Strategies de groupe en profondeur¶

Ce que vous allez apprendre¶

• L'architecture complete des strategies de groupe : modele LSDOU, Client-Side Extensions, cycle de rafraichissement
• Les quatre emplacements du registre ou les GPO ecrivent et pourquoi cette distinction compte
• Le fonctionnement interne des modeles d'administration ADMX/ADML et comment creer les votres
• Le format binaire de registry.pol et comment le lire octet par octet
• La difference fondamentale entre strategies (policies) et preferences (GPP), incluant le probleme du tatouage
• La configuration de strategies locales avec gpedit.msc et LGPO.exe sans Active Directory
• Le diagnostic complet avec gpresult, RSOP.msc et PowerShell
• La securite des GPO : filtrage, bouclage, heritage, liens lents
• Les cas pratiques de deploiement de valeurs de registre via GPO
• Le pont entre GPO et MDM : CSP, PolicyManager, coexistence Intune

Architecture des strategies de groupe¶

Ouvrez une invite PowerShell en tant qu'administrateur et executez :

# Show all Client-Side Extensions registered on this machine
Get-ChildItem "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" |
    ForEach-Object { [PSCustomObject]@{
        GUID = $_.PSChildName
        Name = (Get-ItemProperty $_.PSPath).'(default)'
        DllName = (Get-ItemProperty $_.PSPath).DllName
    }} | Format-Table -AutoSize

GUID                                   Name                                      DllName
----                                   ----                                      -------
{35378EAC-683F-11D2-A89A-00C04FBBCFA2} Registry                                  userenv.dll
{827D319E-6EAC-11D2-A4EA-00C04F79F83A} Security                                  scecli.dll
{42B5FAAE-6536-11D2-AE5A-0000F87571E3} Scripts                                   gpscript.dll
...

Le modele LSDOU¶

L'ordre d'application des strategies suit le modele LSDOU : Local, Site, Domaine, Unite d'Organisation. Chaque niveau ecrase les parametres du niveau precedent.

graph TD
    A["1. Local<br/>gpedit.msc<br/>(priorite la plus basse)"] --> B["2. Site<br/>GPO liees au site AD"]
    B --> C["3. Domaine<br/>GPO liees au domaine"]
    C --> D["4. Unite d'Organisation<br/>GPO liees a l'OU"]
    D --> E["5. OU enfant<br/>(priorite la plus haute)"]
    style A fill:#e8f5e9
    style B fill:#fff3e0
    style C fill:#e3f2fd
    style D fill:#f3e5f5
    style E fill:#ffebee

Quand deux GPO definissent la meme valeur de registre, la derniere appliquee gagne. Comme l'OU enfant est traitee en dernier, elle a toujours le dernier mot -- sauf si une GPO parente est marquee Enforced (voir la section securite).

Client-Side Extensions (CSE)¶

Le moteur GPO ne fait pas tout lui-meme. Il delegue le travail a des Client-Side Extensions -- des DLL specialisees qui savent traiter un type de parametre precis. Chaque CSE est enregistree sous :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{GUID}

Table de reference des CSE principales¶

Le service Group Policy Client (gpsvc)¶

Le service gpsvc est le chef d'orchestre de toute la machinerie GPO. Sans lui, aucune strategie de groupe ne s'applique.

HKLM\SYSTEM\CurrentControlSet\Services\gpsvc

# Check that the Group Policy Client service is running
Get-Service gpsvc | Select-Object Name, Status, StartType

Name  Status StartType
----  ------ ---------
gpsvc Running Automatic

Cycle de rafraichissement¶

Le moteur GPO rafraichit les strategies a intervalles reguliers, configures dans :

HKLM\SOFTWARE\Policies\Microsoft\Windows\System

Ou les GPO ecrivent dans le registre¶

Les quatre emplacements strategiques¶

Les strategies de groupe ecrivent dans quatre branches du registre, divisees en deux familles :

La branche historique (CurrentVersion\Policies) existe depuis Windows NT 4.0. La branche moderne (SOFTWARE\Policies) a ete introduite avec Windows 2000. Les deux sont toujours utilisees : les anciennes strategies (comme les restrictions de l'Explorateur) ecrivent dans la branche historique, tandis que les nouveaux modeles d'administration utilisent la branche moderne.

