Preferences de strategie de groupe (GPP)¶

Policies vs Preferences : la difference fondamentale¶

Deux mecanismes, deux philosophies¶

GPO regroupe en realite deux mecanismes tres differents sous le meme nom. Confondre les deux est l'une des erreurs les plus courantes en production.

Les Policies (parametres ADMX/ADML) sont des parametres autoritaires : l'administrateur impose une valeur, l'utilisateur ne peut pas la modifier, et quand la GPO disparait, la valeur disparait avec elle. Elles ecrivent exclusivement sous HKLM\SOFTWARE\Policies\ ou HKCU\SOFTWARE\Policies\.

Les Preferences (GPP) sont des parametres de configuration initiale : l'administrateur deploie une valeur, l'utilisateur peut la modifier apres coup (sauf si l'option "Run once" est desactivee), et quand la GPO disparait, la valeur reste. Elles ecrivent n'importe ou dans le registre, hors \Policies\.

Tableau comparatif¶

Architecture interne des GPP¶

Stockage dans SYSVOL¶

Contrairement aux parametres ADMX qui sont stockes dans Registry.pol, les items GPP sont stockes sous forme de fichiers XML dans SYSVOL, a l'interieur du dossier de la GPO.

Structure dans SYSVOL :

\\domaine.local\SYSVOL\domaine.local\Policies\{GPO-GUID}\
  Machine\
    Preferences\
      Registry\
        Registry.xml
      DriveMapSettings\
        DriveMapSettings.xml
      Services\
        Services.xml
      ...
  User\
    Preferences\
      Registry\
        Registry.xml
      DriveMapSettings\
        DriveMapSettings.xml
      ...

Chaque categorie GPP possede son propre sous-dossier et son propre fichier XML. Si une categorie n'est pas utilisee dans la GPO, son dossier n'existe pas — ce qui accelere le traitement.

La CSE gpprefcl.dll¶

Une seule DLL gere toutes les categories GPP : gpprefcl.dll. C'est la Client-Side Extension des GPP. Elle est enregistree dans le registre avec plusieurs GUIDs selon la portee.

Verifier l'enregistrement de la CSE sur un poste :

Get-ItemProperty `
  "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{0E28E245-9368-4853-AD84-6DA3BA35BB75}"

DllName         : gpprefcl.dll
ProcessGroupPolicyEx : ProcessGroupPolicyExPreferences
...

Comment gpprefcl.dll traite les items¶

Lors du traitement GPO, gpprefcl.dll :

1. Enumere tous les fichiers XML GPP de la GPO
2. Pour chaque item, evalue l'Item-Level Targeting (ILT) si present
3. Applique l'action (Create / Replace / Update / Delete) sur la cible (registre, fichier, service, etc.)
4. Ecrit le resultat dans le journal d'evenements Microsoft-Windows-GroupPolicy/Operational

Les 21 categories GPP¶

Categories cote Machine (14)¶

Ces categories s'appliquent pendant le demarrage de l'ordinateur, independamment de l'utilisateur connecte.

Categories cote User (12)¶

Ces categories s'appliquent lors de l'ouverture de session de l'utilisateur.

Format XML d'un item GPP Registry¶

Structure d'un fichier Registry.xml¶

Chaque fichier XML GPP contient un element racine de categorie, qui contient des elements d'item individuels. Voici un exemple complet pour un item Registry Machine :

<?xml version="1.0" encoding="utf-8"?>
<RegistrySettings clsid="{A3CCFC41-DFDB-43a5-8D26-0FE8B954DA51}">
  <Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}"
            name="DisableWindowsUpdate"
            status="Enabled"
            image="7"
            changed="2026-04-05 10:00:00"
            uid="{ITEM-GUID}">
    <Properties action="U"
                displayDecimal="1"
                default="0"
                hive="HKEY_LOCAL_MACHINE"
                key="SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update"
                name="NoAutoUpdate"
                type="REG_DWORD"
                value="00000001" />
  </Registry>
</RegistrySettings>

Attributs de l'element <Properties>¶

Ce sont les attributs operationnels — ceux que gpprefcl.dll lit pour effectuer l'operation.

Attributs de l'element <Registry> (metadonnees)¶

Les 4 actions CRUD¶

Create (C)¶

Creer si absent.

