GPO - Stratégies pour Windows 10 - 11 - PC2S

Mise a jour le 26/10/2025

Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d’utilisation de Windows ou des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.

Important > Ces guides de GPO doivent être configurés :

Création de la GPO :

En créant cette GPO au niveau de l’OU (unité d’organisation) « Utilisateurs », elle sera appliquée au groupe « Utilisateurs », ainsi qu’aux 2 unités d’organisations « Production » et « Test Labo ».

Et donc aux « Ordinateurs » et « Utilisateurs » qu’elles contiennent.

Donnez un Nom : GPO Win 10

Clic droit sur la GPO > Modifier :

Configuration Ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies locales, Options de sécurité, Autre

Bloquer l’utilisation de Comptes Microsoft pour l’ouverture de session utilisateur sous
Windows

Respect de la vie privée et de la confidentialité des données sous Windows :

Configuration Ordinateur, Stratégies, Modèles d’administration…

Désactiver : MAPS, Télémétrie, Notifications de Commentaire, Accès aux informations de Compte, Emplacement et Capteurs

Facultatif : Concernant la partie « Confidentialité de l’application »
les accès octroyés aux 15 autres applications peuvent également être refusés (informations du compte, contacts, courriel, géolocalisation, etc.)

Désactiver Microsoft Edge : Empêcher le pré-lancement et le pré-chargement au démarrage du système
Désactiver : Activer les actualités et les centres d’intérêt sur la barre des taches. (Actualités et champs d’intérêt)
Facultatif : Désactiver OneDrive (service de stockage dans le nuage).
Désactiver les Rapports d’erreurs

Désactiver Cortana et les Recherches Web et autres
Activer : Ne pas se connecter a des emplacements Internet Windows Update
- - Note : Cette GPO bloquera l’installation et la mise a jour des applications du Windows Store, mais l’accès a celui-ci sera autorisé.
Désactiver : Exiger l’utilisation du démarrage rapide

Désactiver les éléments de personnalisation de l’expérience utilisateur
Désactiver : Afficher l’animation a la première connexion
Désactiver l’ID de publicité

Configuration Utilisateur, Stratégies, Modèles d’administration…

Activer : Ne pas utiliser les données de diagnostic pour personnaliser l’expérience utilisateur
Activer : Désactiver la synchronisation des flux et composants RSS Web Slice
Activer : Ne pas autoriser l’épinglage de l’application Store a la barre des taches
Activer : Supprimer la barre Contacts de la barre des Taches
Activer : Supprimer les notifications et le centre de Maintenance

Modification des Clés de Registre et Désactivation des mouchards Windows :

Configuration Ordinateur, Préférences, Paramètres Windows, Registre : Nouveau, Elément registre :

Désactiver le démarrage rapide hybride Hiberboot :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power

Nom de la valeur : HiberbootEnabled
Valeur : REG_DWORD
- 00000000 = Désactive le démarrage rapide
- 00000001 = Active le démarrage rapide

Désactiver la Telemetrie « DataCollection » > Ajouter un « Nouveau Elément Registre » :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection
Nom de la valeur : AllowTelemetry
Valeur : REG_DWORD : 0

Désactiver le Service « DcpSvc » DataCollectionPublishingService > Ajouter un « Nouveau Elément Registre » :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DcpSvc
Nom de la valeur : Start
Valeur : REG_DWORD : 4

Désactiver le Service « DiagTrack » Expériences des utilisateurs connectés et télémétrie > Ajouter un « Nouveau Elément Registre » :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DiagTrack
Nom de la valeur : Start
Valeur : REG_DWORD : 4

Désactiver le Service « dmwappushservice » Service de routage de message push WAP > Ajouter un « Nouveau Elément Registre » :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dmwappushservice
Nom de la valeur : Start
Valeur : REG_DWORD : 4

Désactiver l’envoi de rapports par MSRT et Windows Defender > Ajouter un « Nouveau Elément Registre » :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Nom de la valeur : DontReportInfectionInformation
Valeur : REG_DWORD : 1

Résultat :

Interdire et bloquer le lancement de Microsoft Store

Configuration Ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de restriction logicielle

Clic droit sur « Stratégies de restriction logicielle » > Sélectionner « Nouvelles Stratégies de restriction logicielle«
« Règles supplémentaires » > Créer une « Nouvelle règle de chemin d’accès » et indiquer : %ProgramFiles%\WindowsApps\Microsoft.WindowsStore*
Niveau de sécurité : « Non autorisé«
Renseigner une description si besoin …

Note : Le « joker » [*] permet d’indiquer > « tout ce qui suit après » dans le chemin d’accès.

Bloquer la récupération des métadonnées des appareils à partir d’Internet (Miniatures d’imprimantes…)

Configuration Ordinateur, Stratégies, Modèles d’administration, Système, Installation de périphériques

Activer : Empêcher la récupération des métadonnées de périphérique depuis Internet

Résultat sur un poste Client du Domaine

Interdire et désactiver la connexion a un réseau Wi-Fi si une connexion a un réseau filaire (LAN Ethernet) est établie.

Configuration Ordinateur, Stratégies, Modèles d’administration, Réseau, Gestionnaire de connexions Windows

Activer : Interdire la connexion à des réseaux sans domaine en cas de connexion à un réseau authentifié par son domaine
Activer : Minimiser le nombre de connexions simultanées a internet ou a un domaine
- Sélectionner : 3 = interdire le WIFI sur LAN Ethernet

Information : Cette GPO est appliquée au groupe Utilisateurs, donc aussi aux 3 unités d’organisations : Production, Secretariat et Test Labo.

Important : la stratégie de groupe applique les objets de stratégie de groupe de bas en haut, en remplaçant les paramètres au fil de la progression.

Nombre de Vues : 13 877

PC2S – Bubu

Tuto Informatique – Partitions Basse

GPO – Stratégies pour Windows 10 – 11