Client-Side Extensions (CSE) en profondeur¶

Qu'est-ce qu'une CSE ?¶

Le service gpsvc (Group Policy Service) est responsable du traitement des strategies de groupe. Il orchestre l'ensemble du processus, mais il n'applique aucun parametre directement.

Pour chaque categorie de parametres — registre, securite, scripts, installation de logiciels, redirection de dossiers — c'est une DLL specialisee qui realise le travail concret. Ces DLL s'appellent des Client-Side Extensions, ou CSE.

Une CSE est une DLL Windows enregistree dans le registre qui exporte une ou deux fonctions precises. gpsvc la charge en memoire, l'appelle avec les donnees pertinentes, puis la decharge une fois le traitement termine.

Sans les CSE, Group Policy ne serait qu'un mecanisme de distribution de donnees sans aucun effet sur le systeme.

Le lien entre GPO et CSE¶

Chaque GPO contient dans son objet AD (le GPC) deux attributs multivalues :

• gPCMachineExtensionNames — liste des GUID de CSE qui doivent traiter les parametres machine de cette GPO
• gPCUserExtensionNames — liste des GUID de CSE qui doivent traiter les parametres utilisateur

Ces attributs sont ecrits automatiquement par la GPMC ou RSAT quand vous configurez un parametre. Si un attribut est absent ou vide, gpsvc n'invoque aucune CSE pour ce contexte, quelle que soit la taille des fichiers dans SYSVOL.

:material-registry: Anatomie d'une entree CSE dans le registre¶

Toutes les CSE enregistrees sur un systeme Windows se trouvent sous :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\

Chaque sous-cle est nommee avec le GUID de la CSE. Elle contient un ensemble de valeurs qui controlent le comportement de gpsvc vis-a-vis de cette extension.

Table des valeurs d'une entree CSE¶

Lister toutes les CSE enregistrees¶

$cseKey = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions"
Get-ChildItem $cseKey | ForEach-Object {
    $props = Get-ItemProperty $_.PSPath
    [PSCustomObject]@{
        GUID             = $_.PSChildName
        Name             = $props.'(default)'
        DLL              = $props.DllName
        NoBackground     = $props.NoBackgroundPolicy
        NoSlowLink       = $props.NoSlowLink
        NoGPOListChanges = $props.NoGPOListChanges
        MaxInterval      = $props.MaxNoGPOListChangesInterval
    }
} | Format-Table -AutoSize

GUID                                   Name                     DLL                         NoBackground NoSlowLink NoGPOListChanges
----                                   ----                     ---                         ------------ ---------- ----------------
{35378EAC-683F-11D2-A89A-00C04FBBCFA2} Registry                 %SystemRoot%\System32\...            0          0               0
{827D319E-6EAC-11D2-A4EA-00C04F79F83A} Security                 %SystemRoot%\System32\...            0          1               1
{42B5FAAE-6536-11D2-AE5A-0000F87571E3} Scripts                  %SystemRoot%\System32\...            1          1               1
{0E28E245-9368-4853-AD84-6DA3BA35BB75} Group Policy Preferences %SystemRoot%\System32\...            0          0               0

Table de reference : les 18 CSE principales¶

Les CSE suivantes sont presentes sur tout systeme Windows joint a un domaine. Les colonnes Machine et User indiquent si la CSE peut etre invoquee dans le contexte machine (au demarrage) et/ou dans le contexte utilisateur (a l'ouverture de session).

Notes sur les DLL partagees¶

Plusieurs CSE partagent la meme DLL physique. scecli.dll gere la securite locale, gptext.dll regroupe les politiques sans fil, EFS, QoS et IE Maintenance, et gpprefcl.dll contient le moteur de toutes les preferences.

Le partage de DLL n'implique pas de partage d'etat entre CSE. Chaque appel est isole par son GUID et par les donnees passees par gpsvc.