La CSE cree la cle ou la valeur seulement si elle n'existe pas encore. Si la valeur existe deja (quelle que soit sa valeur actuelle), la CSE ne touche a rien.

Cas d'usage : deployer une valeur par defaut sans ecraser une configuration existante. Utile pour les logiciels dont les utilisateurs peuvent modifier les parametres.

Replace (R)¶

Supprimer et recreer.

La CSE supprime la cle ou valeur existante, puis la recree avec la valeur cible. Le resultat final est identique a Update, mais la suppression prealable est forcee — utile pour nettoyer des metadonnees ou des permissions sur une cle.

Cas d'usage : remplacer une cle avec des ACL problematiques, ou s'assurer qu'une valeur REG_SZ ne contient pas de caracteres residuels.

Update (U)¶

Modifier si existe, creer si absent.

C'est l'action par defaut et la plus utilisee. La CSE ecrit la valeur qu'elle existe ou non. Pas de suppression prealable.

Cas d'usage : 90% des deployments GPP Registry utilisent Update.

Delete (D)¶

Supprimer.

La CSE supprime la cle ou la valeur. Si la cible n'existe pas, l'operation reussit silencieusement (pas d'erreur).

Cas d'usage : retirer une valeur de registre deployee par un ancien systeme, nettoyer apres une desinstallation.

Tableau de synthese¶

L'effet tatouage (tattooing)¶

Qu'est-ce que le tatouage ?¶

Quand un item GPP Registry ecrit HKLM\SOFTWARE\MonApp\Setting = 1, la valeur est ecrite directement dans le registre Windows. Quand vous supprimez la GPO ou deliehez la GPO de l'OU, la CSE gpprefcl.dll n'effectue aucun nettoyage. La valeur Setting = 1 reste indefiniment sur la machine.

Ce comportement est voulu : GPP est concu pour deployer des configurations qui doivent "coller" a la machine, meme si elle perd temporairement sa connectivite au domaine.

Mais c'est un piege quand on l'utilise pour des parametres de securite.

Comparaison avec les Policies¶

Scenario : GPO avec un parametre Policy + un item GPP Registry

Quand la GPO est active : - Policy ecrit HKLM\SOFTWARE\Policies\MonApp\Setting = 1 - GPP ecrit HKLM\SOFTWARE\MonApp\Setting = 1

Quand la GPO est supprimee : - Policy : la CSE supprime HKLM\SOFTWARE\Policies\MonApp\Setting → l'application revient a son comportement par defaut - GPP : rien → HKLM\SOFTWARE\MonApp\Setting = 1 reste

Cycle de vie : diagramme¶

sequenceDiagram
    participant GP as gpsvc (moteur GPO)
    participant CS as gpprefcl.dll (CSE)
    participant RG as Registre Windows

    Note over GP,RG: GPO active — Policy + GPP Registry

    GP->>CS: Appliquer la Policy
    CS->>RG: WriteValue(HKLM\SOFTWARE\Policies\App\Setting, 1)

    GP->>CS: Appliquer le GPP Registry
    CS->>RG: WriteValue(HKLM\SOFTWARE\App\Setting, 1)

    Note over GP,RG: GPO supprimee ou deliee de l'OU

    GP->>CS: Cleanup — Policy
    CS->>RG: DeleteValue(HKLM\SOFTWARE\Policies\App\Setting)
    Note right of RG: Valeur supprimee — application revient au defaut

    Note over GP,RG: GPP : AUCUN cleanup
    Note right of RG: HKLM\SOFTWARE\App\Setting = 1 reste indefiniment

Detecter les valeurs tatouees¶

Pour identifier les valeurs GPP "orphelines" sur un poste (valeurs ecrites par GPP mais dont la GPO source n'existe plus) :

# Read the GPP history from the registry
# GPP records applied items under HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History
$gppHistory = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History"

if (Test-Path $gppHistory) {
    Get-ChildItem $gppHistory -Recurse |
        Get-ItemProperty |
        Select-Object PSChildName, GPOName, DSPath |
        Format-Table -AutoSize
} else {
    Write-Host "No GPP history found on this machine."
}

PSChildName   GPOName                  DSPath
-----------   -------                  ------
{0E28E245...} GPO-Workstations-Config  LDAP://CN={...},CN=Policies,...
{AADCED64...} GPO-Users-DriveMaps      LDAP://CN={...},CN=Policies,...

