Retour d'experience Windows 10 en milieu professionnel

Informations et autres annonces générales
Pingouin
Avatar de l’utilisateur
Message(s) : 76
Inscription : 23 Oct 2015 11:18

Retour d'experience Windows 10 en milieu professionnel

Message par disciplus » 07 Mars 2018 13:04

Bonjour,

Vous allez peux être me trouver naïf mais je m’attendais pas a ça de la part de Microsoft.

Aujourd'hui je voulais vous parler de mon retour d'expérience en matière de Windows 10 "Professionnel".
Et oui, comme vous le savez, je dois travailler avec Microsoft dans mon quotidien et je dois donc mettre des environnements de travaille simple et efficace pour mes utilisateurs.
Un renouvellement de parc doit donc être fait et Windows 10 doit donc être installé sur mes postes.

Bref, je vais vous faire un retour suite à 7 jours de compréhension de ce système afin de l'intégrer sans avoir les désagréments de son "exceptionnel" expérience utilisateur.

Je tiens à préciser que ce retours est uniquement sur la version 1709 (Fall Creators Update), ce détail à son importance.

Avant propos :

Honnêtement, j’avoue, je ne m’étais pas intéressé à Windows 10 plus en détail que cela avant de devoir travailler avec, mais, force est de constater, que ça déconne grave chez Microsoft.

Sur les révisions de Windows 10, je vous inviterai a vous intéressé à cette page wikipédia.
https://fr.wikipedia.org/wiki/Historiqu ... Windows_10
Pourquoi ? Et bien c’est simple, vous noterez que il y a 6 révisions majeur de Windows 10 en 3 ans.

Je n’avais pas bien saisie l’importance par rapport à Windows 7, mais à titre comparatif windows 7 est sortie le 22 octobre 2009 et il y a eu 3 Service Pack jusqu’à aujourd’hui… soit 3 révisions majeur en 9 ans. Chaque SP faisais 500 – 600Mo.

Maintenant, pour Windows 10, chaque révision fait 1Go voir 1,5Go tout les 6 mois.

Pour qui connaît l’importance de tester les SP avant de migrer, vous imaginer le travaille...
Si comme moi, vous avez des lignes internet limité prévoyez du temps et de la patience … tous les 6 mois.

Clairement, ils ont copié le système Apple avec MacOS X mais en pire. (X … 10)
Bref, MacOS X devient séduisant avec sa MAJ annuel…

WSUS :

J’ai un WSUS (serveur de maj Windows en interne) j’ai activer le téléchargement des maj Windows 10 : 60Go de MAJ (en 3ans). Et oui, car chaque MAJ de sécurité est pour les 5 versions (actuellement). A noter, cela ne contient pas les MAJ d’upgrade de version de 1507 à 1511, 1607, 1703, 1709 ou encore 1803...

Il y a des solutions, mais , il se dit sur certain poste que, cela augmente FORTEMENT la volumétrie du WSUS. (voir MAJ cumulative).

A bien réfléchir donc...
Et qui voudrait balancer des MAJ en quasi automatique tout les 6mois qui bloque l’utilisation entre 2 et 3h ?

GPO :

Peux importe la version de Windows serveur que vous aurez, les GPO pour Windows 10 seront à modifier avec des fichiers ADMX à mettre à jours pour chaque révision de Windows 10.

Un expérience utilisateur « Extraordinaire » :

Une fois cela compris, on se dit que l’on va pouvoir faire un environnement utilisateur le plus épuré possible : Que né-ni !

Lorsque vous mettez un ordinateur dans un domain et que vous voyez ça vous flipper quand même :
Image

bref on se dit : c’est pas grave , on va virer tout ça avec une commande powershell…
Get-AppxPackage -AllUsers | Remove-AppxPackage

Cool ça devient plus propre. On est heureux…


Puis, on se dit : « on teste avec un autre utilisateur. »
Et la, c’est l’angoisse.
Tout revient et, pire que tout, il re-télécharge l’ensemble des programmes pour chaque nouvelle session.

