<h1><a name="p-39429-crer-et-grer-des-gpo-group-policy-dans-active-directory-guide-pas-pas-1" class="anchor" href="#p-39429-crer-et-grer-des-gpo-group-policy-dans-active-directory-guide-pas-pas-1" aria-label="Heading link"></a>Créer et gérer des GPO (Group Policy) dans Active Directory : guide pas-à-pas</h1>
<p>Les Group Policy Objects (GPO) sont un des outils les plus puissants d’Active Directory pour standardiser et sécuriser la configuration de l’ensemble de votre parc informatique. Ce guide vous montre comment créer, configurer et déployer des GPO efficaces, depuis les bases jusqu’aux techniques avancées de filtrage et de débogage.</p>
<hr>
<h2><a name="p-39429-prrequis-2" class="anchor" href="#p-39429-prrequis-2" aria-label="Heading link"></a>Prérequis</h2>
<ul>
<li>Un domaine <strong>Active Directory</strong> fonctionnel (Windows Server 2016/2019/2022)</li>
<li>La console <strong>Gestion des stratégies de groupe</strong> (<code>gpmc.msc</code>) installée</li>
<li>Droits <strong>Administrateur du domaine</strong> ou droits délégués de gestion des GPO</li>
<li>Des connaissances de base sur la structure OU d’Active Directory</li>
</ul>
<blockquote>
<p><strong>Astuce :</strong> Installez les <strong>Outils d’administration de serveur distant (RSAT)</strong> sur votre poste Windows 10/11 pour gérer les GPO sans avoir à vous connecter directement sur le serveur.</p>
</blockquote>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Installer RSAT sur Windows 10/11
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~0.0.1.0
Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~0.0.1.0
</code></pre>
<hr>
<h2><a name="p-39429-tape-1-comprendre-larchitecture-des-gpo-3" class="anchor" href="#p-39429-tape-1-comprendre-larchitecture-des-gpo-3" aria-label="Heading link"></a>Étape 1 — Comprendre l’architecture des GPO</h2>
<p>Avant de créer des GPO, il est essentiel de comprendre comment elles s’appliquent :</p>
<h3><a name="p-39429-ordre-dapplication-lsdou-4" class="anchor" href="#p-39429-ordre-dapplication-lsdou-4" aria-label="Heading link"></a>Ordre d’application (LSDOU) :</h3>
<ol>
<li><strong>Local</strong> — Stratégies de l’ordinateur local</li>
<li><strong>Site</strong> — Stratégies liées au site AD</li>
<li><strong>Domain</strong> — Stratégies liées au domaine</li>
<li><strong>OU</strong> — Stratégies des unités organisationnelles (de la plus haute à la plus basse)</li>
</ol>
<blockquote>
<p><strong>Important :</strong> En cas de conflit, la dernière GPO appliquée (la plus basse dans la hiérarchie) l’emporte, <strong>sauf</strong> si l’option “Appliqué” (Enforced) est activée.</p>
</blockquote>
<h3><a name="p-39429-structure-dune-gpo-5" class="anchor" href="#p-39429-structure-dune-gpo-5" aria-label="Heading link"></a>Structure d’une GPO :</h3>
<ul>
<li><strong>Configuration ordinateur</strong> — s’applique à la machine, quel que soit l’utilisateur connecté</li>
<li><strong>Configuration utilisateur</strong> — s’applique à l’utilisateur, quel que soit l’ordinateur utilisé</li>
</ul>
<hr>
<h2><a name="p-39429-tape-2-ouvrir-la-console-de-gestion-des-stratgies-de-groupe-6" class="anchor" href="#p-39429-tape-2-ouvrir-la-console-de-gestion-des-stratgies-de-groupe-6" aria-label="Heading link"></a>Étape 2 — Ouvrir la Console de gestion des stratégies de groupe</h2>
<ol>
<li>Appuyez sur <strong>Windows + R</strong>, tapez <code>gpmc.msc</code> et validez</li>
<li>La console s’ouvre avec l’arborescence de votre forêt AD</li>