Quand utiliser GPP vs Policies¶

Drive Maps : le cas d'usage le plus courant¶

Remplacer les scripts de logon¶

Avant GPP, les lecteurs reseau etaient mappes via des scripts VBScript ou batch dans NETLOGON. Ces scripts etaient difficiles a maintenir, non cibles et peu lisibles dans les outils de diagnostic.

Les Drive Maps GPP (User-side) ont remplace cette approche dans la majorite des environnements modernes. Ils offrent :

• Item-Level Targeting — mapper uniquement pour les membres d'un groupe AD
• Actions CRUD — creer, modifier, supprimer un lecteur
• Variables GPP — %USERNAME%, %USERDOMAIN%, %COMPUTERNAME% resolues au moment du traitement
• Visibilite dans GPMC et gpresult

Exemple XML : Drive Map utilisateur¶

<?xml version="1.0" encoding="utf-8"?>
<DriveMapSettings clsid="{8FDDCC1A-0C3C-43cd-A6B4-71A6DF20DA8C}">
  <Drive clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}"
         name="H:"
         status="H: (Mapped)"
         image="2"
         changed="2026-04-05 10:00:00"
         uid="{DRIVE-ITEM-GUID}">
    <Properties action="U"
                thisDrive="SHOW"
                allDrives="NOCHANGE"
                userName=""
                path="\\serveur\partage-utilisateurs\%USERNAME%"
                label="Mes Documents"
                persistent="1"
                useLetter="1"
                letter="H" />
  </Drive>
</DriveMapSettings>

Variables GPP disponibles dans les chemins¶

Verifier les Drive Maps appliques¶

# List mapped drives via WMI
Get-WmiObject -Class Win32_MappedLogicalDisk |
    Select-Object Name, ProviderName, Description |
    Format-Table -AutoSize

# Cross-reference with GPP result
gpresult /r /scope user 2>&1 | Select-String -Pattern "Drive|Lecteur"

Name  ProviderName                              Description
----  ------------                              -----------
H:    \\serveur\partage-utilisateurs\jbombled   Mes Documents
I:    \\serveur\partage-equipe                  Equipe RH

Performances : l'impact GPP sur le logon¶

Pourquoi les GPP sont couteuses¶

Contrairement aux CSE ADMX qui peuvent detecter l'absence de changement et sauter le traitement (NoGPOListChanges), gpprefcl.dll retraite systematiquement tous les items GPP si la liste de GPO a change ou si le traitement est force.

De plus, gpprefcl.dll ouvre et parse le XML de chaque categorie presente dans chaque GPO — meme si l'item ne s'applique pas a la machine (avant evaluation ILT).

Estimation de l'impact¶

Ordres de grandeur mesures en production (varient selon le materiel et le reseau) :

Ces chiffres s'accumulent avec le reste du traitement GPO (CSE ADMX, scripts, redirection de dossiers...).

Strategies d'optimisation¶

Consolider les GPO GPP. Au lieu de 10 GPOs avec 1 item Drive Map chacune, regrouper dans 2-3 GPOs avec Item-Level Targeting. Chaque GPO entraine un acces SYSVOL et une initialisation de CSE.

Desactiver les sections inutilisees. Dans GPMC, clic droit sur la GPO → Proprietes → desactiver "User Configuration Settings" si la GPO ne contient que des items Machine (et vice versa).

Utiliser Item-Level Targeting pour sauter les machines irrelevantes. Un item avec ILT est quand meme parse par la CSE, mais l'operation de modification du registre/fichier est sautee. Le gain est reel mais moindre que la suppression pure de la GPO.

Eviter les categories inutiles dans une GPO. Ne pas creer de GPO "fourre-tout" avec toutes les categories actives. Garder les GPO specialisees.

# Measure GPO processing time including GPP
$start = Get-Date
gpupdate /force 2>&1 | Out-Null
$elapsed = (Get-Date) - $start
Write-Host "Total gpupdate time: $($elapsed.TotalSeconds) seconds"

# For detailed CSE timing, read the event log after gpupdate
Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" |
    Where-Object { $_.Id -in @(4016, 5016, 7016) } |
    Select-Object TimeCreated, Id, Message |
    Sort-Object TimeCreated |
    Format-List

Total gpupdate time: 4.7 seconds

TimeCreated : 2026-04-05 10:15:22
Id          : 4016
Message     : Starting processing for extension Preferences (Registry)...

