• Créer des objets GPO starter
• Exécuter des scripts depuis des GPOs

6. Application de stratégies de groupe et propriétés de l'objet GPO

Pour ce tutoriel, nous allons appliquer des stratégies de groupe permettant de désactiver les mises à jour automatique sur les PCs clients.
En effet, en entreprise, il arrive souvent que l'installation des mises à jour Windows et d'autres logiciels soit gérée via des solutions tiers, telles que Microsoft SCCM (System Center Configuration Manager).

Pour désactiver les mises à jour sur les PCs clients, allez dans : Configuration ordinateur -> Stratégies -> Modèles d'administration ... -> Système -> Gestion de la communication Internet -> Paramètres de communication Internet.
Dans ce dossier, faites un double clic sur la stratégie "Désactiver l'accès à toutes les fonctionnalités Windows Update".

Activez ce paramètre de stratégie pour que les fonctionnalités de Windows Update soient supprimées.

Ensuite, allez dans "Configuration ordinateur -> Modèles d'administration ... -> Composants Windows -> Windows Update" et faites un double clic sur la stratégie "Configuration du service Mises à jour automatiques".

Désactivez ce paramètre de stratégie pour que Windows Update soit désactivé sur les PCs clients.

Pour finir, allez dans "Configuration utilisateur -> Stratégies -> Modèles d'administration -> Menu Démarrer et barre des tâches" et faites un double clic sur la stratégie "Supprimer les liens et l'accès à Windows Update".

Activez ce paramètre de stratégie pour bloquer l'accès au site web de Windows Update.
Comme indiqué dans la description de cette stratégie.

Notre objet de stratégie de groupe est créé et configuré, mais il n'est lié à aucun serveur ou ordinateur pour le moment.

Si vous affichez les propriétés de cet objet de stratégie de groupe en faisant un double clic sur celui-ci, vous verrez qu'il fait partie du domaine Active Directory spécifié en haut, mais qu'il n'est lié à aucun site ou domaine Active Directory ni à une unité d'organisation.
Cet objet de stratégie de groupe (objet GPO) n'est donc pas utilisé pour le moment.

Par défaut, le filtrage de sécurité est toujours "Utilisateurs authentifiés" et le filtrage WMI n'est pas utilisé.

Dans l'onglet "Détails" de l'objet GPO, vous pourrez savoir :

• le domaine (ou sous-domaine) Active Directory dans lequel il se trouve
• son propriétaire
• sa date de création et de dernière modification
• sa version utilisateur et ordinateur. Ceci est utilisé pour la réplication des données entre plusieurs contrôleurs de domaines présents dans un même domaine (si applicable)
• son ID unique qui correspond au nom du dossier de cet objet GPO présent dans : C:\Windows\SYSVOL\domain\Policies
• l'état des stratégies de groupe (GPO)
• un commentaire (si il y en a un)

Pour l'état GPO, par défaut, les sections "Configuration ordinateur" et "Configuration utilisateur" sont toutes les 2 activées, mais vous pouvez aussi choisir :

• d'activer uniquement la section "Configuration ordinateur" en sélectionnant : Paramètres de configuration utilisateurs désactivés
• d'activer uniquement la section "Configuration utilisateur" en sélectionnant : Paramètres de configuration ordinateurs désactivés
• de désactiver les 2 sections de configuration pour tenter de trouver la cause d'un problème sur un serveur ou un PC client, par exemple, en sélectionnant : Tous les paramètres désactivés

Dans l'onglet "Paramètres" de l'objet GPO, vous pourrez voir quelles stratégies sont définies dans celui-ci, ainsi que leur valeur.

Dans l'onglet "Délégation" de l'objet GPO, vous pourrez déléguer la gestion de cet objet GPO si vous souhaitez.
Comme vous pouvez le voir, par défaut :

• seuls les administrateurs peuvent modifier l'objet GPO
• les utilisateurs authentifiés ont uniquement le droit de lecture pour que les stratégies de groupe puissent être lues et appliquées sur l'ordinateur client.

Dans l'onglet "Etat" de l'objet GPO, vous pourrez connaitre l'état de réplication de celui-ci sur vos différents contrôleurs de domaine si vous en avez plusieurs.

7. Lier un objet GPO

Maintenant que l'objet de stratégie de groupe est créé et configuré, vous pouvez le lier à l'endroit souhaité en faisant un clic droit "Lier un objet de stratégie de groupe existant" sur l'élément souhaité (dans notre cas : l'unité d'organisation "RH_Computers").

Sélectionnez l'objet GPO créé précédemment.

En sélectionnant l'unité d'organisation à laquelle vous avez lié votre objet GPO, vous verrez que votre objet de stratégie de groupe (GPO) est effectivement lié à celle-ci.

Si vous sélectionnez l'objet GPO, vous verrez dans l'onglet "Etendue" qu'il est effectivement lié à un emplacement : votre unité d'organisation "RH_Computers".

8. Mettre à jour les stratégies de groupe du PC client

Sur le PC client, forcez la mise à jour des stratégies en lançant un invite de commandes en tant qu'administrateur, puis en tapant la commande :

Batch

gpupdate /force

Si vous ouvrez les paramètres de Windows Update, vous verrez le message "*Votre organisation gère certains paramètres" s'affichera en rouge.

Si vous cliquez sur le lien "Afficher les stratégies de mise à jour configurées" juste en dessous du message, vous pourrez voir quelles stratégies ont été appliquées pour Windows Update.

9. Afficher les stratégies appliquées sur le PC client (RSOP)

Sous Windows 10, vous trouverez un programme nommé "rsop.msc" qui vous permet de connaitre facilement quelles stratégies de groupe ont été appliquées sur ce PC client.
Il existe d'autres alternatives officielles à ce programme, mais dans ce cas-ci, nous utiliserons celui-ci.

Une fenêtre "Le jeu de stratégies résultant est en cours de traitement" s'affichera.

Pendant le chargement des données de stratégies, vous pourrez voir quels sont l'utilisateur et l'ordinateur utilisé pour obtenir les stratégies de groupe.
Ce qui peut vous permettre de trouver la cause de l'application ou non de tel ou tel objet de stratégie de groupe.

Dans notre cas, nous retrouvons bien, par exemple, la stratégie de groupe "Configuration du service Mises à jour automatiques" située dans la section "Configuration ordinateur".
De plus, "rsop.msc" nous indique quelle valeur a été assignée pour cette stratégie et de quel objet GPO elle provient.