<li>Développez : <strong>Forêt</strong> → <strong>Domaines</strong> → <strong>contoso.local</strong></li>
</ol>
<p>Vous voyez :</p>
<ul>
<li><strong>Default Domain Policy</strong> — GPO par défaut liée au domaine</li>
<li><strong>Default Domain Controllers Policy</strong> — GPO par défaut pour les contrôleurs de domaine</li>
<li>Vos <strong>OUs</strong> avec les GPO associées</li>
</ul>
<blockquote>
<p><strong>Attention :</strong> N’éditez jamais la <strong>Default Domain Policy</strong> pour y ajouter des paramètres personnalisés. Créez toujours de nouvelles GPO dédiées. Modifiez la Default Domain Policy uniquement pour les paramètres de mot de passe du domaine.</p>
</blockquote>
<hr>
<h2><a name="p-39429-tape-3-crer-une-nouvelle-gpo-7" class="anchor" href="#p-39429-tape-3-crer-une-nouvelle-gpo-7" aria-label="Heading link"></a>Étape 3 — Créer une nouvelle GPO</h2>
<h3><a name="p-39429-exemple-pratique-gpo-de-scurit-pour-les-postes-de-travail-8" class="anchor" href="#p-39429-exemple-pratique-gpo-de-scurit-pour-les-postes-de-travail-8" aria-label="Heading link"></a>Exemple pratique : GPO de sécurité pour les postes de travail</h3>
<ol>
<li>Dans la console GPMC, faites un <strong>clic droit</strong> sur l’OU <strong>“Ordinateurs”</strong> (ou la cible souhaitée)</li>
<li>Sélectionnez <strong>“Créer un objet GPO dans ce domaine, et le lier ici”</strong></li>
<li>Donnez un nom explicite à la GPO, par exemple : <strong>“SEC-Postes-Sécurité-Base”</strong></li>
</ol>
<blockquote>
<p><strong>Convention de nommage recommandée :</strong> <code>[TYPE]-[CIBLE]-[DESCRIPTION]</code></p>
<ul>
<li><code>SEC-</code> pour les paramètres de sécurité</li>
<li><code>CFG-</code> pour la configuration</li>
<li><code>LOG-</code> pour les scripts de démarrage/logon</li>
<li><code>APP-</code> pour le déploiement d’applications</li>
</ul>
</blockquote>
<ol start="4">
<li>Cliquez sur <strong>OK</strong> — la GPO est créée et apparaît sous l’OU</li>
</ol>
<h3><a name="p-39429-via-powershell-9" class="anchor" href="#p-39429-via-powershell-9" aria-label="Heading link"></a>Via PowerShell :</h3>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Créer une nouvelle GPO
$GPOName = "SEC-Postes-Sécurité-Base"
$OUPath = "OU=Ordinateurs,OU=Contoso,DC=contoso,DC=local"
New-GPO -Name $GPOName -Comment "GPO de sécurité de base pour tous les postes"
Lier la GPO à l'OU
New-GPLink -Name $GPOName -Target $OUPath -LinkEnabled Yes
Write-Host "GPO '$GPOName' créée et liée à '$OUPath'" -ForegroundColor Green
</code></pre>
<hr>
<h2><a name="p-39429-tape-4-configurer-les-paramtres-de-la-gpo-10" class="anchor" href="#p-39429-tape-4-configurer-les-paramtres-de-la-gpo-10" aria-label="Heading link"></a>Étape 4 — Configurer les paramètres de la GPO</h2>
<p>Faites un <strong>clic droit</strong> sur votre GPO → <strong>“Modifier”</strong>. L’éditeur de gestion des stratégies de groupe s’ouvre.</p>
<h3><a name="p-39429-h-41-paramtres-de-scurit-configuration-ordinateur-11" class="anchor" href="#p-39429-h-41-paramtres-de-scurit-configuration-ordinateur-11" aria-label="Heading link"></a>4.1 Paramètres de sécurité (Configuration ordinateur)</h3>
<p>Naviguez vers :<br>
<code>Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies de compte → Stratégie de mot de passe</code></p>
<p>Configurez :</p>
<ul>
<li><strong>Longueur minimale du mot de passe</strong> : 12 caractères</li>
<li><strong>Durée de vie maximale</strong> : 90 jours</li>
<li><strong>Âge minimal</strong> : 1 jour</li>