Cycle de vie d'une CSE¶

Conditions de declenchement¶

gpsvc n'invoque une CSE que lorsque toutes les conditions suivantes sont reunies simultanement :

1. Au moins une GPO applicable contient le GUID de cette CSE dans gPCMachineExtensionNames ou gPCUserExtensionNames.
2. Le contexte courant (machine ou utilisateur) est compatible avec les flags NoMachinePolicy / NoUserPolicy.
3. La vitesse de lien est suffisante, ou NoSlowLink est a 0.
4. Le mode de traitement (foreground ou background) est compatible avec NoBackgroundPolicy.
5. La liste de GPO a change depuis le dernier traitement, ou NoGPOListChanges est a 0, ou MaxNoGPOListChangesInterval est echu.

Si l'une de ces conditions n'est pas remplie, la CSE est ignoree silencieusement pour ce cycle. Aucune erreur n'est journalisee — c'est un comportement intentionnel, pas une defaillance.

Foreground vs Background¶

Le traitement foreground se produit a deux moments precis :

• Demarrage de la machine (contexte machine — Computer Policy)
• Ouverture de session utilisateur (contexte utilisateur — User Policy)

Le foreground est synchrone par defaut. Le bureau Windows n'apparait pas tant que les CSE foreground n'ont pas termine leur traitement (sauf si le traitement asynchrone est active).

Le traitement background se produit periodiquement, en tache de fond. L'intervalle par defaut est de 90 minutes, avec une variation aleatoire de ±30 minutes pour eviter les pics de charge sur les controleurs de domaine.

Toutes les CSE critiques ne se comportent pas de la meme facon en background :

NoGPOListChanges : l'optimisation cle¶

NoGPOListChanges = 1 indique a gpsvc de sauter completement la CSE si la liste des GPO applicables est identique a celle du dernier cycle de traitement.

C'est l'optimisation de performance la plus impactante du mecanisme Group Policy. Sur la majorite des machines en production, la liste de GPO ne change pas entre deux refreshes. Avec NoGPOListChanges = 1, la CSE n'est meme pas chargee en memoire.

MaxNoGPOListChangesInterval est la soupape de securite. Cette valeur, exprimee en minutes, force un appel periodique meme sans changement de liste. La CSE Security l'utilise pour garantir une reapplication reguliere des parametres de securite, typiquement toutes les 16 heures.

$securityCSE = "{827D319E-6EAC-11D2-A4EA-00C04F79F83A}"
$keyPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\$securityCSE"
Get-ItemProperty $keyPath | Select-Object NoGPOListChanges, MaxNoGPOListChangesInterval

NoGPOListChanges MaxNoGPOListChangesInterval
---------------- --------------------------
               1                        960

Diagramme de sequence : foreground processing¶

Le diagramme suivant detaille les interactions entre les composants lors d'un traitement foreground machine (au demarrage).

sequenceDiagram
    participant GL as Winlogon / LogonUI
    participant GP as gpsvc
    participant DC as Domain Controller (LDAP)
    participant SY as SYSVOL (SMB)
    participant CS as CSE (scecli, gpedit, gpprefcl...)

    GL->>GP: Trigger foreground processing (startup / logon)
    GP->>DC: LDAP query — get applicable GPOs via gPLink on OU/Domain/Site
    DC-->>GP: List of GPC objects + versionNumber + gPCMachineExtensionNames
    GP->>GP: Compare GPO versions with local cache (registry + GroupPolicy folder)
    GP->>SY: SMB — fetch updated GPT contents (Registry.pol, GptTmpl.inf, Preferences XML)
    SY-->>GP: Files transferred to local staging area
    loop For each CSE referenced in gPCMachineExtensionNames
        GP->>GP: Check flags: NoMachinePolicy, NoSlowLink, NoBackgroundPolicy, NoGPOListChanges
        alt CSE must be invoked
            GP->>CS: LoadLibrary(DllName) + call ProcessGroupPolicyEx(flags, handles, GPO list)
            CS->>CS: Read data from staging area, apply settings (registry writes, file ops, service config...)
            CS-->>GP: Return HRESULT (S_OK or error code) + optional async completion handle
            GP->>GP: Write Event ID 4017 (duration) to GP Operational log
        else CSE skipped
            GP->>GP: Write Event ID 5320 (CSE skipped — no GPO list change)
        end
    end
    GP->>GP: Update local GPO version cache
    GP-->>GL: Processing complete — release logon gate