# List all policy keys on this machine (machine scope)
Get-ChildItem "HKLM:\SOFTWARE\Policies" -Recurse -ErrorAction SilentlyContinue |
    Select-Object -First 20 PSPath

PSPath
------
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
...

Strategies vs preferences : le tatouage¶

C'est une distinction fondamentale que tout administrateur doit comprendre :

Les strategies (policies) ecrivent dans les branches Policies. Quand la GPO est supprimee ou ne s'applique plus, les valeurs sont automatiquement effacees. Le registre revient a son etat d'origine.

Les preferences (GPP) ecrivent en dehors des branches Policies, directement dans les cles applicatives normales. Quand la GPO est supprimee, les valeurs restent. C'est le phenomene de tatouage (tattooing).

graph LR
    A["GPO supprimee"] --> B{"Type ?"}
    B -->|Strategy| C["Valeur effacee<br/>automatiquement"]
    B -->|Preference| D["Valeur reste<br/>(tatouage)"]
    style C fill:#e8f5e9
    style D fill:#ffebee

Identifier une cle de strategie vs une cle de preference¶

# Check if a value comes from a policy or is a normal setting
$policyPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate"
$normalPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate"

if (Test-Path $policyPath) {
    Write-Output "Policy-driven Windows Update settings found:"
    Get-ItemProperty $policyPath
}

Policy-driven Windows Update settings found:

DisableWindowsUpdateAccess : 0
WUServer                   : https://wsus.domaine.local:8531
WUStatusServer             : https://wsus.domaine.local:8531
DeferQualityUpdates        : 1
DeferQualityUpdatesPeriodInDays : 7
PSPath                     : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
PSParentPath               : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
PSChildName                : WindowsUpdate
PSProvider                 : Microsoft.PowerShell.Core\Registry

Modeles d'administration (ADMX/ADML)¶

Structure d'un fichier ADMX¶

Les modeles d'administration sont des fichiers XML qui decrivent la correspondance entre un parametre affiche dans la console GPO et une valeur de registre. Un fichier ADMX ne contient aucun texte affichable -- les chaines localisees sont dans les fichiers ADML.

Voici la structure d'un parametre reel dans un fichier ADMX :

<!-- Example: DisableWindowsUpdateAccess from WindowsUpdate.admx -->
<policy name="DisableWindowsUpdateAccess"
        class="Machine"
        displayName="$(string.DisableWindowsUpdateAccess)"
        explainText="$(string.DisableWindowsUpdateAccess_Help)"
        presentation="$(presentation.DisableWindowsUpdateAccess)"
        key="SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate"
        valueName="DisableWindowsUpdateAccess">
    <parentCategory ref="WindowsUpdateCat" />
    <supportedOn ref="windows:SUPPORTED_WindowsVista" />
    <enabledValue>
        <decimal value="1" />
    </enabledValue>
    <disabledValue>
        <decimal value="0" />
    </disabledValue>
</policy>

Decryptage des attributs :

Structure du fichier ADML correspondant¶

Le fichier ADML contient les chaines localisees au format suivant :

<!-- WindowsUpdate.adml (fr-FR) -->
<policyDefinitionResources revision="1.0" schemaVersion="1.0">
    <displayName>Windows Update</displayName>
    <description>Parametres de Windows Update</description>
    <resources>
        <stringTable>
            <string id="DisableWindowsUpdateAccess">
                Supprimer l'acces a toutes les fonctionnalites Windows Update
            </string>
            <string id="DisableWindowsUpdateAccess_Help">
                Ce parametre vous permet de supprimer l'acces a Windows Update.
            </string>
        </stringTable>
    </resources>
</policyDefinitionResources>

Comment ADMX mappe vers le registre¶

Le mappage suit une logique simple :

graph LR
    A["ADMX<br/>class=Machine"] --> B["HKLM\{key}"]
    C["ADMX<br/>class=User"] --> D["HKCU\{key}"]
    E["ADMX<br/>class=Both"] --> B
    E --> D
    style B fill:#e3f2fd
    style D fill:#f3e5f5

Quand un administrateur active un parametre dans la console GPO :

