Déployer Windows 11 avec WAPT, une alternative à MDT

4 mars 2026
Logiciels

Déployer Windows 11 avec WAPT, une alternative à MDT

Déployer des systèmes d’exploitation via le réseau, c’est l’une des fonctionnalités de la solution WAPT développée par Tranquil IT. L’éditeur français propose une véritable alternative à MDT, tout en allant plus loin puisque vous pouvez automatiser le déploiement de Windows ou Linux sur vos machines.

En 2022, Tranquil IT sortait WAPT 2.2, une version importante dans l’histoire de cette solution puisque c’était la première version à avoir la capacité de proposer le déploiement d’OS via le réseau, en PXE. Au sein de WAPT, cette fonctionnalité bien à part a d’ailleurs un nom : WADS, pour WAPT Automated Deployment Services. Ainsi, les capacités actuelles de WAPT s’articulent autour de trois grandes fonctionnalités :

  • La gestion du cycle de vie des logiciels (installation, mise à jour, etc.),
  • La mise en service de postes de travail (ou serveurs) via le déploiement du système d’exploitation,
  • La gestion des mises à jour Windows, sur le même principe que WSUS.

Ce tutoriel vous explique comment utiliser WADS pour déployer un poste de travail Windows 11.

— La rédaction de cet article a été sponsorisée par Tranquil IT.

WADS : une alternative à WDS et MDT

WADS regroupe les fonctionnalités que vous pouvez retrouver dans deux autres solutions de chez Microsoft : WDS et MDT. Cette fonctionnalité majeure de la solution WAPT est réservée aux utilisateurs de WAPT Enterprise, la version payante de cette solution développée par l’éditeur français Tranquil IT.

WADS permet à un client réseau (un ordinateur) de démarrer sur le réseau via PXE, de contacter le serveur WAPT et de récupérer l’image du système d’exploitation. Pour récupérer les sources d’installation, le client se connecte au dépôt principal ou à un dépôt secondaire WAPT.

Les sources correspondent à l’image disque du système d’exploitation en lui-même, mais aussi aux pilotes attribués à cette machine, afin de réaliser une installation complète. Pour aller plus loin, vous pouvez définir des tâches supplémentaires :

  • Déploiement de logiciels, puisque les différentes fonctionnalités de WAPT fonctionnent ensemble,
  • L’intégration automatique dans un domaine Active Directory.

La personnalisation du système pendant le déploiement est également possible en autorisant le mécanisme habituel pour Windows : un fichier de réponse (XML). Un script d’installation, permettant d’exécuter des actions supplémentaires et personnalisées, peut également être associé à la tâche d’installation.

Pour fonctionner et communiquer avec les clients, WADS utilise deux ports :

  • Le port 80 ou 443 (http/https) pour télécharger les sources via le dépôt,
  • Le port 69 correspondant au TFTP si vous utilisez le boot PXE.

Pour déployer un système, WADS ne s’appuie pas sur un partage de fichiers SMB (soumis à authentification), mais sur une connexion HTTP/HTTPS. De ce fait, on peut imaginer des scénarios de déploiement sécurisé over Internet.

Note : plutôt que de démarrer le client à déployer sur le réseau, vous pouvez utiliser une clé USB bootable. Néanmoins, bien que la méthode d’amorçage soit différente, le client doit être en mesure de se connecter au dépôt WAPT via le réseau.

Je ne vais pas m’attarder sur l’installation du serveur WAPT, j’en ai déjà parlé dans un précédent article et il y a aussi une bonne documentation à ce sujet. Pour rappel, le serveur WAPT s’installe aussi bien sous Linux que Windows.

Déployer Windows 11 avec WAPT

Contexte

Dans la suite de ce tutoriel, nous verrons comment installer Windows 11 via la fonctionnalité WADS de WAPT. La machine virtuelle utilisée à des fins de test est conforme avec les prérequis de Windows 11 : puce TPM, Secure Boot activé, etc. Ce qui n’empêche pas l’outil d’être capable de déployer Windows 11 sur des machines non compatibles, grâce à des modèles nommés Green IT.

Afin de commencer la configuration, connectez-vous à la console WAPT. De mon côté, j’utilise un serveur sous Windows Server 2025 nommé SRV-WAPT.it-connect.local. Il dispose de l’adresse IP .

Installation du paquet WADS

Afin de bénéficier de WADS, le paquet intitulé doit être installé sur notre machine (ici, la version 64 bits est retenue). Il permet de bénéficier du kit Windows ADK, ce dernier étant nécessaire pour créer un environnement WinPE. Ce paquet est disponible dans les dépôts officiels de Tranquil IT. Une simple recherche permet de le trouver facilement.

