Salut tous !
 
En intro, je précise que je suis le gestionnaire du parc IT d'une BIU BU à Paris.
J'ai accès à des clés MAK de Win10 Entreprise par l'univ dont on dépend (et KMS aussi, mais on tourne pas sur le même AD du coup ça marche pas)
En parlant d'AD : on tourne avec nos propres serveurs dans notre propre cluster ESX. On a donc notre propre AD, mais on a pas de WSUS ni de KMS en interne pour le moment.
Pour le déploiement, ils utilisaient Ghost avec Seven avant que j'arrive. Vu que j'ai eu la flemme d'en faire un pour Windows 10, je laisse les machines telles quelles avec leurs licences OEM PRO sur lesquelles je colle le soft d'administration Kasp dans lequel j'ai fourré les logiciels communs à déployer et je laisse tourner un jour ou deux avant d'installer la machine.
 
J'ai dans mon parc (200 machines environ) une paire de machines assez "sensibles" qui tournent pour le moment sous Seven.
La première est une machine qui fait tourner un très gros scanner propriétaire pour numérisation d'oeuvres (le truc doit faire en gros 1.50m de long sur 80cm de large pour à peu prêt 80cm de haut, on numérise des livres qui remontent au 16e siècle
La seconde est une machine "accessible au public" pour les "lecteurs" malvoyants de la bibli, du coup y'a du JAWS et deux ou trois autres logiciels spécifiques. Je me suis jamais encore attardé sur la machine.
 
 
Maintenant que le cadre est dit, j'en viens à mes questions :
- Une version LTSB serait elle la bonne solution pour éviter de se retrouver avec un scanner qui ne scanne plus ? Ou encore avec un poste "malvoyants" en panne ?
Je pense aux problèmes de drivers matériels qui ne sont presque jamais mis à jour sur ce type d'appareil, ou à la partie logicielle qui elle non plus n'est que très peu mise à jour.
 
- Possible de faire un "in place" upgrade vers une LTSB 2016 par exemple ?
Mes machines sont, comme je l'ai dit plus haut, sous Seven qui devient EOL en Janvier prochain..
Je n'ai guère envie d'avoir à retrouver les fournisseurs originaux alors que les personnes ayant fait ces achats ne sont plus là...
Et en même temps, et ce SURTOUT pour la machine accessible au public, j'ai pas non plus envie de laisser une machine sous Seven où des abrutis futurs médecins branchent leurs clés USB vérolées de partout :x
PS : bien sûr, si je fais un upgrade, je le ferais d'une façon intelligente avec au préalable un clone du disque originel, je ne suis pas un barbare non plus    
 
- question subsidiaire... où trouver les ISOs ?
Passer par la DSI de l'univ est du domaine du rêve, 4 mois que j'attends qu'ils règlent un problème sur un firmware de téléphones IP limitant la connexion PC à 10Mb alors que le réseau encaisse le giga sans broncher
(je vous parle même pas du temps que j'attends encore pour la réparation du serveur de contrôle d'accès :'D)
 
 
Bref, pas mal de questions... J'ai surtout touché aux versions "classiques" de Windows que ce soit en poste client ou serveur, par de l'install par ISO classique. J'ai utilisé quelques mois un SCCM par PXE dans un ancien poste à l'APHP en 2017, mais en tant que tech bureautique uniquement, et on déployait encore du Seven
Vu que je ne peux isoler du réseau ces deux machines, et que l'une d'elles est même accessible à "n'importe qui" (ou presque), je cherche la solution qui serait la plus "sécurisée" possible d'un point de vue stabilité / fonctionnalité / service.
Avec tous les soucis récents que j'ai pu voir aux updates majeures de Win10 (1803 et 1903 ont été violentes pour beaucoup de PCs), j'ai pensé aux LTSB dont j'avais jusque là entendu parler de loin.

tout plein de vues mais aucune réponse...  
aurais-je mieux fait de coller ce post du côté de l'administration système ?

Ta question relève plus de la catégorie Pro du forum :  
https://forum.hardware.fr/hfr/syste [...] ujet-1.htm
 

Alors comment dire...tu pars de très loin.
 
Déjà, il faut clarifier cette histoire de licences. Pour utiliser un master, il te faut des licences en volume, et pour du LTSC des éditions Enterprise. As-tu droit d'utiliser celles de ton université ? Ont-ils des licences en volume ? Pourquoi utiliser des MAK qui ont des contraintes supplémentaires ? Parce que là tu donnes l'impression de squatter des licences (et je suis poli). La personne qui possède les licences te fournira également les ISO.
 
Ensuite oui, il te faut un système global d'activation des licences Windows/Office. Aujourd'hui on évite le KMS (qui demande l'ouverture d'un port supplémentaire) au profit de l'activation AD (machine intégrée au domaine = machine activée). Tu peux par contre installer VAMT pour y centraliser tes clés et faire du reporting.
 
