Comment utiliser léditeur de stratégie de groupe local pour affiner votre ordinateur

Cet article vous montrera comment utiliser l'éditeur de stratégie de groupe local pour apporter des modifications à votre ordinateur.

Remarque : L'éditeur de stratégie de groupe n'est disponible que sur la version Pro de Windows 10. Les utilisateurs Home ou Home Premium n'y ont pas accès.

• Comment installer l'éditeur de stratégie de groupe (GPEdit.Msc) sur Windows 10 Home Edition

La stratégie de groupe est un outil puissant utilisé pour configurer des réseaux d'entreprise, verrouiller les ordinateurs afin que les utilisateurs ne puissent pas apporter de modifications, les empêcher d'exécuter des logiciels non approuvés et bien d'autres utilisations.

Pour les ordinateurs personnels, des utilisations telles que limiter la longueur du mot de passe et verrouiller l'ordinateur pour exécuter uniquement les fichiers exécutables approuvés ne sont pas très disponibles. Cependant, cet outil propose de nombreuses autres choses que vous pouvez configurer, telles que la désactivation des fonctionnalités Windows que vous n'aimez pas, le blocage de certaines applications ou la création de scripts qui s'exécutent lorsque vous vous déconnectez ou vous connectez.

• 8 "ajustements" de la stratégie de groupe Windows que tout administrateur devrait connaître
• 4 conseils pour ouvrir l'éditeur de stratégie de groupe local sous Windows 8/8.1
• 10 paramètres de stratégie de groupe importants sous Windows qui doivent être effectués immédiatement

Interface de l'éditeur de stratégie de groupe local

L'interface de l'éditeur de stratégie de groupe local est similaire à celle des autres outils d'administration. L'arborescence de gauche permet aux utilisateurs de rechercher des paramètres selon une structure de dossiers hiérarchique. Il contient une liste de paramètres et un volet d'aperçu pour fournir plus d'informations sur des paramètres spécifiques.

Vous devez vous soucier de deux répertoires de niveau supérieur :

• Configuration de l'ordinateur : contient les paramètres de l'ordinateur pour tous les utilisateurs connectés.
• Configuration utilisateur : contient les paramètres qui s'appliquent au compte utilisateur.

Dans chacun de ces dossiers, il existe plusieurs autres dossiers qui fournissent un certain nombre de paramètres disponibles :

• Paramètres du logiciel : contient la configuration liée au logiciel et est vide par défaut sur les clients Windows.
• Paramètres Windows : contient les paramètres de sécurité et les scripts de connexion/déconnexion, de démarrage/arrêt.
• Modèles d'administration : ce dossier contient des configurations basées sur le registre pour peaufiner rapidement les ordinateurs ou les comptes d'utilisateurs.

Personnaliser les règles de sécurité

Si vous double-cliquez sur Empêcher l'accès à l'invite de commande , une fenêtre comme indiqué ci-dessous apparaîtra. En fait, la plupart des paramètres des modèles d'administration ressemblent à cela.

Ce paramètre spécifique vous permettra d'empêcher les utilisateurs d'accéder à l'invite de commande . Vous pouvez également configurer les paramètres dans la boîte de dialogue pour bloquer les fichiers batch .

Lorsque vous activez l' option Exécuter uniquement les applications Windows spécifiées dans le même dossier que l'option ci-dessus, vous pouvez autoriser l'exécution d'applications Windows spécifiques sur le système.

Dans ce cas, si vous exécutez une application qui ne figure pas dans la liste, vous recevrez un message d'erreur comme indiqué ci-dessous.

Vous devez soigneusement modifier les règles ici, sinon votre ordinateur ne sera plus utilisable.

Ajustez les paramètres UAC pour la sécurité

Dans le dossier Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité , vous trouverez une série de paramètres intéressants pour la sécurité de l'ordinateur .

La première option que nous examinerons dans ce dossier est Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs . Dans la boîte de dialogue qui apparaît, si vous sélectionnez Demander les informations d'identification sur le bureau sécurisé , vous ou un autre utilisateur devez saisir un mot de passe chaque fois que vous exécutez quelque chose en mode administratif.

Cette option permet à Windows de se comporter davantage comme Linux ou Mac, exigeant un mot de passe chaque fois que vous apportez des modifications.