<li><strong>Historique des mots de passe</strong> : 10</li>
<li><strong>Le mot de passe doit respecter des exigences de complexité</strong> : Activé</li>
</ul>
<h3><a name="p-39429-h-42-dsactiver-le-compte-invit-et-renommer-administrateur-12" class="anchor" href="#p-39429-h-42-dsactiver-le-compte-invit-et-renommer-administrateur-12" aria-label="Heading link"></a>4.2 Désactiver le compte Invité et renommer Administrateur</h3>
<p><code>Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Options de sécurité</code></p>
<ul>
<li><strong>“Comptes : statut du compte Invité”</strong> → Désactivé</li>
<li><strong>“Comptes : renommer le compte administrateur”</strong> → Saisissez un nouveau nom</li>
</ul>
<h3><a name="p-39429-h-43-configurer-lcran-de-veille-avec-mot-de-passe-13" class="anchor" href="#p-39429-h-43-configurer-lcran-de-veille-avec-mot-de-passe-13" aria-label="Heading link"></a>4.3 Configurer l’écran de veille avec mot de passe</h3>
<p><code>Configuration utilisateur → Modèles d'administration → Panneau de configuration → Personnalisation</code></p>
<ul>
<li><strong>“Activer l’écran de veille”</strong> → Activé</li>
<li><strong>“Protéger l’écran de veille par un mot de passe”</strong> → Activé</li>
<li><strong>“Délai d’attente de l’écran de veille”</strong> → Activé, valeur : 600 secondes (10 minutes)</li>
</ul>
<h3><a name="p-39429-h-44-bloquer-laccs-au-panneau-de-configuration-14" class="anchor" href="#p-39429-h-44-bloquer-laccs-au-panneau-de-configuration-14" aria-label="Heading link"></a>4.4 Bloquer l’accès au Panneau de configuration</h3>
<p><code>Configuration utilisateur → Modèles d'administration → Panneau de configuration</code></p>
<ul>
<li><strong>“Interdire l’accès au Panneau de configuration et à l’application Paramètres du PC”</strong> → Activé</li>
</ul>
<blockquote>
<p><strong>Attention :</strong> Cette restriction s’applique aux utilisateurs standards. Créez un groupe de sécurité “Exclusion-GPO-PanneauConfig” pour exclure les administrateurs via le filtrage de sécurité.</p>
</blockquote>
<hr>
<h2><a name="p-39429-tape-5-configurer-un-fond-dcran-dentreprise-via-gpo-15" class="anchor" href="#p-39429-tape-5-configurer-un-fond-dcran-dentreprise-via-gpo-15" aria-label="Heading link"></a>Étape 5 — Configurer un fond d’écran d’entreprise via GPO</h2>
<pre><code class="lang-auto">Navigation : Configuration utilisateur → Modèles d'administration
→ Bureau → Bureau
→ "Papier peint du Bureau"
</code></pre>
<ol>
<li>Double-cliquez sur <strong>“Papier peint du Bureau”</strong></li>
<li>Sélectionnez <strong>“Activé”</strong></li>
<li><strong>Nom du papier peint</strong> : <code>\contoso.local\SYSVOL\contoso.local\scripts\wallpaper.jpg</code></li>
<li><strong>Style du papier peint</strong> : Remplir</li>
<li>Cliquez sur <strong>OK</strong></li>
</ol>
<p>Déposez l’image dans le partage SYSVOL :</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Copier le fond d'écran dans SYSVOL
$SYSVOLPath = "\SRV-DC01\SYSVOL\contoso.local\scripts"
Copy-Item "C:\Images\wallpaper-entreprise.jpg" "$SYSVOLPath\wallpaper.jpg"
Vérifier les permissions
Get-Acl "$SYSVOLPath\wallpaper.jpg" | Format-List
</code></pre>
<hr>
<h2><a name="p-39429-tape-6-dployer-un-lecteur-rseau-mapp-16" class="anchor" href="#p-39429-tape-6-dployer-un-lecteur-rseau-mapp-16" aria-label="Heading link"></a>Étape 6 — Déployer un lecteur réseau mappé</h2>
<p><code>Configuration utilisateur → Préférences → Paramètres Windows → Mappages de lecteurs</code></p>