1. La console lit l'ADMX pour trouver key, valueName et enabledValue
2. Elle ecrit ces informations dans le fichier registry.pol de la GPO
3. Au prochain rafraichissement, la CSE Registry (userenv.dll) lit le registry.pol
4. La CSE ecrit la valeur dans le registre local du client

Le Central Store sur SYSVOL¶

Par defaut, chaque poste utilise les fichiers ADMX de %SystemRoot%\PolicyDefinitions. Pour centraliser les modeles dans un domaine, creez un Central Store :

\\domaine.local\SYSVOL\domaine.local\Policies\PolicyDefinitions\
    ├── fr-FR\
    │   ├── WindowsUpdate.adml
    │   └── ...
    ├── en-US\
    │   ├── WindowsUpdate.adml
    │   └── ...
    ├── WindowsUpdate.admx
    └── ...

# Create the Central Store structure
$sysvolPath = "\\domaine.local\SYSVOL\domaine.local\Policies"
New-Item "$sysvolPath\PolicyDefinitions" -ItemType Directory -Force
New-Item "$sysvolPath\PolicyDefinitions\fr-FR" -ItemType Directory -Force
New-Item "$sysvolPath\PolicyDefinitions\en-US" -ItemType Directory -Force

# Copy local ADMX/ADML files to the Central Store
Copy-Item "$env:SystemRoot\PolicyDefinitions\*.admx" "$sysvolPath\PolicyDefinitions\"
Copy-Item "$env:SystemRoot\PolicyDefinitions\fr-FR\*.adml" "$sysvolPath\PolicyDefinitions\fr-FR\"
Copy-Item "$env:SystemRoot\PolicyDefinitions\en-US\*.adml" "$sysvolPath\PolicyDefinitions\en-US\"

Aucune sortie si la commande reussit.

Creer un modele ADMX personnalise¶

Voici un exemple complet de modele ADMX personnalise qui configure une application fictive :

<?xml version="1.0" encoding="utf-8"?>
<!-- CustomApp.admx - Custom ADMX template for MyApp -->
<policyDefinitions
    xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    revision="1.0"
    schemaVersion="1.0"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">

    <policyNamespaces>
        <target prefix="customapp" namespace="CustomApp.Policies" />
        <using prefix="windows" namespace="Microsoft.Policies.Windows" />
    </policyNamespaces>

    <resources minRequiredRevision="1.0" />

    <categories>
        <category name="CustomAppCat" displayName="$(string.CustomAppCat)" />
        <category name="CustomAppNetworkCat" displayName="$(string.CustomAppNetworkCat)">
            <parentCategory ref="CustomAppCat" />
        </category>
    </categories>

    <policies>
        <policy name="EnableTelemetry"
                class="Machine"
                displayName="$(string.EnableTelemetry)"
                explainText="$(string.EnableTelemetry_Help)"
                key="SOFTWARE\Policies\CustomApp"
                valueName="EnableTelemetry">
            <parentCategory ref="CustomAppCat" />
            <supportedOn ref="windows:SUPPORTED_Windows10" />
            <enabledValue><decimal value="1" /></enabledValue>
            <disabledValue><decimal value="0" /></disabledValue>
        </policy>

        <policy name="MaxCacheSize"
                class="Machine"
                displayName="$(string.MaxCacheSize)"
                explainText="$(string.MaxCacheSize_Help)"
                key="SOFTWARE\Policies\CustomApp"
                presentation="$(presentation.MaxCacheSize)">
            <parentCategory ref="CustomAppNetworkCat" />
            <supportedOn ref="windows:SUPPORTED_Windows10" />
            <elements>
                <decimal id="MaxCacheSizeValue"
                         valueName="MaxCacheSize"
                         minValue="64"
                         maxValue="4096" />
            </elements>
        </policy>
    </policies>
</policyDefinitions>

Et le fichier ADML correspondant :