Le paquet doit être importé sur le dépôt privé, aux côtés des autres paquets que vous pourriez avoir déjà importés.

Ce paquet doit être installé sur le serveur WAPT, il convient donc de faire le déploiement par l’intermédiaire de la console WAPT.

Une fois que c’est fait, nous pouvons passer à l’utilisation de WADS via l’onglet “Déploiement d’OS” de la console WAPT.

Créer un environnement WinPE

En cliquant sur l’onglet “Déploiement d’OS“, un message s’affiche : “Pour commencer, un WinPE est nécessaire. Voulez-vous le télécharger ?“. Nous allons répondre “Oui” sinon, nous ne pourrons pas aller plus loin. Vous devez au préalable veiller à installer le paquet indiqué à l’étape précédente, sinon cette étape échouera.

Un assistant de personnalisation de l’environnement WinPE apparaît. Ce sera l’occasion de sélectionner l’architecture cible, ici “x64”, mais aussi de préciser l’adresse du serveur WAPT et de sélectionner la disposition du clavier. Vous pouvez aussi ajouter des pilotes au niveau de l’environnement WinPE, ce qui peut s’avérer nécessaire sur certaines machines (pour les pilotes Ethernet ou de contrôleur disque).

Autre point important, l’option intitulée “Passer au chargeur d’amorçage EFI Microsoft CA 2023“, qui permet de se préparer à la mise à jour des certificats du Secure Boot prévue en 2026 par Microsoft (les machines éligibles reçoivent actuellement les nouveaux certificats via les mises à jour mensuelles).

Validez. L’image va être importée sur le serveur WAPT, vous devez patienter pendant cette opération.

Importer un ISO de Windows

Le fichier ISO du système à installer doit être chargé sur le serveur WAPT également. Pour cela, on clique sur le “+” au sein de la section “ISO d’installation“. Une fenêtre s’ouvre : il suffit de nommer l’ISO, d’indiquer le chemin vers le fichier et de choisir l’architecture. Pour ma part, j’utilise un ISO de Windows 11 Pro version 25H2. Cette image disque a été téléchargée depuis le site officiel de Microsoft.

Après analyse du fichier, notamment pour calculer le hash, il va être importé dans WAPT. Cette opération nécessite plusieurs minutes : la taille conséquente de l’image ISO de Windows 11 n’aide pas : plus de 7 Go.

Créer un fichier de réponse pour la configuration

Dans le but de personnaliser le déploiement de Windows, vous pouvez utiliser un fichier de réponse. Il s’agit d’un fichier au format XML correspondant à une méthode prise en charge officiellement par Windows et Microsoft.

Ce fichier contient différentes directives, de façon à personnaliser Windows : nom de l’ordinateur, clé de licence, modification du Registre, compte administrateur local, choix de la langue, etc…

Dans la section “Configuration“, il faut cliquer sur le bouton “+” pour ajouter une configuration. Là, vous devez sélectionner l’ISO précédemment ajoutée afin de l’associer à cette configuration.

Tranquil IT a inclus plusieurs modèles à WAPT, notamment pour Windows 7, Windows 10 et Windows 11. À chaque fois, l’intégration en ligne ou hors ligne dans l’Active Directory est proposée. Pour des raisons de sécurité, il est préférable d’utiliser le mode hors ligne (djoin) afin d’éviter d’ajouter un couple identifiant/mot de passe dans le fichier de réponse (car ces informations sont inscrites en clair).

Ici, le modèle intitulé est sélectionné. Gardez à l’esprit que le modèle proposé par WAPT est une base personnalisable. Vous pouvez constater que l’option “Installer WAPT” est sélectionnée, cela signifie que l’agent WAPT sera déployé sur les ordinateurs associés à cette configuration.

Le fichier de réponse est personnalisable, notamment pour inclure la clé de produit Windows 11. Utile lorsque l’on dispose d’une licence en volume afin d’activer automatiquement Windows. Une clé générique est intégrée au fichier, mais votre clé peut être insérée à la place.

Par défaut, un compte administrateur nommé “superadmin” sera créé sur Windows, avec un mot de passe généré aléatoirement. Ceci est personnalisable, en modifiant directement les valeurs dans le fichier XML. Par la suite, je vous recommande de gérer ce compte via Windows LAPS pour le sécuriser.

Remarque : Tranquil IT a créé un paquet intitulé LAPS by WAPT permettant de remonter les mots de passe administrateur des machines directement dans la console WAPT. L’accès au mot de passe chiffré par un utilisateur WAPT est restreint, puisque le certificat de l’utilisateur doit disposer de permissions d’administration sur la machine concernée. Ce mécanisme permet d’avoir les mots de passe LAPS dans WAPT sans pour autant remettre en cause la sécurité de cette information sensible.