<ol>
<li>Clic droit → <strong>Nouveau</strong> → <strong>Lecteur mappé</strong></li>
<li><strong>Action</strong> : Créer</li>
<li><strong>Emplacement</strong> : <code>\SRV-FILE01\Partage</code></li>
<li><strong>Lettre de lecteur</strong> : Z</li>
<li><strong>Reconnecter</strong> : Coché</li>
<li>Allez dans l’onglet <strong>“Ciblage au niveau des éléments”</strong> → <strong>Nouveau ciblage</strong> → <strong>Groupe de sécurité</strong></li>
<li>Saisissez le groupe autorisé (ex : <code>GRP-Accès-Partage</code>)</li>
</ol>
<hr>
<h2><a name="p-39429-tape-7-filtrage-de-scurit-et-wmi-17" class="anchor" href="#p-39429-tape-7-filtrage-de-scurit-et-wmi-17" aria-label="Heading link"></a>Étape 7 — Filtrage de sécurité et WMI</h2>
<h3><a name="p-39429-filtrage-de-scurit-recommand-18" class="anchor" href="#p-39429-filtrage-de-scurit-recommand-18" aria-label="Heading link"></a>Filtrage de sécurité (recommandé) :</h3>
<p>Par défaut, une GPO s’applique à tous les <strong>Utilisateurs authentifiés</strong>. Pour restreindre l’application :</p>
<ol>
<li>Cliquez sur votre GPO dans la console GPMC</li>
<li>Dans l’onglet <strong>“Étendue”</strong>, section <strong>“Filtrage de sécurité”</strong></li>
<li>Supprimez <strong>“Utilisateurs authentifiés”</strong></li>
<li>Cliquez sur <strong>Ajouter</strong> et ajoutez le groupe souhaité (ex : <code>GRP-GPO-Postes-Standard</code>)</li>
</ol>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Configurer le filtrage de sécurité via PowerShell
$GPOName = "SEC-Postes-Sécurité-Base"
Supprimer Utilisateurs authentifiés
Set-GPPermission -Name $GPOName -PermissionLevel None `
-TargetName "Authenticated Users" -TargetType Group
Ajouter le groupe souhaité
Set-GPPermission -Name $GPOName -PermissionLevel GpoApply `
-TargetName "GRP-GPO-Postes-Standard" -TargetType Group
Garder les droits de lecture pour Utilisateurs authentifiés (nécessaire)
Set-GPPermission -Name $GPOName -PermissionLevel GpoRead -TargetName "Authenticated Users" -TargetType Group
</code></pre>
<h3><a name="p-39429-filtre-wmi-pour-cibler-par-os-19" class="anchor" href="#p-39429-filtre-wmi-pour-cibler-par-os-19" aria-label="Heading link"></a>Filtre WMI pour cibler par OS :</h3>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Créer un filtre WMI pour Windows 11 uniquement
$WMIFilter = New-GPWmiFilter
-Name "Filtre-Windows11" -Expression "SELECT * FROM Win32_OperatingSystem WHERE Version LIKE '10.0.2%'"
-Description "S'applique uniquement aux machines Windows 11"
</code></pre>
<hr>
<h2><a name="p-39429-tape-8-forcer-lapplication-et-tester-20" class="anchor" href="#p-39429-tape-8-forcer-lapplication-et-tester-20" aria-label="Heading link"></a>Étape 8 — Forcer l’application et tester</h2>
<h3><a name="p-39429-forcer-la-mise-jour-des-gpo-sur-un-poste-21" class="anchor" href="#p-39429-forcer-la-mise-jour-des-gpo-sur-un-poste-21" aria-label="Heading link"></a>Forcer la mise à jour des GPO sur un poste :</h3>
<pre data-code-wrap="cmd"><code class="lang-cmd">REM Forcer la mise à jour immédiate des GPO
gpupdate /force
REM Forcer uniquement les paramètres ordinateur
gpupdate /target:computer /force
REM Forcer uniquement les paramètres utilisateur
gpupdate /target:user /force
</code></pre>
<h3><a name="p-39429-depuis-le-serveur-pour-plusieurs-postes-distance-22" class="anchor" href="#p-39429-depuis-le-serveur-pour-plusieurs-postes-distance-22" aria-label="Heading link"></a>Depuis le serveur (pour plusieurs postes à distance) :</h3>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Forcer gpupdate sur des machines distantes
