs: 6 Codex handoff documents + README + template
3.1 KiB
3.1 KiB
Note DSI — Déploiement / mise à jour de Léa par GPO (AD clinique)
- Date : 2026-06-28
- Pour : Nicolas PORQUET (DSI Hôpital privé Wallerstein)
- De : équipe Léa (Dom)
- Objet : utiliser l'AD/GPO de la clinique comme canal de déploiement des mises à jour de l'agent Léa sur les postes pilotes, en remplacement d'un updater applicatif maison.
1. Contexte technique de Léa (côté poste)
- Léa s'installe par utilisateur (
%LOCALAPPDATA%\Lea\), sans droits administrateur ni UAC, sans Python système (Python embarqué). - Le programme d'installation est un EXE (Inno Setup) supportant le mode silencieux (
/SILENT//VERYSILENT). Pas de package MSI à ce jour. - L'app tourne en contexte utilisateur (
pythonw.exe), démarrage par raccourci/observation.
2. Besoin
Pousser une mise à jour (la prochaine, et idéalement les suivantes) sur un sous-ensemble de postes (les postes pilotes Léa), sans intervention manuelle poste par poste.
3. Options GPO envisagées (à valider avec vous)
| Option | Mécanisme | Adapté ? |
|---|---|---|
| Logon script (utilisateur) | script au login qui lance l'installeur en silencieux ou copie les fichiers à jour dans %LOCALAPPDATA%\Lea\ |
✅ fit naturel (per-user, sans admin) |
| GPP — Files / Scheduled Task | déploiement de fichiers ou tâche planifiée de mise à jour | ✅ alternative |
| GPO Software Installation | déploiement MSI assigné machine/utilisateur | ❌ nécessite un MSI (non disponible) |
- Idempotence : le script vérifiera un marqueur de version pour ne PAS réinstaller à chaque ouverture de session.
- Payload : les fichiers de mise à jour seront déposés sur un partage atteignable par les postes (SYSVOL ou share réseau dédié) — à définir avec vous.
- Rollback : en cas de version défaillante, repush de la version précédente par la même voie.
4. Questions / ce que nous vous demandons
- Topologie exacte des postes pilotes : PC physiques joints à l'AD ? hôtes RDP ? applications Citrix publiées ? (cela décide GPO machine vs utilisateur).
- Pouvez-vous créer une OU dédiée ou un groupe de sécurité ciblant les postes/utilisateurs Léa ?
- Un partage réseau (ou SYSVOL) pour héberger le payload de mise à jour ?
- Vos contraintes de sécurité : les logon/startup scripts sont-ils autorisés par votre politique ? Y a-t-il AppLocker / SRP / WDAC ou une exigence de signature de code sur les exécutables ? (le cas échéant on fournit l'empreinte SHA256 / on discute signature).
- Validez-vous le principe rollback = repush version précédente ?
5. Ce que nous fournissons
- L'installeur silencieux (EXE) + son empreinte SHA256.
- Un script de logon type (lancement silencieux + contrôle de version/marqueur).
- La liste des postes pilotes concernés.
6. Bénéfice
Canal de déploiement standard, piloté par la DSI, traçable, sans updater applicatif maison (donc sans risque de « briquer » les postes par un mécanisme de mise à jour custom). Compatible mises à jour ultérieures.