La meta-CSE des preferences : gpprefcl.dll¶

gpprefcl.dll est un cas a part. Elle est enregistree sous trois GUID distincts (le GUID global {0E28E245...}, le GUID machine {169EBF44...} et le GUID utilisateur {AADCED64...}), mais il s'agit d'une seule et meme DLL.

En interne, gpprefcl.dll fonctionne comme un moteur de distribution. Elle charge les fichiers XML de preferences depuis SYSVOL et dispatche vers 21 sous-modules, chacun responsable d'une categorie.

Categories machine (Computer Configuration)¶

Categories utilisateur (User Configuration)¶

Item-Level Targeting et gpprefcl.dll¶

gpprefcl.dll est la seule CSE native qui gere l'Item-Level Targeting (ILT). Pour chaque element XML, elle evalue les filtres ILT (version d'OS, groupe de securite, adresse IP, variable d'environnement, etc.) avant d'appliquer ou de sauter l'element.

Ce mecanisme se passe entierement cote client, dans la DLL. Il n'existe aucun objet AD supplementaire pour l'ILT — les criteres sont stockes inline dans le XML de la preference.

Event IDs operationnels des CSE¶

Le log Microsoft-Windows-GroupPolicy/Operational est la source principale de telemetrie sur le comportement des CSE. Il est disponible dans l'Observateur d'evenements sous Applications and Services Logs > Microsoft > Windows > GroupPolicy > Operational.

Table des Event IDs cles¶

Identifier les CSE les plus lentes¶

Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" |
    Where-Object { $_.Id -eq 4017 } |
    ForEach-Object {
        # Parse extension name and duration from message
        if ($_.Message -match "Extension (.+?) took (\d+) milliseconds") {
            [PSCustomObject]@{
                TimeCreated = $_.TimeCreated
                Extension   = $Matches[1]
                Ms          = [int]$Matches[2]
            }
        }
    } |
    Sort-Object Ms -Descending |
    Select-Object -First 10 |
    Format-Table -AutoSize

TimeCreated           Extension                         Ms
-----------           ---------                         --
2026-04-05 08:12:34   Group Policy Preferences          4823
2026-04-05 08:12:30   Security                          1204
2026-04-05 08:12:28   Registry                           312
2026-04-05 08:12:27   Scripts                             89

Detecter les erreurs de CSE¶

$since = (Get-Date).AddHours(-24)
Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" -ErrorAction SilentlyContinue |
    Where-Object { $_.Id -eq 4098 -and $_.TimeCreated -gt $since } |
    Select-Object TimeCreated, Message |
    Format-List

TimeCreated : 2026-04-05 07:45:12
Message     : The user 'Drive Maps' preference item in the 'MyGPO {GUID}' Group Policy
              object did not apply because it failed with error code '0x80070005 : Access is denied.'
              This error was suppressed.

Creer une CSE personnalisee¶

Prerequis techniques¶

Une CSE personnalisee est une DLL Windows classique qui doit satisfaire trois contraintes :

1. Exporter la fonction ProcessGroupPolicyEx (signature definie dans userenv.h du SDK Windows).
2. Etre enregistree sous HKLM\...\GPExtensions\{VOTRE-GUID} avec au minimum DllName et ProcessGroupPolicyEx.
3. Avoir un ADMX correspondant dont les parametres pointent vers la cle de registre que la CSE lira.