$Computers = Get-ADComputer -Filter {OperatingSystem -like "Windows 1"} |
Select-Object -ExpandProperty Name
Invoke-GPUpdate -Computer $Computers -Force -RandomDelayInMinutes 0
</code></pre>
<hr>
<h2><a name="p-39429-tape-9-diagnostiquer-les-problmes-de-gpo-23" class="anchor" href="#p-39429-tape-9-diagnostiquer-les-problmes-de-gpo-23" aria-label="Heading link"></a>Étape 9 — Diagnostiquer les problèmes de GPO</h2>
<h3><a name="p-39429-gnrer-un-rapport-rsop-resultant-set-of-policy-24" class="anchor" href="#p-39429-gnrer-un-rapport-rsop-resultant-set-of-policy-24" aria-label="Heading link"></a>Générer un rapport RSoP (Resultant Set of Policy) :</h3>
<pre data-code-wrap="cmd"><code class="lang-cmd">REM Rapport RSoP sur l'ordinateur local
rsop.msc
REM Rapport en ligne de commande
gpresult /r
REM Rapport HTML détaillé
gpresult /h C:\Temp\GPO-Report.html /f
REM Rapport pour un utilisateur et ordinateur spécifiques
gpresult /user j.dupont /scope user /v
</code></pre>
<h3><a name="p-39429-via-la-console-gpmc-25" class="anchor" href="#p-39429-via-la-console-gpmc-25" aria-label="Heading link"></a>Via la console GPMC :</h3>
<ol>
<li>Dans GPMC, faites un clic droit sur votre domaine</li>
<li>Sélectionnez <strong>“Résultats de stratégie de groupe”</strong></li>
<li>L’assistant vous permet de sélectionner l’ordinateur et l’utilisateur cibles</li>
<li>Un rapport HTML complet est généré avec toutes les GPO appliquées et les éventuels conflits</li>
</ol>
<blockquote>
<p><strong>Astuce de dépannage :</strong> Si une GPO ne s’applique pas, vérifiez dans l’ordre : (1) le lien est-il activé ? (2) le filtrage de sécurité est-il correct ? (3) y a-t-il un blocage d’héritage ? (4) une GPO “Appliquée” (Enforced) est-elle en conflit ?</p>
</blockquote>
<hr>
<h2><a name="p-39429-tape-10-bonnes-pratiques-de-gestion-des-gpo-26" class="anchor" href="#p-39429-tape-10-bonnes-pratiques-de-gestion-des-gpo-26" aria-label="Heading link"></a>Étape 10 — Bonnes pratiques de gestion des GPO</h2>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Sauvegarder toutes les GPO du domaine
$BackupPath = "C:\Backup\GPO-$(Get-Date -Format 'yyyy-MM-dd')"
New-Item -ItemType Directory -Path $BackupPath -Force
Backup-GPO -All -Path $BackupPath
Write-Host "$(Get-Date) - Sauvegarde GPO terminée : $BackupPath" -ForegroundColor Green
Lister toutes les GPO du domaine avec leurs liens
Get-GPO -All | Select-Object DisplayName, GpoStatus, CreationTime, ModificationTime |
Sort-Object ModificationTime -Descending | Format-Table -AutoSize
Identifier les GPO non liées (orphelines)
$AllGPOs = Get-GPO -All
foreach ($GPO in $AllGPOs) {
$Links = (Get-GPOReport -Guid $GPO.Id -ReportType XML) -match "SOMPath"
if (-not $Links) {
Write-Host "GPO non liée : $($GPO.DisplayName)" -ForegroundColor Yellow
}
}
</code></pre>
<hr>
<h2><a name="p-39429-conclusion-27" class="anchor" href="#p-39429-conclusion-27" aria-label="Heading link"></a>Conclusion</h2>
<p>Vous maîtrisez maintenant les bases de la création et gestion des GPO dans Active Directory. Les GPO sont un outil extrêmement puissant — commencez avec des configurations simples, testez sur un groupe pilote avant de déployer en production, et documentez chaque GPO créée. Consultez notre tutoriel sur le déploiement de Windows 11 en entreprise avec Autopilot et Intune pour compléter votre expertise en gestion centralisée des postes de travail.</p>