<?xml version="1.0" encoding="utf-8"?>
<!-- CustomApp.adml (en-US) -->
<policyDefinitionResources
    xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    revision="1.0"
    schemaVersion="1.0"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
    <displayName>CustomApp</displayName>
    <description>Custom application policy settings</description>
    <resources>
        <stringTable>
            <string id="CustomAppCat">CustomApp Settings</string>
            <string id="CustomAppNetworkCat">Network</string>
            <string id="EnableTelemetry">Enable telemetry</string>
            <string id="EnableTelemetry_Help">Enables or disables telemetry data collection for CustomApp.</string>
            <string id="MaxCacheSize">Maximum cache size (MB)</string>
            <string id="MaxCacheSize_Help">Sets the maximum disk cache size in megabytes. Valid range: 64-4096.</string>
        </stringTable>
        <presentationTable>
            <presentation id="MaxCacheSize">
                <decimalTextBox refId="MaxCacheSizeValue" defaultValue="512">Cache size (MB):</decimalTextBox>
            </presentation>
        </presentationTable>
    </resources>
</policyDefinitionResources>

Outils de reference¶

Traitement des strategies de registre (registry.pol)¶

Le format binaire de registry.pol¶

Le fichier registry.pol est le coeur du mecanisme de strategies de registre. C'est un fichier binaire avec une structure simple mais precise.

En-tete (8 octets) :

Chaque entree suit le format [key;value;type;size;data] en Unicode (UTF-16LE), avec des delimiteurs :

Emplacements sur le disque¶

Lire un fichier registry.pol avec PowerShell¶

La methode recommandee utilise le module GPRegistryPolicyParser :

# Install the module (once)
Install-Module -Name GPRegistryPolicyParser -Force -Scope CurrentUser

# Parse a local machine registry.pol
$polPath = "$env:SystemRoot\System32\GroupPolicy\Machine\Registry.pol"
$entries = Parse-PolFile -Path $polPath

# Display each entry
$entries | ForEach-Object {
    [PSCustomObject]@{
        Key       = $_.KeyName
        Value     = $_.ValueName
        Type      = $_.ValueType
        Data      = $_.ValueData
    }
} | Format-Table -AutoSize

Key                                             Value                    Type    Data
---                                             -----                   ----    ----
SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate DisableWindowsUpdateAccess REG_DWORD 1
SOFTWARE\Policies\Microsoft\Windows\System       GroupPolicyRefreshTime     REG_DWORD 90

Analyse hexadecimale manuelle¶

Pour comprendre ce qui se passe reellement, examinons un fichier registry.pol minimal octet par octet :

# Read the raw bytes of a registry.pol file
$bytes = [System.IO.File]::ReadAllBytes(
    "$env:SystemRoot\System32\GroupPolicy\Machine\Registry.pol"
)

# Display as hex dump (first 128 bytes)
$offset = 0
while ($offset -lt [Math]::Min($bytes.Length, 128)) {
    $hex = ($bytes[$offset..([Math]::Min($offset + 15, $bytes.Length - 1))] |
        ForEach-Object { '{0:X2}' -f $_ }) -join ' '
    $ascii = ($bytes[$offset..([Math]::Min($offset + 15, $bytes.Length - 1))] |
        ForEach-Object { if ($_ -ge 32 -and $_ -le 126) { [char]$_ } else { '.' } }) -join ''
    '{0:X4}  {1,-47}  {2}' -f $offset, $hex, $ascii
    $offset += 16
}

0000  50 52 65 67 01 00 00 00 5B 00 53 00 4F 00 46 00  PReg....[.S.O.F.
0010  54 00 57 00 41 00 52 00 45 00 5C 00 50 00 6F 00  T.W.A.R.E.\.P.o.
0020  6C 00 69 00 63 00 69 00 65 00 73 00 5C 00 4D 00  l.i.c.i.e.s.\.M.
0030  69 00 63 00 72 00 6F 00 73 00 6F 00 66 00 74 00  i.c.r.o.s.o.f.t.

Decodage de cet extrait :

• 50 52 65 67 → "PReg" (signature)
• 01 00 00 00 → version 1
• 5B 00 → [ en UTF-16LE (debut d'entree)
• 53 00 4F 00 46 00 54 00 ... → "SOFTWARE\Policies\Microsoft..." en UTF-16LE

Group Policy Preferences (GPP)¶

Strategies vs preferences : comparaison detaillee¶

Les quatre actions GPP¶

Item-Level Targeting (ILT)¶

Le ciblage au niveau de l'element permet d'appliquer une preference uniquement si certaines conditions sont remplies. Les conditions sont evaluees sur le client au moment de l'application.