Quelques autres options utiles :

• Contrôle de compte d'utilisateur : élever uniquement les exécutables signés et validés : cette option empêche les applications qui ne sont pas signées numériquement de s'exécuter en tant qu'administrateur.
• Console de récupération, autoriser la connexion administrative automatique : Lorsque vous devez utiliser la console de récupération pour effectuer des tâches système, vous devez fournir un mot de passe administrateur. Si vous oubliez votre mot de passe, cette option vous permet d'accéder plus facilement à la réinitialisation de votre mot de passe. Cependant, comme vous pouvez facilement supprimer votre mot de passe Windows, cette option est en réalité moins sécurisée.

Voir plus : Instructions pour vous connecter à votre ordinateur lorsque vous oubliez votre mot de passe

Il convient de noter que la plupart des politiques de la liste ne s'appliquent pas réellement à toutes les versions de Windows. Par exemple, le paramètre Supprimer l'icône de mes documents n'est disponible que sous Windows XP et 2000. D'autres stratégies telles que Au moins Windows XP ou similaire ne fonctionneront pas sur toutes les versions.

Il existe de nombreux paramètres dans l'éditeur de stratégie de groupe, vous pouvez prendre le temps de les apprendre. La plupart des paramètres ici vous permettent de désactiver les fonctionnalités Windows que vous n'aimez pas, très peu offrent des fonctionnalités qui ne sont pas disponibles par défaut.

Configurer des scripts à exécuter lors de la connexion, de la déconnexion, du démarrage ou de l'arrêt

Si vous souhaitez configurer un script de déconnexion et de connexion à exécuter à chaque démarrage de votre ordinateur, vous ne pouvez le faire que dans l'éditeur de stratégie de groupe.

Ceci est très utile pour nettoyer le système ou effectuer une sauvegarde rapide de certains fichiers à chaque fois que vous éteignez votre ordinateur. Vous pouvez utiliser des fichiers batch ou même des scripts PowerShell. Une chose à noter est que ces scripts doivent être exécutés « en silence », sinon cela bloquera le processus de déconnexion.

Il existe deux types de scripts que vous pouvez utiliser :

• Scripts de démarrage/arrêt : vous pouvez trouver ces scripts dans Configuration ordinateur > Paramètres Windows > Scripts et sont exécutés sous le compte système local, ils peuvent donc manipuler les fichiers système mais ne s'exécutent pas en tant que compte utilisateur.
• Scripts de connexion/déconnexion : ce script se trouve dans Configuration > Paramètres Windows > Scripts et est exécuté sous le compte utilisateur.

Notez que le script de déconnexion et de connexion ne vous permettra pas d'exécuter des utilitaires nécessitant un accès administratif à moins que vous ne désactiviez complètement l'UAC .

Par exemple, nous allons créer un script de déconnexion en accédant à Configuration utilisateur > Paramètres Windows > Scripts et en double-cliquant sur Logoff .

La fenêtre Propriétés de déconnexion vous permet d'ajouter des scripts de déconnexion à exécuter.

De plus, vous pouvez également configurer des scripts PowerShell.

Notez que vous devez conserver ces scripts dans un dossier spécifique afin qu'ils puissent fonctionner correctement.

Placez le script de déconnexion et de connexion dans le répertoire ci-dessous :

• C:\Windows\System32\GroupPolicy\User\Scripts\Logoff
• C:\Windows\System32\GroupPolicy\User\Scripts\Logon

Et laissez le script de démarrage et d'arrêt dans le répertoire :

• C:\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown
• C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup

Une fois que vous avez configuré le script de déconnexion, vous pouvez le tester.

Notez que si le script nécessite la saisie de données utilisateur, Windows se bloquera pendant le processus d'arrêt ou de déconnexion pendant 10 minutes avant que le script ne soit désactivé et que Windows puisse redémarrer. Par conséquent, vous devez garder ce point à l’esprit lors de la création du script.

En entreprise, c’est l’un des outils les plus puissants et les plus importants. Cependant, cet article est uniquement destiné à présenter l'utilisation de base de la stratégie de groupe pour les utilisateurs non experts, il n'entrera donc pas dans les détails.