Déployer SentinelOne dans un environnement Active Directory
- Mise à jour le 26 juin 2025
J'ai récemment eu à déployer le tout nouveau SentinelOne super antivirus de la mort qui tue le XDR (pour Extended Detection and Response) dans un un environnement Windows…
Si vous avez manqué le film, il s'agit d'un outil de sécurité qui utilise un moteur basé sur une IA et qui protège, détecte et réagit aux menaces logicielles.
C'est "blah blah blah" incroyable mais la vraie question est de savoir comment déployer ça? Et bien je n'ai pas trouvé de solution intégrée pour le faire à grand échelle.
J'ai donc du trouver un moyen de mon cru pour le déployer… Et c'est justement ce que je vais détailler ici!
Installation manuelle
Lorsque l'on lance le paquet msi, l'installeur SentinelOne demande de renseigner un Token.
On ne peut donc pas utiliser l'outil d'installation GPO natif de msi pour cela. (j'ai aussi essayé, sans succès, une solution pour ajouter les propriétés du token avec Orca).

- Avec la commande
msiexec
nous pouvons ajouter le TOKEN de cette façon :/i
: installer/q
: Mode silencieux, aucune interaction utilisateur/norestart
: ne pas redémarrer à la fin de l'installation
C:\>msiexec /i "SentinelInstaller_windows.msi" /q /norestart SITE_TOKEN="ps3GpmsPqogCBKF0ANnRhmUVptppZlKPMncnl2CGNG6cbaHia3yRHw6aWRb12AeDSj5NpabG1T4A6XPWzOsHt62jAgwK8IL5l0JibeWa"
C'est donc cette commande qui sera utilisée dans le script.
Batch Script
- J'ai créé un petit script pour lancer l'installation de SentinelOne dans le cas ou il n'est pas déjà présent sur le poste :
@echo off
REM check if "HKLM\Software\Sentinel Labs" registry key is present
reg query "HKLM\Software\Sentinel Labs"
REM if "HKLM\Software\Sentinel Labs" registry key is present, it means that sentinel has already been installed on this host, so go to the INSTALLED switch of the script
IF %ERRORLEVEL% == 0 goto INSTALLED
REM Copy SentinelInstaller_windows.msi installer from SYSVOL share to local TEMP folder WORKSTATION
copy \\std\sysvol\std.local\scripts\SentinelOne\SentinelInstaller_windows.msi c:\windows\temp\ /Z /Y
REM install msi package
msiexec /i "c:\windows\temp\SentinelInstaller_windows.msi" /q /norestart SITE_TOKEN="ps3GpmsPqogCBKF0ANnRhmUVptppZlKPMncnl2CGNG6cbaHia3yRHw6aWRb12AeDSj5NpabG1T4A6XPWzOsHt62jAgwK8IL5l0JibeWa"
REM if install is ok go to OK switch
IF %ERRORLEVEL% == 0 goto OK
REM if install fails go to ERROR switch
goto ERROR
:INSTALLED
echo "Already Installed"
goto END
:ERROR
echo "Install Error"
goto END
:OK
echo "Install OK"
:END
- Voici ce que fait le script:
- Vérifie si l'entrée
"HKLM\Software\Sentinel Labs"
existe dans la base de registre (si l'entrée existe, cela veut dire que SentinelOne est déjà installé, donc sortir du script.). - Si non, copier le fichier
SentinelInstaller_windows.msi
depuis notre partage Active Directory versc:\windows\temp\
. - Enfin, lancer l'installation du
msi
.
- Vérifie si l'entrée
- Depuis un contrôleur de domaine Active Directory sauvegarder le script batch et le package msi SentinelOne dans le dossier
C:\Windows\SYSVOL\sysvol\std.local\scripts\SentinelOne
:

Créer la GPO
Nous allons donc créer une GPO qui se chargera d'exécuter le script d'installation au démarrage de nos ordinateurs.
- Ouvrir la console Utilisateurs et Ordinateurs Active Directory :

- Déplacer les Ordinateurs sur lesquels l'on souhaite installer SentinelOne dans l'OU (Organizational Unit) Workstations :

- Ouvrir la console Gestion de stratégie de groupe :

- Créer la stratégie de groupe :

- Donner un nom à la GPO :

- Éditer la GPO :

- Aller dans Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (Démarrage/Arrêt). Faire un clic droit Démarrage > Propriétés

- Cliquer sur Ajouter… et Parcourir pour sélectionner le script :

Et voila, finito!