TimeCreated : 2026-04-05 10:15:23
Id          : 5016
Message     : Completed processing for extension Preferences (Registry) in 847 ms.

Diagnostiquer les GPP¶

Verifier l'application via gpresult¶

# Generate a full HTML report including GPP details
gpresult /h "C:\Temp\gpresult-$(hostname)-$(Get-Date -Format 'yyyyMMdd-HHmm').html" /f

# Quick text summary for GPP
gpresult /r /scope computer 2>&1 | Out-String

Forcer le retraitement GPP¶

Par defaut, si la liste de GPO n'a pas change, gpprefcl.dll peut sauter le traitement. Pour forcer :

# Force synchronous GPO processing including GPP
gpupdate /force /wait:0

# Or with PowerShell (requires RSAT)
Invoke-GPUpdate -Computer "NOM-PC" -Force -RandomDelayInMinutes 0

Journaux d'evenements GPP¶

# Read GPP-related events from the Group Policy operational log
$since = (Get-Date).AddHours(-2)
Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" |
    Where-Object {
        $_.TimeCreated -ge $since -and
        $_.Id -in @(4016, 5016, 6016, 7016, 8016)
    } |
    Select-Object TimeCreated, Id, LevelDisplayName, Message |
    Format-List

Lire les fichiers XML GPP directement¶

Pour auditer ce qu'une GPO deploie sans passer par GPMC :

# Replace with your domain and GPO GUID
$domain  = "domaine.local"
$gpoGuid = "{00000000-0000-0000-0000-000000000000}"
$xmlPath = "\\$domain\SYSVOL\$domain\Policies\$gpoGuid\Machine\Preferences\Registry\Registry.xml"

if (Test-Path $xmlPath) {
    [xml]$xmlContent = Get-Content $xmlPath -Encoding UTF8
    $xmlContent.RegistrySettings.Registry | ForEach-Object {
        [PSCustomObject]@{
            Name   = $_.name
            Status = $_.status
            Action = $_.Properties.action
            Hive   = $_.Properties.hive
            Key    = $_.Properties.key
            Value  = $_.Properties.name
            Data   = $_.Properties.value
        }
    }
} else {
    Write-Host "Registry.xml not found for this GPO — no Registry GPP items configured."
}

Name                 Status  Action Hive              Key                                         Value           Data
----                 ------  ------ ----              ---                                         -----           ----
DisableWindowsUpdate Enabled U      HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\...\Auto Update NoAutoUpdate    00000001
ProxySettings        Enabled U      HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\...\Internet... ProxyServer     00000000

Interactions avec les autres mecanismes GPO¶

GPP et Block Inheritance¶

Block Inheritance (gpInheritanceModeBlocked) bloque les GPO parentes — y compris leurs items GPP. Une GPO Enforced (GPLINK_OPT_ENFORCED) traverse le Block Inheritance — ses items GPP sont appliques.

Ce comportement est identique pour les Policies et les Preferences. Pas de cas particulier GPP.

GPP et le filtrage WMI / securite¶

Les filtres WMI et le filtrage de securite (permissions Apply Group Policy) s'appliquent a la GPO entiere — y compris ses items GPP. Si un utilisateur n'a pas les droits Apply Group Policy sur la GPO, aucun item GPP de cette GPO ne s'applique.

GPP et le loopback¶

En mode Loopback Replace, les GPO User de l'OU de l'utilisateur sont ecartees — y compris leurs items GPP User (Drive Maps, etc.). Seuls les items GPP User des GPO de l'OU de l'ordinateur s'appliquent. C'est un comportement souvent oublie lors du deploiement de Drive Maps sur des serveurs RDS.

GPP et Intune / MDM¶

Microsoft Intune peut deployer des configurations de registre via des OMA-URI ou des profils de configuration personnalises. Ces configurations n'utilisent pas gpprefcl.dll — elles passent par le CSP de configuration MDM.

Il n'y a pas de mecanisme de deduplication automatique entre GPP et Intune. Une valeur ecrite par GPP et une valeur ecrite par Intune sur la meme cle de registre entrent en conflit selon l'ordre d'application — le dernier gagne.

Referentiel rapide¶

GUIDs des CSE GPP¶

Fichiers XML par categorie¶

Actions CRUD — aide-memoire¶

IDs d'evenements GPP¶

Renvois croisés¶