Comment déployer un logiciel avec Chocolatey ?
mardi 16 mars 2021 à 12:44I. Présentation
On se retrouve aujourd'hui pour le troisième épisode de la série sur l'installation de logiciels sur les postes clients. Après avoir vu comment exploiter les GPO pour déployer des logiciels, aussi bien au format MSI qu'au format EXE, aujourd'hui je vais vous présenter un outil différent : Chocolatey.
Retrouvez les deux épisodes précédents :
Episode 1 - Comment déployer des logiciels au format MSI par GPO ?
Episode 2 - Comment déployer des logiciels au format EXE par GPO ?
Chocolatey est gestionnaire de paquets pour Windows qui n'est pas sans rappeler les équivalents sous Linux comme Aptitude sous Debian et Ubuntu, avec la fameuse commande "apt-get install". Sur le même principe, Chocolatey va permettre d'installer des logiciels sur vos machines à partir d'un dépôt. Par défaut, les dépôts communautaires de Chocolatey accessibles sur Internet.
Chocolatey est un outil gratuit et communautaire même s'il existe également des versions payantes (Pro, Architect et Business) qui permettent d'aller encore plus loin. Dans cet article, et pour commencer, on va utiliser la version gratuite. On l'utilisera pour déployer des logiciels en mode silencieux sur des postes clients.
Note : dans cet article, je vais utiliser un poste client Windows 10, mais il est compatible avec toutes les versions de Windows depuis Windows 7 et Windows Server 2003.
Microsoft a également lancé son propre gestionnaire de paquets, vous pouvez retrouver mon article à son sujet :
Découvrir WinGet sous Windows 10
II. Installer Chocolatey à distance sur les machines
A. Prérequis : WinRM
Pour utiliser la gestion à distance sur une machine Windows, il est nécessaire de configurer le service WinRM. Ce service nécessite d'être actif sur la machine cible et surtout il faut créer une exception dans le pare-feu de Windows pour autoriser les connexions WinRM à partir d'un ou plusieurs hôtes.
Pour éviter de me répéter, pour cette partie-là je vous oriente vers un tutoriel que j'ai écris à ce sujet il y a quelques années et qui fonctionne toujours aujourd'hui : Configurer WinRM par GPO.
C'est une étape indispensable pour réaliser des installations à distance à partir de la commande "Invoke-Command" de PowerShell.
B. Installer Chocolatey par script PowerShell
Commençons par installer Chocolatey sur nos machines, à distance, à l'aide de PowerShell. Pour déployer le gestionnaire de paquets en lui-même sur nos machines, on pourrait s'appuyer sur une GPO avec un script qui s'exécute au démarrage de la machine (comme nous avons vu dans l'épisode précédent). Pour varier les plaisirs, on va l'installer avec PowerShell et Invoke-Command.
Commençons par récupérer à partir de l'Active Directory, la liste des machines sur lesquelles installer Chocolatey. Ici, je récupère les ordinateurs à partir de l'OU racine "OU=PC,DC=it-connect,DC=local" :
$Computers = Get-ADComputer -Filter * -SearchBase "OU=PC,DC=it-connect,DC=local" | Select-Object -ExpandProperty Name
Néanmoins, on peut aussi créer une liste d'ordinateurs manuellement en créant un tableau comme ceci :
$Computers = @("PC-W10","PC-W10-2","PC-W10-3")
Ensuite, on va s'appuyer sur Invoke-Command pour établir une connexion sur chaque poste client dans le but d'effectuer l'installation de Chocolatey. Cette installation s'effectue à l'aide du script officiel disponible sur le site Chocolatey à l'adresse suivante si vous souhaitez vérifier son code au préalable : Choco Install PS1
Invoke-Command -ComputerName $Computers -ScriptBlock {
Set-ExecutionPolicy Bypass -Scope Process -Force; [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072; iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))
choco feature enable -n allowGlobalConfirmation
}
La commande "choco feature enable -n allowGlobalConfirmation" permet d'activer l'approbation automatique des différentes installations, cela évite d'avoir la demande de confirmation à chaque fois.