Enregistrement d'une CSE personnalisee¶

# Replace {YOUR-CSE-GUID} with a newly generated GUID (use New-Guid)
$guid    = "{$(New-Guid).ToString().ToUpper()}"
$keyPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\$guid"

# Create the key
New-Item -Path $keyPath -Force | Out-Null

# Required: readable name and DLL path
Set-ItemProperty $keyPath -Name "(Default)"             -Value "My Custom CSE"
Set-ItemProperty $keyPath -Name "DllName"               -Value "%SystemRoot%\System32\MyCustomCSE.dll"
Set-ItemProperty $keyPath -Name "ProcessGroupPolicyEx"  -Value "ProcessGroupPolicyEx"

# Context flags — this CSE applies machine settings only
Set-ItemProperty $keyPath -Name "NoUserPolicy"          -Value 1   -Type DWord

# Behavior flags — run in background, skip if GPO list unchanged
Set-ItemProperty $keyPath -Name "NoBackgroundPolicy"    -Value 0   -Type DWord
Set-ItemProperty $keyPath -Name "NoGPOListChanges"      -Value 1   -Type DWord
Set-ItemProperty $keyPath -Name "NoSlowLink"            -Value 1   -Type DWord

Write-Host "CSE registered with GUID: $guid"

CSE registered with GUID: {A1B2C3D4-E5F6-7890-ABCD-EF1234567890}

Pieges courants lors du developpement¶

Piege 1 : GUID en collision. Generer un GUID avec New-Guid ou uuidgen.exe. Ne jamais reutiliser un GUID existant — cela remplacerait silencieusement une CSE systeme.

Piege 2 : DLL non signee. Sur Windows avec Secure Boot et WDAC actives, une DLL non signee dans System32 sera bloquee au chargement. Prevoir la signature de code des le debut du projet.

Piege 3 : Timeout de traitement. gpsvc alloue un timeout par CSE (configurable, 600 secondes par defaut). Une CSE qui depasse ce delai est tuee et l'Event 7320 est emis. Les operations reseau longues doivent etre asynchrones.

Piege 4 : gPCMachineExtensionNames non mis a jour. Si l'ADMX ne cree pas de parametres qui referencent le GUID de la CSE, gpsvc ne l'invoquera jamais. L'attribut AD doit contenir le GUID, sinon la CSE reste inerte meme si elle est correctement enregistree.

Diagnostiquer une CSE defaillante : methodologie¶

Verifier que le GUID est bien dans gPCMachineExtensionNames¶

Si une CSE ne s'execute pas, la premiere verification est l'attribut AD de la GPO.

# Requires ActiveDirectory module or ADSI
$gpoGuid = "{GPO-GUID-HERE}"
$gpc = [ADSI]"LDAP://CN={$gpoGuid},CN=Policies,CN=System,DC=domain,DC=com"
$gpc.Properties["gPCMachineExtensionNames"].Value

[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{D02B1F72-3407-48AE-BA88-E8213C6761F1}]
[{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]

Chaque paire [{CSE-GUID}{Tool-GUID}] indique qu'une CSE et l'outil de gestion correspondant sont actifs pour cette GPO.

Verifier les flags de la CSE locale¶

$cseGuid = "{827D319E-6EAC-11D2-A4EA-00C04F79F83A}"   # Security CSE
$keyPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\$cseGuid"
Get-ItemProperty $keyPath |
    Select-Object '(default)', DllName, NoBackgroundPolicy, NoSlowLink, NoGPOListChanges, MaxNoGPOListChangesInterval

Lire le log GP Operational en temps reel¶

# Monitor GP Operational log for CSE events (4016, 4017, 7016)
Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" -MaxEvents 50 |
    Where-Object { $_.Id -in @(4016, 4017, 5320, 7016, 7017) } |
    Select-Object TimeCreated, Id, Message |
    Format-List

Forcer un traitement foreground et capturer les logs¶

# Clear the GP Operational log first (requires admin)
wevtutil cl "Microsoft-Windows-GroupPolicy/Operational"

# Force a full foreground-equivalent refresh (note: truly forces foreground on next reboot/logon)
gpupdate /force

# Capture all CSE events from this run
Start-Sleep -Seconds 10
Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" |
    Where-Object { $_.Id -in @(4016, 4017, 4098, 5016, 5017, 5320, 7016) } |
    Sort-Object TimeCreated |
    Select-Object TimeCreated, Id, @{N="Msg";E={$_.Message.Substring(0,[Math]::Min(200,$_.Message.Length))}} |
    Format-Table -Wrap

La CSE Registry en detail : userenv.dll¶

La CSE Registry ({35378EAC-683F-11D2-A89A-00C04FBBCFA2}) est la plus frequemment invoquee. Elle est responsable de l'application de tous les parametres ADMX — c'est-a-dire la quasi-totalite des parametres visibles dans l'editeur de GPO sous Administrative Templates.