Code : Tout sélectionner
Update:
Il semblerait que l'on puisse supprimer le retour des applis avec cette commande, je dois encore le valider
Get-AppXProvisionedPackage -online | Remove-AppxProvisionedPackage –online


En cherchant mieux on voit des options dans les GPO pour les « consumer experience » ou « contenu cloud »
https://www.windowsmanagementexperts.co ... rience.htm

Cette blague…

1. en lisant les options (de vos ADMX mis à jours) on se rends compte de ça : « pour licence Enterprise et Education ». Donc, la version « Professionnel » c’est avec pub, xbox live et tout le reste... (c’est une blague? Non : https://www.silicon.fr/il-nest-plus-pos ... 454f8b4914)
2. Heureusement la clé de registre semble fonctionner mais c’est encore insuffisant…

On voit encore ce Windows Store pour acheter des applications…

Bref, dans les GPO, on peut gruger et bloquer des applications :
https://docs.microsoft.com/fr-fr/window ... soft-store
mais on peut surtout bloquer l’ensemble des applications présentes dans les Stratégies de restriction logicielle/Règles additionnelles en bloquant cela :
%programfiles%\WindowsApps\Microsoft.WindowsStore*

A cela il faudra un script qui s’exécutera a chaque nouvelle session sur un PC : Get-AppxPackage | Remove-AppxPackage.

Espionnage de l’utilisateur (ou de l'entreprise):


A cela il faudra penser à bloquer les espions inclus dans Windows 10.
Une GPO a été créé a cette effet, MAIS…. pour les versions entreprise et éducation uniquement…

Non les versions « Professionnel » ne peuvent pas les bloquer par défaut.


Conclusion :

Il existe un logiciel pour customiser un distributions de Windows et la faire devenir "acceptable". Ce logiciel s’appelle MGMT Toolkit.
Toutefois, tout vos efforts seront réduit a néant tous les 6 mois a chaque changement de version de Windows 10.
A savoir, même la calculatrice windows fait partie du windows store… il n’y en a plus sur mes postes.

Pire, même avec une version "Entreprise" la collecte des données et les pubs y sont par défaut...

Avec Windows 10, c'est noir sur blanc et il faut payer pour avoir la possibilité de le désactiver (sans avoir la certitude de l'efficacité réelle).

A suivre avec la Version 1803... avec un panneau de contrôle de vie privée.

Tchao et bon courage a tout les admin de clients Windows.

Très vieux Pingouin
Message(s) : 254
Inscription : 23 Juil 2015 13:56

Re: Retour d'experience Windows 10 en milieu professionnel

Message par frem » 07 Mars 2018 16:08

Ça fait rêver !

Juste pour bien comprendre, que veut dire GPO et ADMX ?

Pingouin
Avatar de l’utilisateur
Message(s) : 76
Inscription : 23 Oct 2015 11:18

Re: Retour d'experience Windows 10 en milieu professionnel

Message par disciplus » 07 Mars 2018 16:42

frem a écrit :Juste pour bien comprendre, que veut dire GPO et ADMX ?


GPO ça veux dire Group Policy Object ou stratégies de groupe, fonctions de gestion centralisée de Microsoft Windows (source https://fr.wikipedia.org/wiki/GPO).
Cela permet d'unifier le paramétrage des postes utilisateur dans un domaine.

Les fichiers ADMX permettent d'ajouter des fonctions (ou des limitations) à ces GPO pour des logiciels telle que Windows 10, Office libreoffice, firefox , etc...

Je continuerai a modifier ce poste car j'en ai pas fini avec ce maudit Windows 10...

Grand Pingouin
Message(s) : 101
Inscription : 12 Oct 2015 11:25

Re: Retour d'experience Windows 10 en milieu professionnel

Message par agaric » 11 Mars 2018 22:34

En gros, la version professionnel va avoir moins d'intérêt il faudra passer sur la version entreprise qui coûte un bras. Chez MS ils sont toujours aussi bon pour vendre.

Perso, à la sortie de windows 10 avec Cortana et tous ces machins qui espionne tous ce qui se passe, je me suis dit que cela ne serait jamais accepté en environnement professionnel. C'est dommage car un store propre à l'entreprise avec que les logiciels validé par le service IT cela serait un gros plus (je crois que c'est possible dans version entreprise)


Là où il y a un espoir c'est avec le RGPD, MS a revu sa présentation et sa collecte des données. On devrait avoir plus de maîtrise.

Dans ta boîte, les utilisateurs ont les droits admin pour installer leur logiciel ?? Sur mon poste, si je vais dans Windows Update, j'ai un message me disant que la MàJ est géré par une politique de groupe mais je ne suis plus à jour.