Sur la machine "PC-W10", si j'ouvre une console et que j'exécute "choco.exe", on peut voir que le gestionnaire de paquets s'est bien installé 
Chocolatey est prêt à l'emploi sur nos machines, voyons maintenant comment en tirer profit...
III. Déployer un logiciel à distance avec Chocolatey
A. La liste des paquets Chocolatey
La liste des paquets installables avec Chocolatey est disponible sur le site chocolatey.org à l'adresse ci-dessous. Il y a plus de 8 000 paquets uniques, disponibles dans les dépôts communautaires. Prenez l'habitude d'installer seulement les paquets avec un icône "vert" car il s'agit des paquets vérifiés.
Par exemple, Notepad++ est disponible et nous l'utiliserons en guise de cobaye. Il est intéressant de voir également que la commande d'installation est directement fournie, ici :
choco install notepadplusplus.install
Concrètement, si vous exécutez cette commande sur une machine où Chocolatey est installé, le logiciel va s'installer.
Une autre manière de rechercher un paquet est d'installer le client Chocolatey GUI sur une machine et de parcourir la liste des paquets. Il s'installe avec cette commande :
choco install chocolateygui
Lorsque l'on accède aux détails d'un paquet, on obtient la description mais aussi l'identifiant du paquet (sur la gauche) : ce qui donne le nom à utiliser avec "choco install".
Sur une machine où Chocolatey GUI est présent, il sert à installer des logiciels directement en local.
B. Le couple gagnant : Invoke-Command et choco install
A l'aide d'un simple script PowerShell, on va pouvoir installer un logiciel à distance avec Chocolatey sur un ensemble de machines. Nous allons réutiliser notre variable $Computers qui contient une liste de machines obtenue directement à partir de l'Active Directory.
$Computers = Get-ADComputer -Filter * -SearchBase "OU=PC,DC=it-connect,DC=local" | Select-Object -ExpandProperty Name
Ensuite, on va définir un bloc de code à exécuter sur chaque machine. Cela commence par la commande "choco install" suivie du nom du paquet, en l'occurrence ici "notepadplusplus.install" pour Notepad++. Un fichier de log sera généré à l'emplacement suivant : C:\Temp\choco.txt
Invoke-Command -ComputerName $Computers -ScriptBlock { choco install notepadplusplus.install | Out-File -FilePath C:\Temp\choco.txt if ($?) { Write-Output "$Env:COMPUTERNAME : Succès" } else { Write-Output "$Env:COMPUTERNAME : Echec" } }
Le test "$?" de la condition "if" est un moyen de récupérer la présence d'une erreur, et donc de détecter un problème lors de l'installation.
Il ne reste plus qu'à enregistrer le script et à l'exécuter. Un retour sera effectué dans la console pour indiquer, pour chaque machine, si l'installation a réussie ou pas.
Note : si la commande "choco feature enable -n allowGlobalConfirmation" n'est pas exécutée sur la machine cible, il faut approuver l'installation en ajoutant "-y" à la commande d'installation : choco install notepadplusplus.install -y
Voici un aperçu du fichier de log créé en local sur chaque poste client : intéressant pour le debug dans le cas où l'application ne s'installe pas, par exemple.
Note : sur chaque machine où Chocolatey est installé, le gestionnaire de paquets gère son propre fichier de log à l'emplacement suivant : "C:\ProgramData\chocolatey\logs\chocolatey.log".
C. Déployer plusieurs logiciels avec Chocolatey
Pour déployer plusieurs logiciels, on peut tout simplement dupliquer les lignes "choco install" (et le test pour vérifier que l'installation est OK) et modifier le nom du paquet à chaque fois. On peut également faire une boucle Foreach, ce qui est plus propre, ou alors on peut aussi utiliser une liste d'installation Chocolatey, ce qui est possible avec un script PowerShell et un fichier JSON.