Le fichier Registry.pol¶

Les parametres ADMX d'une GPO sont serialises dans un fichier binaire appele Registry.pol. Il existe deux instances par GPO :

• {GUID}\Machine\Registry.pol — parametres machine
• {GUID}\User\Registry.pol — parametres utilisateur

userenv.dll lit ce fichier depuis le cache local (apres synchronisation depuis SYSVOL par gpsvc) et applique chaque entree en ecrivant directement dans le registre.

Structure d'une entree Registry.pol¶

Le format binaire Registry.pol est documente publiquement. Chaque entree contient :

# Requires LGPO.exe from Microsoft Security Compliance Toolkit
# Download: https://www.microsoft.com/en-us/download/details.aspx?id=55319
& .\LGPO.exe /parse /m "\\domain\SYSVOL\domain\Policies\{GUID}\Machine\Registry.pol"

Computer
Software\Policies\Microsoft\Windows\WindowsUpdate
WUServer
SZ:http://wsus.corp.example.com:8530

Computer
Software\Policies\Microsoft\Windows\WindowsUpdate
WUStatusServer
SZ:http://wsus.corp.example.com:8530

Tatouage de registre : le probleme des valeurs orphelines¶

Quand un parametre ADMX est defini dans une GPO puis supprime (passe a "Not Configured"), la valeur de registre correspondante devrait etre effacee. Mais ce n'est pas toujours le cas.

Deux mecanismes coexistent :

1. Les cles Software\Policies\ (managed) : userenv.dll nettoie automatiquement ces valeurs quand la GPO ne les definit plus. Toute la plage HKCU\Software\Policies\ et HKLM\Software\Policies\ est geree proprement.

2. Les cles hors Policies\ (tatouage) : Certains anciens ADMX ecrivent directement dans HKCU\Software\Microsoft\... ou HKLM\Software\Microsoft\..., hors de l'espace Policies. Ces valeurs ne sont pas automatiquement supprimees quand la GPO est retiree. Elles "tatouent" le registre de facon permanente jusqu'a une intervention manuelle.

Comparer le contenu de Registry.pol et l'etat reel du registre¶

# Example: check if a known ADMX key is written in registry
# This checks WSUS server configuration from Windows Update ADMX
$policyKey = "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate"
if (Test-Path $policyKey) {
    Get-ItemProperty $policyKey |
        Select-Object WUServer, WUStatusServer, UseWUServer, DisableWindowsUpdateAccess
} else {
    Write-Host "Key not found — Registry CSE has not written this policy, or GPO is not linked"
}

WUServer                   : http://wsus.corp.example.com:8530
WUStatusServer             : http://wsus.corp.example.com:8530
UseWUServer                : 1
DisableWindowsUpdateAccess : 0

Performance de la CSE Registry¶

La CSE Registry (userenv.dll) est la plus rapide des CSE integrees dans la plupart des environnements. Un Registry.pol typique de quelques dizaines de parametres est traite en moins de 100 ms.

Les cas de lenteur sont rares mais identifiables :

• Registry.pol volumineux : Une GPO avec plusieurs centaines de parametres ADMX (ex. baselines CIS) peut generer un fichier .pol de plusieurs centaines de Ko. L'impact reste generalement inferieur a 500 ms.
• Contention SYSVOL : Si la synchronisation DFS-R est en retard et que le .pol n'est pas encore dans le cache local, gpsvc doit le telecharger depuis SYSVOL via SMB. La latence reseau s'additionne.
• ADMX personnalises avec de nombreuses valeurs : Les ADMX d'editeurs tiers (VMware, Citrix, Chrome) peuvent introduire des centaines de valeurs supplementaires.