Pingouin
Avatar de l’utilisateur
Message(s) : 76
Inscription : 23 Oct 2015 11:18

Re: Retour d'experience Windows 10 en milieu professionnel

Message par disciplus » 12 Mars 2018 14:23

agaric a écrit :En gros, la version professionnel va avoir moins d'intérêt il faudra passer sur la version entreprise qui coûte un bras. Chez MS ils sont toujours aussi bon pour vendre.

Perso, à la sortie de windows 10 avec Cortana et tous ces machins qui espionne tous ce qui se passe, je me suis dit que cela ne serait jamais accepté en environnement professionnel. C'est dommage car un store propre à l'entreprise avec que les logiciels validé par le service IT cela serait un gros plus (je crois que c'est possible dans version entreprise)


En théorie, je suis d'accord, en pratique, je demande a voir car aucune gestion de ce store n'est prévu.
Erreur de ma part : je me suis trompé : https://technet.microsoft.com/fr-fr/win ... iness.aspx
Avec un domaine Azure AD... et il y aura très certainement besoin de licence entreprise ou de éducation.
Pour cela que ça intéressera, il existe WAPT qui fera très bien le boulot ... sans licence, multisite et sans besoin d'internet.

agaric a écrit :Là où il y a un espoir c'est avec le RGPD, MS a revu sa présentation et sa collecte des données. On devrait avoir plus de maîtrise.


Le penses-tu vraiment? d’ailleurs, ils viennent de changer leur conditions d'utilisation avec motion spéciales sur les données personnels:
https://www.microsoft.com/fr-fr/service ... oming.aspx
Vos données personnelles

1. Vos données personnelles.

Nous accordons une grande importance à la protection de vos données personnelles. Veuillez lire la Déclaration de Confidentialité de Microsoft (la « Déclaration de Confidentialité ») qui décrit les types de données que nous collectons auprès de vous et de vos dispositifs (les « Données ») et la manière dont nous utilisons ces Données ainsi que les bases légales dont nous disposons pour traiter vos Données. La Déclaration de Confidentialité décrit également la manière dont Microsoft utilise votre contenu, qui englobe vos communications avec d’autres personnes, les publications que vous envoyez à Microsoft par l’intermédiaire des Services et les fichiers, photos, documents, fichiers audio, œuvres numériques, webdiffusions « Livestream » et vidéos que vous chargez, stockez, diffusez ou partagez par l’intermédiaire des Services (« Votre Contenu »). Lorsque le traitement est fondé sur le consentement et dans la mesure permise par réglementation, en acceptant les présentes Conditions, vous autorisez Microsoft à collecter, utiliser et divulguer Votre Contenu et vos Données comme décrit dans la Déclaration de Confidentialité. Dans certains cas, nous fournirons un avis distinct et solliciterons votre consentement tel que mentionné dans la Déclaration de Confidentialité.
[Atteindre le haut de la page]
Votre Contenu

2. Votre Contenu.

Plusieurs de nos Services vous permettent de stocker ou de partager Votre Contenu, ou de recevoir des éléments d’autres utilisateurs. Nous ne revendiquons aucun droit de propriété sur Votre Contenu. Votre Contenu demeure Votre Contenu et vous en êtes responsable.

a. Lorsque vous partagez Votre Contenu avec d'autres personnes, vous acceptez explicitement que les personnes avec lesquelles vous avez partagé Votre Contenu puissent, gratuitement et dans le monde entier, utiliser, enregistrer, reproduire, diffuser, transmettre, partager, afficher et communiquer (et supprimer, dans HealthVault) Votre Contenu. Si vous ne souhaitez pas que d’autres personnes disposent de cette possibilité, n’utilisez pas les Services pour partager Votre Contenu. Vous déclarez et garantissez que pour la durée des présentes Conditions, vous disposez (et disposerez) de tous les droits nécessaires pour les éléments de Votre Contenu que vous chargez, stockez ou partagez sur ou par l’intermédiaire des Services, et que la collecte, l’utilisation et la conservation de Votre Contenu via les Services n’enfreignent aucune loi ni aucun droit de tiers. Nous vous recommandons fortement d’effectuer des copies de sauvegarde régulières de Votre Contenu. Microsoft ne peut être tenue pour responsable de Votre Contenu ou des éléments chargés, stockés ou partagés par les autres à l’aide de nos Services.
b. Dans toute la mesure nécessaire pour vous fournir les Services, ou les fournir aux autres (ce qui peut comprendre la modification de la taille, de la forme ou du format de Votre Contenu afin de vous offrir un meilleur stockage ou affichage), vous protéger et protéger les Services, et améliorer les produits et services Microsoft, vous accordez à Microsoft une licence de propriété intellectuelle internationale à titre gratuit pour utiliser Votre Contenu et, par exemple, le copier, le conserver, le transmettre, modifier son format, le diffuser via des outils de communications et l'afficher sur les Services. Si vous publiez Votre Contenu dans des zones du Service où il est mis à disposition publiquement en ligne ou sans restrictions, Votre Contenu est susceptible d’apparaître au sein de démonstrations ou de supports visant à promouvoir le Service. Certains des Services sont financés par la publicité. Vous pouvez choisir la manière dont Microsoft personnalise la publicité qui vous est adressée à la page Sécurité et confidentialité du site web de gestion des comptes de Microsoft. Nous n’utilisons pas le contenu de vos e-mails, discussions, appels vidéo, appels audio, documents, photos ou de tout autre fichier personnel afin de vous adresser des publicités ciblées. Nos politiques relatives à la publicité sont décrites en détail dans la Déclaration de Confidentialité.

