Les GPO (Group Policy Object) permettent de distribuer des applications, de lancer des scripts, de préparer l’environnement des utilisateurs, de contrôler le comportement des ordinateurs clients et de sécuriser les postes de travail et le réseau.
Déployer une GPO très restrictive a adapter en fonction de vos besoins d’entreprise…
Créer un nouvel objet GPO, nommez-le, puis Clic doit, modifier.
Rappel Important : la stratégie de groupe applique les objets de stratégie de groupe de bas en haut, en remplaçant les paramètres au fil de la progression.
Dans l’exemple suivant, cette GPO est appliquée au groupe Utilisateurs, donc aussi aux 3 unités d’organisations : Production, Secretariat et Test Labo.
Faire glisser les utilisateurs et Ordinateurs dans votre OU (unité d’organisation) en fonction de votre arborescence car les Stratégies GPO s’appliquent à l’Utilisateur et ou à l’Ordinateur !
Paramétrer les stratégies : Configuration Ordinateur
La Configuration Ordinateur décrite ci-dessous me permet de contrôler efficacement les postes des utilisateurs. Tenez compte de vos propres besoins pour les stratégies sur « Windows Defender« , « Windows Installer« , « Windows Store« , « Fichiers hors connexion » … Personnellement j’empêche toutes les mises à jour individuelles, toutes installations de logiciels non autorisées par le service informatique ; Windows Defender est désactivé pour éviter un conflit avec Kaspersky qui est géré à partir d’un serveur d’applications dédié.
Assistance en ligne
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Assistance en ligne ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver l’aide active | Activé |
Centre de sécurité
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Centre de sécurité ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Activer le Centre de sécuirté | Désactivé |
Explorateur de jeux
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Explorateur de jeux ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver le suivi de l’heure de la dernière utilisation d’un jeu du dossier jeu | Activé |
| Désactiver le téléchargement d’informations sur les jeux | Activé |
| Désactiver les mises à jour de jeux | Activé |
Groupe résidentiel
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Groupe résidentiel ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Empêcher l’ordinateur de rejoindre un groupe résidentiel | Activé |
Internet Explorer
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Internet Explorer ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer | Activé |
| Désactiver les notifications de performances des modules complémentaires | Activé |
| Installer automatiquement les nouvelles versions d’Internet Explorer | Désactivé |
Internet Explorer\Accélérateur
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Internet Explorer \ Accélérateurs ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver les accélérateurs | Activé |
Lecteur Windows Media
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Lecteur Windows Media ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Empêcher la création d’un raccourci dans la barre d’outils Lancement rapide | Activé |
| Empêcher la création d’un raccourci sur le Bureau | Activé |
| Empêcher le partage de médias | Activé |
| Empêcher les mises à jour automatiques | Activé |
| Ne pas afficher les boîtes de dialogue de configuration à la première exécution du lecteur | Activé |
NetMeeting
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Paramètres de présentation ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver les paramètres de présentation Windows | Activé |
Planificateur de tâches
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Planificateur de tâches ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Empêcher la création de nouvelles tâches | Activé |
| Empêcher la suppression de tâches | Activé |
| Empêcher le glisser-déplacer | Activé |
| Empêcher l’exécution et l’arrêt des tâches | Activé |
| Interdire le parcours | Activé |
| Masquer la case à cocher Propriétés avancées dans l’Assistant Ajouter une tâche planifiée | Activé |
| Masquer les pages de propriétés | Activé |
Programme d’amélioration de l’expérience utilisateur Windows
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Programme d’amélioration de l’expérience utilisateur Windows ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Autoriser la redirection des téléchargements d’amélioration des services de Windows | Désactivé |
| Baliser les données du programme d’amélioration des services de Windows à l’aide de l’identificateur d’analyse | Désactivé |
Windows Defender
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Windows Defender ».