Conditions disponibles :

Structure XML des preferences de registre¶

Les preferences de registre sont stockees dans des fichiers XML sur le SYSVOL :

\\domaine\SYSVOL\domaine\Policies\{GUID-GPO}\Machine\Preferences\Registry\Registry.xml

<?xml version="1.0" encoding="utf-8"?>
<RegistrySettings clsid="{A3CCFC41-DFDB-43A5-8D26-0FE8B954DA51}">
    <Registry clsid="{9CD4B2F4-923D-47F5-A062-E897DD1DAD50}"
              name="MaxCacheAge"
              status="MaxCacheAge"
              image="2"
              changed="2024-01-15 10:30:00"
              uid="{A1B2C3D4-E5F6-7890-ABCD-EF1234567890}">
        <Properties action="U"
                    displayDecimal="1"
                    default="0"
                    hive="HKEY_LOCAL_MACHINE"
                    key="SOFTWARE\MyApp\Settings"
                    name="MaxCacheAge"
                    type="REG_DWORD"
                    value="00000168" />
    </Registry>
</RegistrySettings>

L'attribut action correspond aux quatre actions : C (Create), R (Replace), U (Update), D (Delete).

La vulnerabilite GPP des mots de passe (MS14-025)¶

Le fichier concerne etait typiquement :

\\domaine\SYSVOL\domaine\Policies\{GUID}\Machine\Preferences\Groups\Groups.xml

<!-- VULNERABLE: this format should no longer exist in your environment -->
<Groups>
    <User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}"
          name="LocalAdmin" image="2" changed="2013-06-15">
        <Properties action="U"
                    newName=""
                    fullName=""
                    description=""
                    cpassword="j1Uyj3Vx8TY9LtLZil2uAuZkFQA/4latT76ZwgdHdhw"
                    userName="LocalAdmin" />
    </User>
</Groups>

Actions correctives :

# Search SYSVOL for any remaining cpassword attributes
Get-ChildItem "\\$env:USERDNSDOMAIN\SYSVOL" -Recurse -Include "*.xml" |
    Select-String -Pattern "cpassword" |
    Select-Object Path, LineNumber

Path                                                                          LineNumber
----                                                                          ----------
\\corp.local\SYSVOL\corp.local\Policies\{6AC1786C-...}\Machine\Preferences\Groups\Groups.xml        8
\\corp.local\SYSVOL\corp.local\Policies\{31B2F340-...}\Machine\Preferences\Groups\Groups.xml       12

Le correctif MS14-025 empeche la creation de nouveaux mots de passe GPP, mais ne supprime pas les fichiers existants. Vous devez les nettoyer manuellement.

Tatouage des preferences¶

Quand une GPO contenant des preferences est supprimee ou que l'ordinateur quitte l'OU, les valeurs ecrites par les preferences ne sont pas effacees. Elles restent dans le registre indefiniment.

# A GPP wrote this value under a normal (non-policy) key
Get-ItemProperty "HKLM:\SOFTWARE\MyApp\Settings" -Name "MaxCacheAge"

# Even after the GPO is removed, the value persists
# There is no automatic cleanup mechanism

MaxCacheAge  : 360
PSPath       : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\MyApp\Settings
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\MyApp
PSChildName  : Settings
PSProvider   : Microsoft.PowerShell.Core\Registry

Pour eviter le tatouage, privilegiez les strategies (Administrative Templates) aux preferences quand le parametre existe en tant que modele ADMX.

Strategie de groupe locale (LGPO)¶

Configuration sans Active Directory¶

Meme sans domaine Active Directory, Windows offre un editeur de strategies locales :

rem Open the Local Group Policy Editor
gpedit.msc

La console de l'editeur de strategies de groupe locales s'ouvre.

