Cybee > documents > Sauvegarde > Déployer l’agent Cybee (MSI) sur un parc Windows
View Categories

Déployer l’agent Cybee (MSI) sur un parc Windows

Introduction #

L’agent Cybee est le composant à installer sur chaque serveur à sauvegarder. Sur Windows, il est distribué sous forme de paquet MSI signé (certificat EV).

Sur un parc de plusieurs dizaines de serveurs, l’installer manuellement est peu acceptable : cet article présente deux approches de déploiement industrialisé — la GPO Active Directory et les outils tiers de déploiement de MSI (avec des options open source).

Pré-requis et rappel sur le paquet MSI #

#

L’exécutable de l’agent Windows est signé avec un certificat EV (Extended Validation), ce qui garantit son authenticité et son intégrité à l’installation (pas d’avertissement d’éditeur inconnu).

Avant tout déploiement de masse, il est important de connaître deux informations :

  • Le nom du fichier MSI à installer contenant sa version : [cybee-backup-X.Y.Z-x86_64.msi]

  • Les options de msiexec permettant une installation silencieuse : msiexec /i <fichier>.msi /quiet /norestart

Il n’y a aucune configuration à effectuer localement sur la machine, tout est fait depuis la console Cybee : l’enrôlement est une étape volontairement manuelle.

Méthode 1 — Déploiement par GPO Active Directory #

La fonction Installation de logiciel des GPO prend en charge nativement le format MSI et permet une affectation par ordinateur : le paquet s’installe automatiquement au démarrage de la machine.

Étapes :

  1. Déposer le MSI sur un partage réseau (UNC) accessible en lecture par les comptes machines (ex. \\srv-deploy\cybee$\agent.msi). Les comptes ordinateurs concernés doivent disposer du droit Lecture (Lecture, Lecture et exécution, et Affichage du contenu du dossier) sur le partage et le dossier.

  2. Créer une GPO dédiée depuis “Gestion de stratégie de groupe” en faisant un clic droit sur “Objets de stratégie de groupe” puis nouveau

  3. Dans le paramétrage de la GPO, naviguer vers ce menu : Configuration ordinateur > Stratégies > Paramètres du logiciel > Installation de logiciel > Nouveau > Package, sélectionnez le msi copié en étape 1 (via son chemin réseau, ex \\srv-deploy\cybee$\agent.msi) en mode Attribué pour que le logiciel soit installé automatiquement.

  4. Lier la GPO à l’OU contenant les serveurs cibles.

Cibler un groupe dédié de serveurs #

Une GPO se lie à une OU, pas directement à un groupe. Pour restreindre le déploiement à une liste précise de serveurs :

  1. Créer un groupe de sécurité AD dédié (ex. GRP-CYBEE-AGENT) et y ajouter les comptes ordinateurs des serveurs à déployer.

  2. Sur la GPO, utiliser le filtrage de sécurité : retirer Utilisateurs authentifiés, ajouter GRP-CYBEE-AGENT avec les droits Lecture et Appliquer la stratégie de groupe.

Ainsi, seuls les serveurs membres du groupe reçoivent l’agent. Ajouter un serveur au groupe suffit à l’inclure dans le déploiement.

⚠️ L’installation par GPO se déclenche au démarrage de la machine, pas à un simple rafraîchissement (même avec gpupdate /force). Un redémarrage planifié de la machine concernée est nécessaire.

Méthode 2 — Outils de déploiement de MSI (open source) #

Pour un déploiement sans redémarrage, un ciblage plus fin ou un parc hétérogène, des outils tiers sont préférables. Options open source courantes :

  • Chocolatey (cœur open source) : gestion de paquets Windows, déploiement et mises à jour scriptables. => Apache License 2.0

  • OCS Inventory NG : inventaire + module de télédéploiement de paquets (dont MSI). => GNU GPL 2

  • GLPI + Agent GLPI : inventaire et déploiement de packages via le plugin dédié. => GNU GPL 3

  • Ansible (collection community.windows, module win_package) : installation du MSI à distance via WinRM, idéal en infrastructure-as-code. => GNU GPL 3 (ou propriétaire)

Des solutions commerciales existent évidemment (Microsoft Intune, MECM/SCCM, …).

Cas pratique — déploiement ciblé via groupe dédié #

  1. Créer le groupe GRP-CYBEE-AGENT dans l’AD.

  2. Y ajouter les comptes ordinateurs SRV-APP01$, SRV-SQL02$, etc.

  3. Lier la GPO « Déploiement Agent Cybee » à l’OU racine des serveurs, filtrée sur GRP-CYBEE-AGENT.

  4. Planifier un redémarrage des serveurs concernés → l’agent s’installe automatiquement.

  5. Approuver les nouveaux agents via la console (voir ci-dessous).

Étape indispensable après l’installation : l’enrôlement de l’agent #

Installer le logiciel ne suffit pas à rendre un serveur opérationnel, chaque agent installé génère une pair de clé cryptographique au démarrage et se signale auprès de l’Agent Gateway.

La clé privée générée ne quitte jamais la machine et est renouvellée régulièrement pour limiter le risque de fuite d’information.

  • Cette communication permet à l’infrastructure Cybee de connaître la clé publique, le nom d’hôte, l’OS, …

Cet agent doit ensuite être approuvé par un administrateur via l’API (et bientôt via la console) avant d’être actif dans le système

Le déploiement de masse (GPO ou outil tiers) industrialise donc l’installation, mais l’approbation/enrôlement reste une étape distincte qui peut éventuellement être automatisée également via des scripts.

En synthèse  #

  • Le MSI Cybee est signé EV → installation silencieuse sans alerte d’éditeur inconnu, signature vérifiable et auditable.

  • GPO : affectation par ordinateur, MSI sur partage UNC, ciblage par groupe d’ordinateur via filtrage de sécurité, installation au redémarrage.

  • Outils open source : Chocolatey, OCS Inventory NG, GLPI, Ansible, PSADT, … Permet généralement un déploiement sans redémarrage et ciblage fin.

  • L’installation n’enrôle pas l’agent : l’approbation via l’API est nécessaire.