| Avertissement ! | ||
| La désactivation de Windows Defender ne peut être envisagée que si vous installez un antivirus réseau. Exemple : Kaspersky Security Center. | ||
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE | |
| Désactiver Windows Defender | Activé | |
Windows Store
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Windows Store ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver le téléchargement automatique des mises à jour sur les ordinateurs Windows 8 | Activé |
| Désactiver le téléchargement automatique et l’installation des mises à jour | Activé |
| Désactiver toutes les applications à partir du Windows Store | Activé |
Windows Update
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows » => « Windows Update ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Configuration du service Mises à jour automatiques | Désactiver |
Fichiers hors connexion
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Réseaux » => « Fichiers hors connexion ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Autoriser ou interdire l’utilisation de la fonctionnalité de fichiers hors connexion | Désactivé |
Paramètres de communication Internet
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Système » => « Gestion de la communication Internet \ Paramètres de communication Internet ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver l’accès à toutes les fonctionnalités Windows Update | Activé |
| Désactiver le Programme d’amélioration de l’expérience utilisateur Windows | Activé |
| Désactiver Rapport d’erreurs Windows | Activé |
Installation de périphériques
=> Développez : « Configuration ordinateur » => « Stratégies » => « Modèle d’administration… » => « Système » => « Installation de périphériques ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Ne pas envoyer de rapport d’erreurs Windows lors de l’installation d’un pilote générique sur un périphérique | Activé |
Paramétrer les stratégies : Configuration Utilisateur
La Configuration Utilisateur décrite ci-dessous me permet de contrôler efficacement le bureau des utilisateurs, l’explorateur, l’exécution des logiciels, l’autorun des médias amovibles, Windows Store, Windows Update, le menu démarrer et la barre des tâches, …
Bureau
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Bureau ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Cacher l’icône Internet Explorer sur le Bureau | Activé |
Composants Windows\Explorateur Windows
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Explorateur de fichiers ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Dans poste de travail, masquer ces lecteurs spécifiés | Activé / Restreindre au lecteur A, B et C uniquement |
| Empêcher l’accès aux lecteurs à partir du Poste de travail | Activé / Restreindre au lecteur A, B et C uniquement (A faire Si Besoin pour interdire l’accès) |
| Supprimer les options « Connecter un lecteur réseau » et « Déconnecter un lecteur réseau » | Activé |
Composants Windows\Gadgets du bureau
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration… » => « Composants Windows/Gadgets du bureau ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver les gadgets du Bureau | Activé |
| Désactiver les gadgets du Bureau installés par l’utilisateur | Activé |
| Restreindre la décompression et l’installation des gadgets qui ne sont pas signés numériquement | Activé |
Composants Windows\Interface utilisateur latérale
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Interface utilisateur latérale ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Empêcher les utilisateurs de remplacer l’invite de comanndes par Windows PowerShell dans le menu affiché quand ils cliquent avec le bouton droit dans l’angle inférieur gauche | Activé |
Composants Windows\Internet Explorer
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Internet Explorer ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Activer la barre de menus par défaut | Activé |
| Autoriser les services Microsoft à fournir des suggestions améliorées à mesure que l’utilisateur entre du texte dans la barre d’adresse | Désactivé |
| Avertir les utilisateurs si Internet Explorer n’est pas le navigateur Web par défaut | Désactivé |
| Désactiver l’Assistant Connexion Internet | Activé |
| Désactiver l’invite d’exécution d’ActiveX | Activé |
| Désactiver la fonctionnalité de saisie semi-automatique des adresses Web | Activé |
| Désactiver la fonctionnalité de vérification des paramètres de sécurité | Activé |
| Désactiver la géolocalisation du navigateur | Activé |
| Désactiver la gestion des fenêtres publicitaires | Activé |
| Désactiver la modification de la page d’accueil | Activé [http://www.google.fr] |
| Désactiver la modification des paramètres de connexion | Activé |
| Désactiver la modification des paramètres de la configuration automatique | Activé |
| Désactiver la modification des paramètres des fichiers Internet temporaires | Activé |
| Désactiver la modification du navigateur par défaut | Activé |
| Désactiver la personnalisation d’Internet Explorer par des tiers | Activé |
| Désactiver la récupération automatique après blocage | Activé |
| Désactiver les notifications de performances des modules complémentaires | Activé |
| Désactiver les suggestions de tous les moteurs de recherche installés par l’utilisateur | Activé |
| Désactiver Rouvrir la dernière session de navigation | Activé |
| Empêcher l’exécution de l’Assistant Première exécution | Activé |
| Empêcher l’installation par l’utilisateur des contrôles ActiveX | Activé |
| Empêcher la gestion du filtre anti-hameçonnage | Activé / Manuel |
| Empêcher la gestion du filtre SmartScreen | Activé / Désactivé |
| Empêcher la modification des paramètres du proxy | Activé |
| Empêcher la modification du moteur de recherche par défaut | Activé |
| Empêcher la modification du niveau de filtrage des fenêtres publicitaires | Activé |
