Créer et gérer des GPO (Group Policy) dans Active Directory : guide pas-à-pas

Tutoriels, Actualités & Communauté Tutoriels & Guides Pas-à-Pas
1

Créer et gérer des GPO (Group Policy) dans Active Directory : guide pas-à-pas

Les Group Policy Objects (GPO) sont un des outils les plus puissants d’Active Directory pour standardiser et sécuriser la configuration de l’ensemble de votre parc informatique. Ce guide vous montre comment créer, configurer et déployer des GPO efficaces, depuis les bases jusqu’aux techniques avancées de filtrage et de débogage.

Prérequis

  • Un domaine Active Directory fonctionnel (Windows Server 2016/2019/2022)
  • La console Gestion des stratégies de groupe (gpmc.msc) installée
  • Droits Administrateur du domaine ou droits délégués de gestion des GPO
  • Des connaissances de base sur la structure OU d’Active Directory

Astuce : Installez les Outils d’administration de serveur distant (RSAT) sur votre poste Windows 10/11 pour gérer les GPO sans avoir à vous connecter directement sur le serveur.

# Installer RSAT sur Windows 10/11
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Étape 1 — Comprendre l’architecture des GPO

Avant de créer des GPO, il est essentiel de comprendre comment elles s’appliquent :

Ordre d’application (LSDOU) :

  1. Local — Stratégies de l’ordinateur local
  2. Site — Stratégies liées au site AD
  3. Domain — Stratégies liées au domaine
  4. OU — Stratégies des unités organisationnelles (de la plus haute à la plus basse)

Important : En cas de conflit, la dernière GPO appliquée (la plus basse dans la hiérarchie) l’emporte, sauf si l’option “Appliqué” (Enforced) est activée.

Structure d’une GPO :

  • Configuration ordinateur — s’applique à la machine, quel que soit l’utilisateur connecté
  • Configuration utilisateur — s’applique à l’utilisateur, quel que soit l’ordinateur utilisé

Étape 2 — Ouvrir la Console de gestion des stratégies de groupe

  1. Appuyez sur Windows + R, tapez gpmc.msc et validez
  2. La console s’ouvre avec l’arborescence de votre forêt AD
  3. Développez : ForêtDomainescontoso.local

Vous voyez :

  • Default Domain Policy — GPO par défaut liée au domaine
  • Default Domain Controllers Policy — GPO par défaut pour les contrôleurs de domaine
  • Vos OUs avec les GPO associées

Attention : N’éditez jamais la Default Domain Policy pour y ajouter des paramètres personnalisés. Créez toujours de nouvelles GPO dédiées. Modifiez la Default Domain Policy uniquement pour les paramètres de mot de passe du domaine.

Étape 3 — Créer une nouvelle GPO

Exemple pratique : GPO de sécurité pour les postes de travail

  1. Dans la console GPMC, faites un clic droit sur l’OU “Ordinateurs” (ou la cible souhaitée)
  2. Sélectionnez “Créer un objet GPO dans ce domaine, et le lier ici”
  3. Donnez un nom explicite à la GPO, par exemple : “SEC-Postes-Sécurité-Base”

Convention de nommage recommandée : [TYPE]-[CIBLE]-[DESCRIPTION]

  • SEC- pour les paramètres de sécurité
  • CFG- pour la configuration
  • LOG- pour les scripts de démarrage/logon
  • APP- pour le déploiement d’applications
  1. Cliquez sur OK — la GPO est créée et apparaît sous l’OU

Via PowerShell :

# Créer une nouvelle GPO
$GPOName = "SEC-Postes-Sécurité-Base"
$OUPath = "OU=Ordinateurs,OU=Contoso,DC=contoso,DC=local"

New-GPO -Name $GPOName -Comment "GPO de sécurité de base pour tous les postes"

# Lier la GPO à l'OU
New-GPLink -Name $GPOName -Target $OUPath -LinkEnabled Yes

Write-Host "GPO '$GPOName' créée et liée à '$OUPath'" -ForegroundColor Green

Étape 4 — Configurer les paramètres de la GPO

Faites un clic droit sur votre GPO → “Modifier”. L’éditeur de gestion des stratégies de groupe s’ouvre.