Detection du lien lent et impact sur les CSE¶

Comment gpsvc mesure la vitesse du lien¶

Avant d'invoquer les CSE, gpsvc realise une mesure de la vitesse de connexion reseau vers le controleur de domaine. Cette mesure conditionne le comportement de toutes les CSE avec NoSlowLink = 1.

Le mecanisme utilise DsGetSiteName et NetGetDCName pour identifier le DC cible, puis effectue un transfert de donnees de test pour estimer la bande passante disponible.

Le seuil par defaut est de 500 Kbps. En dessous de ce seuil, gpsvc considere que le lien est lent et applique les restrictions NoSlowLink.

Seuils et comportements selon la vitesse¶

Lien lent et Security CSE¶

La CSE Security a NoSlowLink = 1. Sur un lien lent, les parametres de securite ne sont pas reappliques. Pour les environnements avec des clients mobiles ou des sites distants avec des liaisons ADSL de secours, c'est un point d'attention critique.

# Event ID 5314 = slow link detected, 5315 = fast link
Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" |
    Where-Object { $_.Id -in @(5314, 5315) } |
    Select-Object TimeCreated, Id,
        @{N="Speed"; E={ if ($_.Id -eq 5314) { "Slow link detected" } else { "Fast link detected" } }},
        Message |
    Format-Table -AutoSize

TimeCreated           Id    Speed
-----------           --    -----
2026-04-05 08:10:22   5315  Fast link detected
2026-04-05 07:55:11   5314  Slow link detected

Ordre d'execution des CSE¶

L'ordre n'est pas alphabetique¶

gpsvc n'execute pas les CSE dans un ordre alphabetique ou arbitraire. L'ordre est determine par la sequence des GUID dans l'attribut gPCMachineExtensionNames de chaque GPO.

En pratique, les GUID dans cet attribut sont tries par ordre lexicographique. Les accolades et les tirets etant inclus dans la comparaison, l'ordre resultant peut paraitre non intuitif.

Dependances entre CSE¶

Certaines CSE ont des dependances implicites sur d'autres. L'architecture n'impose pas de mecanisme de dependance formel, mais l'ordre d'execution de fait respecte generalement ces besoins :

La CSE Security en detail : scecli.dll¶

La CSE Security ({827D319E-6EAC-11D2-A4EA-00C04F79F83A}) est la plus complexe des CSE integrees. Elle traite le template de securite GptTmpl.inf stocke dans SYSVOL.

Ce que traite scecli.dll¶

scecli.dll applique les categories suivantes depuis GptTmpl.inf :

Le mecanisme de reapplication forcee¶

La CSE Security a une particularite unique dans l'ecosysteme GPO : elle reapplique les parametres periodiquement meme si rien n'a change, grace a MaxNoGPOListChangesInterval = 960 (16 heures).

Ce mecanisme existe parce que les parametres de securite sont la cible d'attaques locales. Un attaquant qui obtient un acces SYSTEM peut modifier les ACL ou les droits utilisateur. La reapplication periodique garantit que les parametres definis par GPO reprennent le dessus.

# Force security policy reapplication immediately
gpupdate /force /target:computer
# Security has NoBackgroundPolicy=0, so a background refresh can reapply it
# Some individual settings may still require logoff/reboot for visible effect

Restricted Groups : le pieges des groupes imbriques¶

La categorie Restricted Groups de scecli.dll ecrase la composition des groupes locaux a chaque foreground processing. Si un technicien ajoute manuellement un compte dans le groupe Administrators local, ce compte sera supprime au prochain redemarrage si la GPO ne le prevoit pas.

