Files
rpa_vision_v3/docs/NOTE_DSI_DEPLOIEMENT_GPO_LEA_2026-06-28.md
Dom 6907ecc82f docs: track design docs, plans, audits, coordination infrastructure, handoffs
- 21 docs/*.md: audits, design notes, deployment plans, checklists, memos
- Coordination: ROLES, runbooks (DGX reboot, Lea live), patches, registre, syntheses, systemd, QG template
- Handoffs: 6 Codex handoff documents + README + template
2026-07-02 13:29:58 +02:00

3.1 KiB

Note DSI — Déploiement / mise à jour de Léa par GPO (AD clinique)

  • Date : 2026-06-28
  • Pour : Nicolas PORQUET (DSI Hôpital privé Wallerstein)
  • De : équipe Léa (Dom)
  • Objet : utiliser l'AD/GPO de la clinique comme canal de déploiement des mises à jour de l'agent Léa sur les postes pilotes, en remplacement d'un updater applicatif maison.

1. Contexte technique de Léa (côté poste)

  • Léa s'installe par utilisateur (%LOCALAPPDATA%\Lea\), sans droits administrateur ni UAC, sans Python système (Python embarqué).
  • Le programme d'installation est un EXE (Inno Setup) supportant le mode silencieux (/SILENT / /VERYSILENT). Pas de package MSI à ce jour.
  • L'app tourne en contexte utilisateur (pythonw.exe), démarrage par raccourci/observation.

2. Besoin

Pousser une mise à jour (la prochaine, et idéalement les suivantes) sur un sous-ensemble de postes (les postes pilotes Léa), sans intervention manuelle poste par poste.

3. Options GPO envisagées (à valider avec vous)

Option Mécanisme Adapté ?
Logon script (utilisateur) script au login qui lance l'installeur en silencieux ou copie les fichiers à jour dans %LOCALAPPDATA%\Lea\ fit naturel (per-user, sans admin)
GPP — Files / Scheduled Task déploiement de fichiers ou tâche planifiée de mise à jour alternative
GPO Software Installation déploiement MSI assigné machine/utilisateur nécessite un MSI (non disponible)
  • Idempotence : le script vérifiera un marqueur de version pour ne PAS réinstaller à chaque ouverture de session.
  • Payload : les fichiers de mise à jour seront déposés sur un partage atteignable par les postes (SYSVOL ou share réseau dédié) — à définir avec vous.
  • Rollback : en cas de version défaillante, repush de la version précédente par la même voie.

4. Questions / ce que nous vous demandons

  1. Topologie exacte des postes pilotes : PC physiques joints à l'AD ? hôtes RDP ? applications Citrix publiées ? (cela décide GPO machine vs utilisateur).
  2. Pouvez-vous créer une OU dédiée ou un groupe de sécurité ciblant les postes/utilisateurs Léa ?
  3. Un partage réseau (ou SYSVOL) pour héberger le payload de mise à jour ?
  4. Vos contraintes de sécurité : les logon/startup scripts sont-ils autorisés par votre politique ? Y a-t-il AppLocker / SRP / WDAC ou une exigence de signature de code sur les exécutables ? (le cas échéant on fournit l'empreinte SHA256 / on discute signature).
  5. Validez-vous le principe rollback = repush version précédente ?

5. Ce que nous fournissons

  • L'installeur silencieux (EXE) + son empreinte SHA256.
  • Un script de logon type (lancement silencieux + contrôle de version/marqueur).
  • La liste des postes pilotes concernés.

6. Bénéfice

Canal de déploiement standard, piloté par la DSI, traçable, sans updater applicatif maison (donc sans risque de « briquer » les postes par un mécanisme de mise à jour custom). Compatible mises à jour ultérieures.