Si l'on reprend notre script précédent, et qu'on le fait évoluer pour ajouter une liste de logiciels à installer plutôt qu'un seul logiciel, cela donne :
$Computers = Get-ADComputer -Filter * -SearchBase "OU=PC,DC=it-connect,DC=local" | Select-Object -ExpandProperty Name
Invoke-Command -ComputerName $Computers -ScriptBlock {
$PackagesList = @("notepadplusplus.install","vlc","foxitreader")
Foreach($Package in $PackagesList){
choco install $Package -y | Out-File -FilePath C:\Temp\choco-$Package.txt
if ($?) {
Write-Output "$Env:COMPUTERNAME - $Package : Succès"
}
else {
Write-Output "$Env:COMPUTERNAME - $Package : Echec"
}
}
}
La variable $PackagesList contient le nom des paquets à déployer. Ensuite, une boucle ForEach permet de réaliser l'installation pour chaque application. Un fichier de log différent sera généré pour chaque logiciel et la sortie ressemblera à ça :
PC-W10 - notepadplusplus.install : Succès PC-W10 - vlc : Succès PC-W10 - foxitreader : Succès
D. Cibler seulement les machines en ligne
Inutile de chercher à se connecter sur une machine hors ligne, c'est-à-dire déconnectée du réseau ou alors éteinte ! Avec le script tel qu'il est pour le moment, c'est un cas que l'on va probablement rencontrer et qui n'est pas géré.
A l'aide du cmdlet Test-Connection, on va pouvoir pinger chaque machine et déterminer s'il faut déclencher l'installation ou non. Il y a deux approches :
- Tester chaque machine en amont et déclencher l'installation sur une liste affinée de machines en ligne
- Tester et installer au fur et à mesure sur les machines qui sont en ligne
La deuxième approche me semble plus précise si l'on doit réaliser l'installation sur un nombre important de postes. Pour une raison simple : une machine en ligne maintenant ne le sera peut être pas dans 10 minutes. Du coup, le temps de créer la liste, il sera peut être trop tard pour certains postes, même si cela se discute car un ping par machine c'est très rapide.
La commande qui va permettre de tester rapidement si une machine est joignable ou non est la suivante :
Test-Connection -ComputerName <nom-machine> -Quiet -Count 1
Ce qui donnera lieu à une condition toute simple :
if(Test-Connection -ComputerName $computer -Quiet -count 1) { <code> }else{ <code> }
En complément, on va utiliser une boucle Foreach pour parcourir la liste d'ordinateurs. Dans la commande Invoke-Command, il faudra penser à utiliser aussi $Computer au lieu de $Computers, sinon pour chaque ordinateur on va traiter tous les ordinateurs dans le tour de boucle... Le script complet tenant compte de cette évolution est le suivant :
$Computers = Get-ADComputer -Filter * -SearchBase "OU=PC,DC=it-connect,DC=local" | Select-Object -ExpandProperty Name Foreach($Computer in $Computers){ if(Test-Connection -ComputerName $computer -Quiet -count 1) { Invoke-Command -ComputerName $Computer -ScriptBlock { $PackagesList = @("notepadplusplus.install","vlc","foxitreader") Foreach($Package in $PackagesList){ choco install $Package -y | Out-File -FilePath C:\Temp\choco-$Package.txt if ($?) { Write-Output "$Env:COMPUTERNAME - $Package : Succès" } else { Write-Output "$Env:COMPUTERNAME - $Package : Echec" } } } }else{ Write-Output "$Computer n'est pas en ligne !" } }
Désormais, on traite un ordinateur seulement s'il est en ligne. Dans le cas où il est hors ligne/éteint, un message s'affiche dans la console : <nom ordinateur> n'est pas en ligne !