| Empêcher la participation au Programme d’amélioration de l’expérience utilisateur | Activé |
| Empêcher le contournement des avertissements du filtre SmartScreen | Activé |
| Interdire la fonctionnalité « Corriger les paramètres » | Activé |
| Ne pas autoriser les utilisateurs à activer ou désactiver les modules complémentaires | Activé |
Composants Windows\Internet Explorer\Barre d’outils
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Internet Explorer\Barre d’outils ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver la personnalisation des barres d’outils du navigateur | Activé |
| Désactiver la personnalisation des boutons de la barre d’outils du navigateur | Activé |
| Désactiver les outils de développement | Activé |
| Verrouiller l’emplacement des boutons Arrêter et Actualiser | Activé |
| Verrouiller toutes les barres d’outils | Activé |
Composants Windows\Internet Explorer\Panneau de configuration Internet
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Internet Explorer\Panneau de configuration Internet ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver l’onglet Avancé | Activé |
| Désactiver l’onglet Confidentialité | Activé |
| Désactiver l’onglet Connexions | Activé |
| Désactiver l’onglet Contenu | Activé |
| Désactiver l’onglet Programmes | Activé |
| Désactiver l’onglet Sécurité | Activé |
Composants Windows\Internet Explorer\Supprimer l’historique de navigation
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Internet Explorer\Supprimer l’historique de navigation ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Autoriser la suppression de l’historique de navigation en quittant | Activé |
Composants Windows\Paramètres de présentation
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Paramètres de présentation ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver les paramètres de présentation Windows | Activé |
Composants Windows\Stratégies de lecture automatique
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Stratégies de lecture automatique ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Définir le comportement par défaut du programme Autorun | Activé / N’exécuter aucune commande Autorun |
| Désactiver l’exécution automatique | Activé / Tous les lecteurs |
Composants Windows\Windows Mail
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Windows Mail ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver l’application Windows Mail | Activé |
Composants Windows\Windows Media Center
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Windows Media Center ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Ne pas autoriser l’exécution de Windows Media Center | Activé |
Composants Windows\Windows Messenger
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Windows Messenger ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Ne pas autoriser l’exécution de Windows Messenger | Activé |
| Ne pas démarrer initialement Windows Messenger de manière automatique | Activé |
Composants Windows\Windows Store
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Windows Store ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver l’application du Windows Store | Activé |
| Désactiver la proposition d’effectuer une mise à jour vers la dernière version de Windows | Activé |
Composants Windows\Windows Update
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Composants Windows\Windows Update ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Ne pas afficher l’option « Installer les mises à jour et éteindre » dans la boîte de dialogue Arrêt de Windows | Activé |
| Supprimer l’accès à l’utilisation de toutes les fonctionnalités de Windows Update | Activé / 0 – Ne pas afficher de notifications |
Menu Démarrer et barre des tâches
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Menu Démarrer et barre des tâches ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Accéder au Bureau plutôt qu’à l’écran d’accueil lors de la connexion | Activé |
| Afficher les applications du Windows Store sur la barre des tâches | Désactivé |
| Empêcher les utilisateurs de désinstaller des applications à partir de l’écran de démarrage | Activé |
| Ne pas autoriser l’épinglage de l’application Windows Store à la barre des tâches | Activé |
| Supprimer l’icône Sécurité et Maintenance | Activé |
| Supprimer le lien Groupe résidentiel du menu Démarrer | Activé |
| Supprimer le lien Jeux du menu Démarrer | Activé |
| Supprimer les liens et l’accès à Windows Update | Activé |
Réseau\Fichiers hors connexion
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Réseau\Fichiers hors connexion ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Empêcher l’utilisation de dossiers de fichiers hors connexion | Activé |
| Empêcher la configuration utilisateur des fichiers hors connexion | Activé |
| Supprimer la commande « Rendre disponible hors connexion » | Activé |
| Supprimer la commande « Travailler hors connexion » | Activé |
Réseau\Windows Connect Now
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Réseau\Windows Connect Now ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Interdire l’accès aux Assistants Windows Connect Now | Activé |
Système\Gestion de la communication Internet\Paramètres de communication Internet
=> Développez : « Configuration utilisateur » => « Stratégies » => « Modèle d’administration » => « Système\Gestion de la communication Internet\Paramètres de communication Internet ».
| STRATÉGIE | PARAMÈTRE DE STRATÉGIE |
| Désactiver l’accès au Windows Store | Activé |
| Désactiver l’option Commander des photos de la Gestion des images | Activé |
| Désactiver le programme d’amélioration des services pour Windows Messenger | Activé |
| Désactiver le téléchargement à partir d’Internet pour les Assistants Publication de sites Web et Commande en ligne via Internet | Activé |