4.1 Paramètres de sécurité (Configuration ordinateur)

Naviguez vers :
Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies de compte → Stratégie de mot de passe

Configurez :

  • Longueur minimale du mot de passe : 12 caractères
  • Durée de vie maximale : 90 jours
  • Âge minimal : 1 jour
  • Historique des mots de passe : 10
  • Le mot de passe doit respecter des exigences de complexité : Activé

4.2 Désactiver le compte Invité et renommer Administrateur

Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Options de sécurité

  • “Comptes : statut du compte Invité” → Désactivé
  • “Comptes : renommer le compte administrateur” → Saisissez un nouveau nom

4.3 Configurer l’écran de veille avec mot de passe

Configuration utilisateur → Modèles d'administration → Panneau de configuration → Personnalisation

  • “Activer l’écran de veille” → Activé
  • “Protéger l’écran de veille par un mot de passe” → Activé
  • “Délai d’attente de l’écran de veille” → Activé, valeur : 600 secondes (10 minutes)

4.4 Bloquer l’accès au Panneau de configuration

Configuration utilisateur → Modèles d'administration → Panneau de configuration

  • “Interdire l’accès au Panneau de configuration et à l’application Paramètres du PC” → Activé

Attention : Cette restriction s’applique aux utilisateurs standards. Créez un groupe de sécurité “Exclusion-GPO-PanneauConfig” pour exclure les administrateurs via le filtrage de sécurité.

Étape 5 — Configurer un fond d’écran d’entreprise via GPO

Navigation : Configuration utilisateur → Modèles d'administration
→ Bureau → Bureau
→ "Papier peint du Bureau"
  1. Double-cliquez sur “Papier peint du Bureau”
  2. Sélectionnez “Activé”
  3. Nom du papier peint : \\contoso.local\SYSVOL\contoso.local\scripts\wallpaper.jpg
  4. Style du papier peint : Remplir
  5. Cliquez sur OK

Déposez l’image dans le partage SYSVOL :

# Copier le fond d'écran dans SYSVOL
$SYSVOLPath = "\\SRV-DC01\SYSVOL\contoso.local\scripts"
Copy-Item "C:\Images\wallpaper-entreprise.jpg" "$SYSVOLPath\wallpaper.jpg"

# Vérifier les permissions
Get-Acl "$SYSVOLPath\wallpaper.jpg" | Format-List

Étape 6 — Déployer un lecteur réseau mappé

Configuration utilisateur → Préférences → Paramètres Windows → Mappages de lecteurs

  1. Clic droit → NouveauLecteur mappé
  2. Action : Créer
  3. Emplacement : \\SRV-FILE01\Partage
  4. Lettre de lecteur : Z
  5. Reconnecter : Coché
  6. Allez dans l’onglet “Ciblage au niveau des éléments”Nouveau ciblageGroupe de sécurité
  7. Saisissez le groupe autorisé (ex : GRP-Accès-Partage)

Étape 7 — Filtrage de sécurité et WMI

Filtrage de sécurité (recommandé) :

Par défaut, une GPO s’applique à tous les Utilisateurs authentifiés. Pour restreindre l’application :

  1. Cliquez sur votre GPO dans la console GPMC
  2. Dans l’onglet “Étendue”, section “Filtrage de sécurité”
  3. Supprimez “Utilisateurs authentifiés”
  4. Cliquez sur Ajouter et ajoutez le groupe souhaité (ex : GRP-GPO-Postes-Standard)
# Configurer le filtrage de sécurité via PowerShell
$GPOName = "SEC-Postes-Sécurité-Base"

# Supprimer Utilisateurs authentifiés
Set-GPPermission -Name $GPOName -PermissionLevel None `
    -TargetName "Authenticated Users" -TargetType Group