# Path to the GPT security template in SYSVOL
$gpoGuid  = "GPO-GUID-HERE"
$domain   = $env:USERDNSDOMAIN.ToLower()
$gptPath  = "\\$domain\SYSVOL\$domain\Policies\{$gpoGuid}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf"

if (Test-Path $gptPath) {
    Get-Content $gptPath | Select-String -Pattern "Restricted Groups|Group Membership" -Context 0,5
} else {
    Write-Host "GptTmpl.inf not found — Security CSE not configured in this GPO"
}

Outils de reference pour travailler avec les CSE¶

Outils Microsoft integres¶

gpresult est le premier outil de diagnostic. Il affiche quelles GPO ont ete appliquees, mais pas le detail par CSE.

# Generate HTML RSoP report for current computer and user
gpresult /H "$env:TEMP\gpreport.html" /F
Start-Process "$env:TEMP\gpreport.html"

gpupdate avec ses options est l'outil de forçage.

LGPO.exe : l'outil de reference avance¶

LGPO.exe (Microsoft Security Compliance Toolkit) est l'outil incontournable pour :

• Parser le contenu binaire de Registry.pol
• Appliquer des parametres GPO localement sans domaine
• Exporter et importer des configurations de GPO locale
• Comparer l'etat du registre avec les valeurs attendues

# Export current local Group Policy to text format
# Requires LGPO.exe in PATH or current directory
& LGPO.exe /parse /m "$env:SystemRoot\System32\GroupPolicy\Machine\Registry.pol" > machine_policy.txt
& LGPO.exe /parse /u "$env:SystemRoot\System32\GroupPolicy\User\Registry.pol"   > user_policy.txt
Write-Host "Export complete: machine_policy.txt and user_policy.txt"

GPO Diagnostic avec PowerShell natif¶

$cseKey = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions"

# Get CSE registry configuration
$cseConfig = Get-ChildItem $cseKey | ForEach-Object {
    $props = Get-ItemProperty $_.PSPath -ErrorAction SilentlyContinue
    [PSCustomObject]@{
        GUID           = $_.PSChildName
        Name           = $props.'(default)'
        DLL            = $props.DllName
        NoBackground   = [bool]$props.NoBackgroundPolicy
        NoSlowLink     = [bool]$props.NoSlowLink
        NoGPOChanges   = [bool]$props.NoGPOListChanges
        MaxInterval_h  = if ($props.MaxNoGPOListChangesInterval) { [math]::Round($props.MaxNoGPOListChangesInterval / 60, 1) } else { $null }
    }
}

# Cross-reference with last execution times from event log
$cseTimings = Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" -ErrorAction SilentlyContinue |
    Where-Object { $_.Id -eq 4017 } |
    ForEach-Object {
        if ($_.Message -match "Extension (.+?) took (\d+) milliseconds") {
            [PSCustomObject]@{ Name = $Matches[1]; LastMs = [int]$Matches[2]; LastRun = $_.TimeCreated }
        }
    } | Sort-Object LastRun -Descending | Group-Object Name | ForEach-Object { $_.Group[0] }

# Merge and display
$cseConfig | ForEach-Object {
    $timing = $cseTimings | Where-Object { $_.Name -like "*$($_.Name)*" } | Select-Object -First 1
    $_ | Add-Member -NotePropertyName LastRun -NotePropertyValue $timing.LastRun -PassThru |
         Add-Member -NotePropertyName LastMs  -NotePropertyValue $timing.LastMs  -PassThru
} | Sort-Object LastMs -Descending | Format-Table GUID, Name, NoBackground, NoSlowLink, LastRun, LastMs -AutoSize

GUID                                   Name                     NoBackground NoSlowLink LastRun                LastMs
----                                   ----                     ------------ ---------- -------                ------
{0E28E245-9368-4853-AD84-6DA3BA35BB75} Group Policy Preferences        False      False 2026-04-05 08:12:34      4823
{827D319E-6EAC-11D2-A4EA-00C04F79F83A} Security                         True       True 2026-04-05 08:01:12      1204
{35378EAC-683F-11D2-A89A-00C04FBBCFA2} Registry                        False      False 2026-04-05 08:12:28       312

Cross-references¶