IV. Déployer un logiciel par GPO avec Chocolatey
Un simple script PowerShell avec une seule ligne peut permettre d'installer un logiciel avec Chocolatey. Pour le coup, il n'y a pas de raison que ce script ne soit pas utilisable par GPO : ce qui offre une alternative à l'installation à distance où il faut que la machine soit allumée au moment où l'on déclenche l'installation.
Pour installer VLC Media Player, la commande ci-dessous suffit :
choco install vlc | Out-File -FilePath C:\Temp\choco.txt
Le fichier de log est facultatif, on pourrait tout simplement indiquer :
choco install vlc
Ensuite, il faut créer une nouvelle GPO qui va exécuter un script de démarrage et ajouter notre script PowerShell : nous avons déjà vu comment faire à l'occasion de l'épisode 2 pour exécuter un script qui installe un logiciel au format EXE. Le principe est le même, c'est seulement le contenu du script qui change.
Si l'on exécute plusieurs fois la même commande d'installation, Chocolatey ne perd pas de temps : il voit que le logiciel est déjà installé. Le fichier de log va contenir la ligne suivante :
vlc v3.0.12 already installed.
V. Chocolatey - Installer une version spécifique et gérer les mises à jour
Pour installer une application dans une version spécifique, et sous réserve que cette version soit disponible dans les dépôts de Chocolatey, il faut spécifier un paramètre supplémentaire lors de l'utilisation de "choco install" : --version. Par exemple, pour installer la version 7.8.9 de Notepad++ on utilisera cette commande :
choco install notepadplusplus --version 7.8.9
Sur le site Chocolatey, lorsque l'on regarde le détail d'un package, on peut voir l'historique des versions : une bonne façon de connaître les versions disponibles.
Ensuite, pour gérer les mises à jour des paquets, il y a deux façons : mettre à jour tous les paquets ou mettre à jour un ou plusieurs paquets spécifiques.
La commande suivante permet de mettre à jour tous les paquets :
choco upgrade all
Par "tous les paquets", j'entends tous les paquets installés via Chocolatey sur la machine cible. Ensuite, on peut mettre à jour seulement un paquet spécifique :
choco upgrade <nom-paquet>
En fait, le script que l'on utilise depuis le début peut être réutilisé et adapté pour gérer les mises à jour. On commencera par remplacer "choco install" par "choco upgrade".
VI. Quelques commandes utiles pour Chocolatey
Pour finir cet article, je vous propose quelques commandes supplémentaires à connaître pour manipuler Chocolatey, même si elles sont très nombreuses. Je vous mettrai ci-dessous le lien vers l'aide globale des commandes.
Chocolatey est capable de désinstaller un paquet qu'il a installé sur une machine. Voici, par exemple, comment désinstaller Notepad++ :
choco uninstall notepadplusplus -y
Pour lister les paquets installés avec Chocolatey sur une machine, on va utiliser "choco list" avec les options -local et -r, la seconde permettant d'obtenir une vue très synthétique avec les noms et les versions.
choco list -local -r
Avant de déclencher une mise à jour des paquets sur une machine, vous pourriez avoir envie de savoir quels sont les paquets à mettre à jour ? La commande ci-dessous affiche les paquets Chocolatey qui nécessitent une mise à jour.
choco outdated
En complément des outils de recherche que nous avons vu, on peut rechercher un paquet directement en ligne de commandes. Par exemple, pour rechercher tous les paquets avec le terme "vlc" dans le nom :
choco search vlc
Pour finir, voici le lien vers l'aide de toutes les commandes Chocolatey :
Comme nous venons le voir, Chocolatey est un outil très intéressant et puissant, même dans sa version gratuite ! Nous n'avons pas vu toutes les possibilités dans cet article : d'autres articles sur Chocolatey suivront pour aller plus loin avec cet outil.
Vous pouvez comparer les éditions de Chocolatey sur cette page : Chocolatey - Editions