agaric a écrit :Dans ta boîte, les utilisateurs ont les droits admin pour installer leur logiciel ?? Sur mon poste, si je vais dans Windows Update, j'ai un message me disant que la MàJ est géré par une politique de groupe mais je ne suis plus à jour.


Mes utilisateurs? le droits admin? Oh que non!

C'est la le plus beau sur le windows store, j'ai l'impression (mais je peux me tromper) que sans les droits admin les utilisateurs peuvent installer des logiciels.
En tout cas, le socle de logiciel déployé avec le windows store comprends une sacrée liste de logiciel indésirable et ils se réinstalleront tous à chaque nouvelles MAJ et nouveau utilisateur.
Sans aucun droit admin de l'utilisateur.

Pingouin
Avatar de l’utilisateur
Message(s) : 76
Inscription : 23 Oct 2015 11:18

Re: Retour d'experience Windows 10 en milieu professionnel

Message par disciplus » 17 Mars 2018 10:48

Formidable, approprie de version en version, il enlève des fonctions à la version professionnel pou les mettre dans l’entreprise...
Dernière découverte, depuis la version 1607, il n'est plus possible de customiser les écrans de login ou de verrouillage... il faut se fader des paysages, super pro...
Plus ça va, moins ça va...

·
Avatar de l’utilisateur
Message(s) : 141
Inscription : 10 Août 2014 08:36

Re: Retour d'experience Windows 10 en milieu professionnel

Message par greg » 17 Mars 2018 14:01

c'est parfaitement cohérent avec la nouvelle segmentation de marché depuis Windows 8 :

Home -> pour Mme Michu, sans AD, mais avec lien bientôt obligatoire sur un compte Live.
Pro-> pour les indép et le BYOD, avec ou sans AD, controle partagé entre l'utilisateur et l'AD. Souvent, l'utilisateur est admin local.
Enterprise -> pour les PCs en parc dans un AD, controle total de l'OS par les politiques AD.

Si tu mets du Pro sur des machines d'entreprise destinées à être gérées à 100% par des Group Policies, tu cherches les ennuis, ça fait depuis 8.0 que c'est explicitement pas fait pour.

Dans une optique de "Windows as a service", il faut s'attendre à une réduction des fonctions gérables par AD pour les versions Pro, comme annoncé... en Octobre 2016...

Je serais pas surpris que lorsque le compte Live sera devenu obligatoire pour les versions Home, il le devienne également pour les version Pro.

Bref : version Enterprise pour tout le parc, sinon t'es pas dans le modèle testé et validé.

Bonus : Applocker marche que sur la version entreprise :-) (Et Applocker est vraiment indispensable au sein d'un AD dans cette ère de crypto-ransomwares.)

Grand Pingouin
Message(s) : 101
Inscription : 12 Oct 2015 11:25

Re: Retour d'experience Windows 10 en milieu professionnel

Message par agaric » 09 Nov 2018 13:31

disciplus a écrit :Pour cela que ça intéressera, il existe WAPT qui fera très bien le boulot ... sans licence, multisite et sans besoin d'internet.


Si quelqu'un de l'asso fait un jour une démonstration ou un tutoriel sur WAPT je suis intéressé.

Retour vers Annonces & Infos