Le ghost, c'était bien dans les années 90. Aujourd'hui on fait de l'Imaging via des outils gratuits comme Microsoft Deployment Toolkit (gratuit en plus). Par contre il faut se sortir les doigts
 
Si tu as une machine accessible au public celle-ci doit être configurée en mode kiosk (il y a une fonctionnalité spécifique pour ça sous Windows 10), isolée sur un réseau dédiée et disjointe du domaine.
 
Possible de faire un upgrade, il faudrait vérifier les prérequis, mais je ne le recommande pas, c'est souvent source de problèmes, surtout avec des machines d'origine qui ont un historique chargé. A voir par contre si ton scanner à des drivers compatibles Windows 10 - ça dépend du suivi constructeur. Pareil pour l'applicatif.
 
Avec LTSC tu auras une version stable de façon durable - tu peux tester 2016 ou 2019. Il faudra aussi vérifier la compatibilité WSUS et antivirus avec cette édition spécifique.
 

yep, les clés MAK sont là pour ça et sont dédiées aux BUs
Ces clés transforment tout PC sous Windows 10 Home ou PRO en version Entreprise, opération que j'ai été obligé de faire avec certains portables qu'on m'a livré en Home et donc incapables de se joindre à un AD !
(Dont d'ailleurs mon PC perso que j'utilise en connexion à distance depuis chez moi )
 
ensuite, à l'origine la BU où je suis était une ancienne BIU - elle était donc indépendante de toute université à l'origine, dont le statut a sauté (oubli de renouvellement par le ministère), du coup on tourne encore pour l'instant sur un double AD historique (pro et public) propre. L'univ nous a donc donné un accès aux clés MAK pour windows et office en attendant la fusion des SI (qui ne devrait pas arriver avant quelques années vu la vitesse où ça va   )
Pour WSUS, la question ne se pose pour le moment pas, vu qu'il n'y en a pas.
Du côté de la machine dispo au public, elle est sur un AD "public" où sont rangées toutes les machines en libre service (plus ou moins 50 PCs tout de même), avec bien sûr des séparations par VLAN et firewall entre les réseaux
 
Par contre je ne connaissais pas le mode "kiosk", je vais y jeter un coup d'oeil du coup, ça peut être intéressant ! (au moins pour les autres postes sous Win 10 PRO standard)
edit : https://www.windowscentral.com/how- [...] 018-update
seulement une appli metro, nope ça ne me va pas du tout ^^'
je reste avec mon mode "utilisateur sans droits avec coupure des accès aux paramètres systèmes ou même au C:"

J'ai vérifié, tu ne peux pas faire d'upgrade in-place de Windows 7 vers Windows 10, ce n'est pas supporté.
 
Un AD public ? Ca veut dire quoi ?
 
Pas ce mode kiosk là, je faisais référence au Custom Shell (voir la doc officielle de MS). Par contre il faut scripter un minimum...

étrange, je fais des montées de version de Win Seven Pro vers Win 10 PRO en chaine depuis l'annonce d'EOL de Seven sans aucun soucis  
Je passe par une clé USB avec dessus l'ISO de Win10PRO 1903 "décompressée" que je lance à la main, j'ai pas rencontré de blocage particulier.
 
bah on a une forêt pour les PCs et serveurs côté pro, et une autre forêt bien distincte avec ses serveurs pour la partie publique "postes en libre service"

Les éditions Home et Pro de Windows 7 et Windows 8.1 peuvent être upgradées vers Windows 10.
Par contre les éditions Enterprise non (idem pour les Windows plus anciens). Il faut racheter des licences Windows 10.

On ne parle pas des éditions pro, mais des éditions LTSC qui sont vraiment à part.
Win 7 Pro -> Win 10 Pro OK
Win 7 Pro -> Win 10 LTSC KO
 
Une forêt pour la DMZ c'est pas vraiment adapté pour ce qui devrait être en DMZ/workgroup. J'espère qu'il n'y a pas de relations d'approbation entre les deux forêts au moins...mais c'est un autre sujet.

 
Nope, aucune relation entre les deux ^^'
Mais des PCs en libre service sans AD, tu t'amuses à gérer les règles un PC par un PC ? oO
J'ai tout lock par AD (pas d'accès au cmd ou powershell, pas de clic droit, pas d'accès au C:, pas d'accès aux panneaux de config, aucune install acceptée, apps spécifiques bloquées, updaters de firefox et autres softs institutionnels autorisés, etc)
 
et ils ne sont pas en DMZ non plus, ils sont dans un VLAN séparé.
je rappelle que c'est du libre service un poil plus complexe qu'une borne mac do pour commander son menu ou dans un hotel pour aller sur le web, je dois aussi faire tourner quelques logiciels spécialisés auxquels les étudiants, chercheurs, et praticiens ont accès
 
Mais effectivement c'est pas du tout le sujet ici !