Les strategies locales ecrivent dans :

%SystemRoot%\System32\GroupPolicy\
    ├── Machine\
    │   └── Registry.pol
    ├── User\
    │   └── Registry.pol
    └── GPT.INI

Multiple Local Group Policy Objects (MLGPO)¶

Depuis Windows Vista, il est possible de definir des strategies locales differentes par utilisateur :

%SystemRoot%\System32\GroupPolicyUsers\
    ├── {SID-Utilisateur-1}\
    │   └── User\
    │       └── Registry.pol
    ├── {SID-Utilisateur-2}\
    │   └── User\
    │       └── Registry.pol
    └── S-1-5-32-544\       ← Administrators group
        └── User\
            └── Registry.pol

L'ordre de priorite est : GPO de domaine > strategie locale specifique a l'utilisateur > strategie locale par defaut.

LGPO.exe : l'outil en ligne de commande de Microsoft¶

LGPO.exe est un outil officiel Microsoft (disponible dans le Security Compliance Toolkit) qui permet de scripter la gestion des strategies locales.

Exporter les strategies locales :

rem Export current local policies to a backup folder
LGPO.exe /b C:\GPOBackup /n "Baseline-2024"

Creating backup...
Backup successfully created: {12345678-ABCD-1234-5678-ABCDEF012345}

Analyser un fichier registry.pol :

rem Parse a registry.pol file into human-readable text
LGPO.exe /parse /m C:\Windows\System32\GroupPolicy\Machine\Registry.pol

; Source: C:\Windows\System32\GroupPolicy\Machine\Registry.pol
Computer
SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DisableWindowsUpdateAccess
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\Windows\System
GroupPolicyRefreshTime
DWORD:90

Importer des strategies depuis un fichier texte :

Creez un fichier texte avec le format LGPO :

; CustomPolicies.txt
Computer
SOFTWARE\Policies\Microsoft\Windows\Explorer
NoNewAppAlert
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\Windows\System
DisableCMD
DWORD:1

rem Apply the policy text file
LGPO.exe /r CustomPolicies.txt /w C:\Windows\System32\GroupPolicy\Machine\Registry.pol

Aucune sortie si la commande reussit.

Appliquer une baseline de securite Microsoft :

rem Import a previously exported GPO backup
LGPO.exe /g C:\GPOBackup\{12345678-ABCD-1234-5678-ABCDEF012345}

rem Force a policy refresh after import
gpupdate /force

Updating policy...

Computer Policy update has completed successfully.
User Policy update has completed successfully.

Resultant Set of Policy (RSoP)¶

gpresult : l'outil de diagnostic essentiel¶

gpresult est la commande la plus importante pour diagnostiquer les problemes de strategies de groupe. Elle montre exactement quelles GPO sont appliquees et quelles valeurs de registre ont ete ecrites.

Rapport HTML complet :

rem Generate a comprehensive HTML report
gpresult /h C:\Temp\gpresult.html

Aucune sortie si la commande reussit. Le fichier C:\Temp\gpresult.html est genere.

Le rapport HTML est le format le plus lisible. Il affiche les GPO appliquees, les parametres resultants et les eventuels filtres WMI ou de securite.

Resume rapide :

rem Quick summary of applied GPOs
gpresult /r

RSOP data for DOMAINE\jbombled on POSTE-01 : Logging Mode
-------------------------------------------------------------

OS Configuration:            Member Workstation
OS Version:                  10.0.22621
Site Name:                   Paris
Roaming Profile:             (None)

COMPUTER SETTINGS
-----------------
    Applied Group Policy Objects
    ----------------------------
        Default Domain Policy
        Securite-Baseline-2024
        WindowsUpdate-Config

USER SETTINGS
-------------
    Applied Group Policy Objects
    ----------------------------
        Default Domain Policy
        Bureau-Standard

Mode verbeux avec valeurs de registre :

rem Verbose output including registry values
gpresult /v

RSOP data for DOMAINE\jbombled on POSTE-01 : Logging Mode
-------------------------------------------------------------
...
COMPUTER SETTINGS
-----------------
    Software Installations
    ----------------------
        N/A

    Administrative Templates
    ------------------------
        GPO: Securite-Baseline-2024
            KeyName:    Software\Policies\Microsoft\Windows\System\DisableCMD
            Value:      1, 0, 0, 0
            State:      Enabled

        GPO: WindowsUpdate-Config
            KeyName:    Software\Policies\Microsoft\Windows\WindowsUpdate\DeferQualityUpdatesPeriodInDays
            Value:      7, 0, 0, 0
            State:      Enabled
...