Pour une intégration dans le domaine en mode “en ligne”, il faut s’authentifier auprès de l’AD. Pour cela, il faut renseigner le bloc de la configuration, avec le nom de domaine, le nom d’utilisateur et son mot de passe. Il est indispensable de créer un compte utilisateur dédié à cette tâche avec un minimum de droits : l’autorisation de joindre des machines au domaine.

Néanmoins, avec le modèle hors ligne sélectionné précédemment, il n’y a pas cette section.

Une fois que les choix sont faits, il ne reste plus qu’à valider. Il est possible de modifier la configuration ultérieurement.

Désormais, l’image ISO a été ajoutée, et la configuration créée et liée à cette image ISO. Si besoin, une dernière étape pourrait être réalisée : l’ajout de pilotes spécifiques à vos modèles d’ordinateurs.

Ajouter des pilotes

Pour intégrer des pilotes correspondants à la machine qui doit être déployée, c’est pareil, il faut créer un nouvel élément dans la section “Pilotes“. En sélectionnant un répertoire, WAPT va importer tous les pilotes situés dans le dossier. Chaque profil de pilote pourra être affecté à une ou plusieurs machines enregistrées auprès de la fonction WADS.

Serveur DHCP et TFTP

Pour fonctionner avec le boot PXE, il est nécessaire de disposer d’un serveur DHCP et d’un TFTP. C’est classique, et pas spécifique à WAPT. Pour le serveur DHCP, vous pouvez utiliser un serveur Windows ou Linux : au choix. La fonction de serveur TFTP est assurée par WAPT, car cette capacité a été ajoutée à WAPT depuis la version 2.2.1.

Pour ma part, je vais utiliser une machine Windows Server sur laquelle un serveur DHCP est déjà installé.

L’étendue associée au sous-réseau est utilisée. Pour que le boot PXE fonctionne, nous devons configurer les options 66 et 67 afin d’indiquer l’adresse IP du serveur ainsi que le nom du fichier de boot (pour une machine UEFI, dans cet exemple). De plus, pour que le démarrage iPXE fonctionne, il faut aller plus loin et configurer une classe d’utilisateur puis une stratégie.

Voici un script PowerShell mis à disposition par Tranquil IT dans la documentation de WAPT pour automatiser la préparation du serveur DHCP. Vous devez éditer les variables sur les premières lignes du script pour les adapter à votre environnement.



Exécutez ce script afin d’automatiser la configuration.








La console DHCP de Windows permet de visualiser les changements opérés, notamment dans la liste des stratégies.






Pour le serveur TFTP, lancez le service via la commande ci-dessous. C’est une façon de voir qu’il est présent sur votre serveur WAPT (c’est un choix à faire lors de l’installation).






Inscrire les machines dans WADS


Pour déployer une machine avec WADS, elle peut être ou ne pas être inscrite dans la liste des machines à déployer au moment où elle démarre. Mais elle devra forcément être inscrite avant de recevoir une configuration. Pour cela, il y a 4 possibilités :


    

  • Soit on inscrit manuellement la machine via le bouton “Nouvelle machine” (avec une adresse MAC au format )
    • 

  • Soit on importe un fichier CSV pour un import massif
    • 

  • Soit on importe depuis l’inventaire WAPT existant
    • 

  • Soit on inscrit la machine depuis l’environnement WinPE / iPXE
    • 



Pour cette démonstration, je vais reprendre une machine existante dans mon inventaire : . Il me suffit de la sélectionner et de cliquer sur le bouton nommé “Exporter les machines sélectionnées vers WADS“. Cette action est aussi disponible via clic droit sur le nom de la machine ; ici elle a été ajoutée en tant que raccourci via la personnalisation de l’interface WAPT.




L’adresse MAC est l’identifiant unique de chaque machine afin de faire le lien entre le nom, la configuration à appliquer, les pilotes et la clé de produit. WADS ne fait pas le lien avec un numéro de série, contrairement à MDT qui a cette capacité.


Vous pouvez aussi importer en masse des ordinateurs à l’aide d’un fichier CSV. Cela est pratique si vous avez un grand lot de nouvelles machines à déployer. Voici le modèle à suivre pour ce fichier CSV :




La jonction au domaine en mode hors ligne


Pour l’intégration au domaine Active Directory en mode hors ligne (c’est-à-dire sans nécessité d’une connexion directe avec le contrôleur de domaine), la méthode djoin doit être utilisée. C’est une étape officielle proposée par Microsoft qui a été intégrée à WAPT.