# Ajouter le groupe souhaité
Set-GPPermission -Name $GPOName -PermissionLevel GpoApply `
    -TargetName "GRP-GPO-Postes-Standard" -TargetType Group

# Garder les droits de lecture pour Utilisateurs authentifiés (nécessaire)
Set-GPPermission -Name $GPOName -PermissionLevel GpoRead `
    -TargetName "Authenticated Users" -TargetType Group

Filtre WMI pour cibler par OS :

# Créer un filtre WMI pour Windows 11 uniquement
$WMIFilter = New-GPWmiFilter `
    -Name "Filtre-Windows11" `
    -Expression "SELECT * FROM Win32_OperatingSystem WHERE Version LIKE '10.0.2%'" `
    -Description "S'applique uniquement aux machines Windows 11"

Étape 8 — Forcer l’application et tester

Forcer la mise à jour des GPO sur un poste :

REM Forcer la mise à jour immédiate des GPO
gpupdate /force

REM Forcer uniquement les paramètres ordinateur
gpupdate /target:computer /force

REM Forcer uniquement les paramètres utilisateur
gpupdate /target:user /force

Depuis le serveur (pour plusieurs postes à distance) :

# Forcer gpupdate sur des machines distantes
$Computers = Get-ADComputer -Filter {OperatingSystem -like "*Windows 1*"} |
    Select-Object -ExpandProperty Name

Invoke-GPUpdate -Computer $Computers -Force -RandomDelayInMinutes 0

Étape 9 — Diagnostiquer les problèmes de GPO

Générer un rapport RSoP (Resultant Set of Policy) :

REM Rapport RSoP sur l'ordinateur local
rsop.msc

REM Rapport en ligne de commande
gpresult /r

REM Rapport HTML détaillé
gpresult /h C:\Temp\GPO-Report.html /f

REM Rapport pour un utilisateur et ordinateur spécifiques
gpresult /user j.dupont /scope user /v

Via la console GPMC :

  1. Dans GPMC, faites un clic droit sur votre domaine
  2. Sélectionnez “Résultats de stratégie de groupe”
  3. L’assistant vous permet de sélectionner l’ordinateur et l’utilisateur cibles
  4. Un rapport HTML complet est généré avec toutes les GPO appliquées et les éventuels conflits

Astuce de dépannage : Si une GPO ne s’applique pas, vérifiez dans l’ordre : (1) le lien est-il activé ? (2) le filtrage de sécurité est-il correct ? (3) y a-t-il un blocage d’héritage ? (4) une GPO “Appliquée” (Enforced) est-elle en conflit ?

Étape 10 — Bonnes pratiques de gestion des GPO

# Sauvegarder toutes les GPO du domaine
$BackupPath = "C:\Backup\GPO-$(Get-Date -Format 'yyyy-MM-dd')"
New-Item -ItemType Directory -Path $BackupPath -Force

Backup-GPO -All -Path $BackupPath
Write-Host "$(Get-Date) - Sauvegarde GPO terminée : $BackupPath" -ForegroundColor Green

# Lister toutes les GPO du domaine avec leurs liens
Get-GPO -All | Select-Object DisplayName, GpoStatus, CreationTime, ModificationTime |
    Sort-Object ModificationTime -Descending | Format-Table -AutoSize

# Identifier les GPO non liées (orphelines)
$AllGPOs = Get-GPO -All
foreach ($GPO in $AllGPOs) {
    $Links = (Get-GPOReport -Guid $GPO.Id -ReportType XML) -match "SOMPath"
    if (-not $Links) {
        Write-Host "GPO non liée : $($GPO.DisplayName)" -ForegroundColor Yellow
    }
}

Conclusion

Vous maîtrisez maintenant les bases de la création et gestion des GPO dans Active Directory. Les GPO sont un outil extrêmement puissant — commencez avec des configurations simples, testez sur un groupe pilote avant de déployer en production, et documentez chaque GPO créée. Consultez notre tutoriel sur le déploiement de Windows 11 en entreprise avec Autopilot et Intune pour compléter votre expertise en gestion centralisée des postes de travail.