Mode super-verbeux :

rem Full debug-level output
gpresult /z

RSOP data for DOMAINE\jbombled on POSTE-01 : Logging Mode
-------------------------------------------------------------
...
COMPUTER SETTINGS
-----------------
    CN=POSTE-01,OU=Workstations,DC=domaine,DC=local
    Last time Group Policy was applied: 15/12/2024 at 08:32:10
    Group Policy was applied from:      SRV-DC01.domaine.local
    Group Policy slow link threshold:   500 kbps

    Applied Group Policy Objects
    ----------------------------
        Default Domain Policy
            Filtering:  Not Applied (Empty)
            Revision:   AD (45), SYSVOL (45)
            GUID:       {31B2F340-016D-11D2-945F-00C04FB984F9}
            Link:       domaine.local
            Extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}]
...

Cibler machine ou utilisateur specifiquement :

rem Computer scope only
gpresult /scope:computer /r

rem User scope only
gpresult /scope:user /r

RSOP data for DOMAINE\jbombled on POSTE-01 : Logging Mode
-------------------------------------------------------------

USER SETTINGS
-------------
    Last time Group Policy was applied: 15/12/2024 at 08:15:22
    Group Policy was applied from:      SRV-DC01.domaine.local

    Applied Group Policy Objects
    ----------------------------
        Default Domain Policy
        Bureau-Standard

Generer un rapport pour un autre utilisateur :

rem Report for a specific user (requires admin rights)
gpresult /user DOMAINE\autreuser /h C:\Temp\gpresult-autre.html

Aucune sortie si la commande reussit. Le fichier C:\Temp\gpresult-autre.html est genere.

RSOP.msc¶

La console rsop.msc est l'ancetre graphique de gpresult. Elle affiche les strategies resultantes dans une interface identique a gpedit.msc, mais en lecture seule.

rem Open the RSoP console
rsop.msc

La console RSoP s'ouvre et affiche les strategies resultantes en lecture seule.

Diagnostiquer les conflits de GPO¶

Quand deux GPO definissent la meme valeur de registre, la GPO la plus prioritaire gagne. Utilisez gpresult /v pour identifier les GPO en conflit :

# Find which GPO set a specific registry value
# Method 1: Search the verbose gpresult output
gpresult /v 2>$null | Select-String -Pattern "WindowsUpdate" -Context 2, 2

# Method 2: Use PowerShell RSAT cmdlet (requires RSAT installed)
Get-GPResultantSetOfPolicy -ReportType Html -Path "C:\Temp\rsop.html"

      GPO: WindowsUpdate-Config
          KeyName:    Software\Policies\Microsoft\Windows\WindowsUpdate\DeferQualityUpdatesPeriodInDays
>         Value:      7, 0, 0, 0
          State:      Enabled

Get-GPResultantSetOfPolicy¶

Ce cmdlet PowerShell (module GroupPolicy, disponible avec RSAT) genere un rapport RSoP avance :

# Generate an XML RSoP report for the current machine
Get-GPResultantSetOfPolicy -ReportType Xml -Path "C:\Temp\rsop.xml"

# Generate for a remote computer
Get-GPResultantSetOfPolicy -Computer "POSTE-42" -ReportType Html -Path "C:\Temp\rsop-42.html"

Aucune sortie si la commande reussit. Les fichiers de rapport sont generes aux chemins specifies.

Securite des GPO¶

Filtrage de securite vs filtrage WMI¶

Les GPO s'appliquent par defaut a tous les objets du conteneur ou elles sont liees. Deux mecanismes permettent de restreindre leur application :

# Example WMI filter: apply only to laptops
# WQL query used in the WMI filter object in AD
# SELECT * FROM Win32_Battery
# If the query returns results, the GPO applies (the machine has a battery = laptop)

Bouclage (Loopback Processing)¶

Le bouclage est un mecanisme avance qui modifie le comportement des strategies utilisateur en fonction de l'ordinateur sur lequel l'utilisateur se connecte. Il est configure dans :

HKLM\SOFTWARE\Policies\Microsoft\Windows\System
    UserPolicyMode    REG_DWORD

Blocage d'heritage et Enforced¶

graph TD
    A["Domaine<br/>GPO-A (Enforced)"] --> B["OU Parent<br/>GPO-B"]
    B --> C["OU Enfant<br/>(Block Inheritance)<br/>GPO-C"]