Effectuez un clic droit sur le nom de la machine, puis sélectionnez “Préparer le Djoin“.




Il suffit ensuite de s’authentifier auprès de l’Active Directory pour préparer le fichier de jonction. Vous pouvez spécifier l’unité d’organisation cible dans laquelle l’objet ordinateur doit être créé. WAPT peut aussi gérer le cas où la machine existe déjà (cas de la mastérisation d’un ordinateur déjà en service), notamment en écrasant l’objet existant ou en le conservant et en le déplaçant.




Validez, c’est suffisant pour la jonction au domaine.


Dernière étape avant de lancer le déploiement : le nom de la machine. Ici, le nom historique de la machine est . Étant donné que je m’apprête à déployer une image Windows 11, le nom n’est pas judicieux… Il suffit de sélectionner la ligne, d’appuyer sur la touche F2, puis de préciser le nouveau nom. Ce nom sera repris dans l’inventaire WAPT, mais il sera aussi associé à Windows (du point de vue du système d’exploitation). Le nom choisi est .




Passons au déploiement.


Déployer la machine via boot PXE


La machine  est éteinte, puis redémarrée sur le réseau en boot PXE (méthode de démarrage définie en priorité dans les paramètres). Une adresse IP est attribuée par le serveur DHCP, puis le téléchargement débute via le TFTP.




Quelques instants plus tard, une console s’affiche. Des tests de connectivité avec le serveur sont effectués. Puis, un assistant de déploiement WADS apparaît à l’écran : vous n’avez qu’à patienter, car toutes les actions sont automatiques ! Ce n’est pas une surprise : c’est tout l’intérêt du fichier de réponse associé à la configuration.












Côté console WAPT, le statut de la machine s’actualise à chaque fois qu’une étape est accomplie. C’est pratique pour suivre l’avancement du déploiement à distance sur un ensemble d’ordinateurs. Cet affichage n’est pas sans rappeler le mode monitoring de MDT.




Une fois l’installation terminée, nous pouvons établir une connexion à la machine avec le compte “superadmin” ou un compte du domaine. Dans les options de Windows, nous pouvons constater que la machine est correctement nommée.




La jonction au domaine Active Directory a été réalisée correctement.




Côté WAPT, la colonne “Statut” indique “User : Install finish” suivi d’une date et de l’heure. Puisque le déploiement a été lancé sur cette machine, l’option “En attente de déploiement” est automatiquement repositionnée à “False” pour ne pas que la machine se déploie en boucle.




Voilà, nous venons de déployer Windows sur un ordinateur à l’aide de WAPT et de sa fonctionnalité WADS.


Dans le cas où la machine est démarrée en PXE directement sans être inscrite dans WADS, vous êtes invité à saisir un nom lorsque l’interface de WADS apparaît.




Puis, côté WAPT, la machine apparaît comme inscrite. Il convient alors de lui affecter une configuration, puis de la redémarrer pour qu’elle lance la tâche qui lui est associée. En effet, elle va passer en attente de déploiement, et cette action doit être déclenchée via l’option “Démarrer le déploiement“.




Enfin, terminons par une précision au sujet des nouveaux certificats pour le Secure Boot. Tranquil IT a créé un paquet (voir cette page) permettant de vérifier l’activation du Secure Boot ainsi que la présence du certificat de 2023 (destiné à remplacer celui de 2011). Il vous suffit de le déployer sur vos machines pour effectuer cette vérification supplémentaire.


Conclusion


La fonctionnalité WADS de WAPT répond à une véritable problématique : le déploiement des postes de travail en entreprise. À l’heure où MDT est plus que jamais menacé, et surtout, sans avenir, il est important de s’intéresser aux alternatives : WAPT en est une !


Surtout, cela permet de gérer la machine du début à la fin, c’est-à-dire du moment où on sort la machine du carton pour la déployer à la mise en service auprès de l’utilisateur avec déjà les logiciels installés.


Enfin, sachez que les sources d’installation sont téléchargées depuis une connexion HTTP (et par la suite en HTTPS), vous pouvez envisager d’avoir un serveur WAPT dans le Cloud et des machines clientes à déployer sur différents sites (d’autant plus que l’on peut utiliser des dépôts secondaires). Dans ce cas précis, nous allons utiliser une clé USB bootable avec l’environnement WinPE plutôt que le boot PXE via DHCP/TFTP pour ne pas impacter l’infrastructure existante.


Envie d’en savoir plus ? Découvrez WAPT Enterprise.





SOURCE