    D["Resultat sur OU Enfant :"] --> E["GPO-A (s'applique malgre le blocage)<br/>GPO-B (bloquee)<br/>GPO-C (s'applique)"]

    style A fill:#ffebee
    style C fill:#fff3e0

Detection de lien lent¶

Le moteur GPO detecte les liens lents et peut desactiver certaines extensions pour eviter des temps de connexion trop longs :

HKLM\SOFTWARE\Policies\Microsoft\Windows\System
    GroupPolicyMinTransferRate    REG_DWORD

Les CSE qui respectent le parametre NoSlowLink (voir la table CSE plus haut) ne s'executent pas quand le lien est juge lent. Cela concerne notamment la redirection de dossiers, l'installation de logiciels et les scripts de demarrage.

Depannage des acces refuses¶

Quand une GPO ne s'applique pas, le probleme est souvent un manque de permissions. Verifiez :

# Check GPO permissions (requires RSAT)
Get-GPPermission -Name "Securite-Baseline-2024" -All |
    Format-Table Trustee, Permission, Inherited -AutoSize

Trustee                Permission              Inherited
-------                ----------              ---------
Domain Admins          GpoEditDeleteModifySecurity False
Authenticated Users    GpoApply                    False
Enterprise Admins      GpoEditDeleteModifySecurity False

GPO et registre : cas pratiques¶

Trois methodes pour deployer des modifications de registre via GPO¶

Software Restriction Policies et AppLocker¶

AppLocker stocke ses regles dans le registre sous :

HKLM\SOFTWARE\Policies\Microsoft\Windows\SrpV2

Chaque regle est stockee comme une valeur REG_SZ contenant du XML :

# List all AppLocker executable rules
Get-ChildItem "HKLM:\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Exe" |
    ForEach-Object {
        $value = (Get-ItemProperty $_.PSPath).'Value'
        [xml]$rule = $value
        [PSCustomObject]@{
            Name   = $rule.RuleCollection.FilePublisherRule.Name
            Action = $rule.RuleCollection.FilePublisherRule.Action
        }
    }

Name                                    Action
----                                    ------
Allow all signed executables            Allow
Allow Windows components                Allow
Deny unauthorized publishers            Deny

Le service Application Identity (AppIDSvc) doit etre en cours d'execution pour qu'AppLocker fonctionne :

HKLM\SYSTEM\CurrentControlSet\Services\AppIDSvc
    Start    REG_DWORD    2    (Automatic)

Windows Update via GPO¶

Les parametres Windows Update deployes par GPO sont stockes dans :

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Sous-cle AU (Automatic Updates) :

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

Table des 20+ valeurs de registre couramment deployees via GPO¶

MDM et CSP : les GPO modernes¶

Le pont entre GPO et MDM¶

Les solutions de gestion moderne (Microsoft Intune, VMware Workspace ONE, etc.) utilisent des Configuration Service Providers (CSP) au lieu de fichiers registry.pol. Le resultat final est pourtant souvent le meme : une valeur ecrite dans le registre.

graph TD
    A["Console Intune"] --> B["Service MDM cloud"]
    B --> C["Agent MDM sur le client"]
    C --> D["CSP (Configuration Service Provider)"]
    D --> E["Ecriture dans le registre"]

    F["Console GPMC"] --> G["SYSVOL / Active Directory"]
    G --> H["gpsvc sur le client"]
    H --> I["CSE (Client-Side Extension)"]
    I --> E

    style E fill:#e8f5e9

ADMX-backed policies dans Intune¶

Intune peut ingerer des fichiers ADMX et exposer leurs parametres dans la console d'administration. Cela permet de configurer des parametres de registre identiques a ceux des GPO, mais via le canal MDM.

La correspondance est directe :

PolicyManager dans le registre¶

Le moteur MDM de Windows stocke son etat interne dans :

HKLM\SOFTWARE\Microsoft\PolicyManager

# List MDM policy providers registered on this machine
Get-ChildItem "HKLM:\SOFTWARE\Microsoft\PolicyManager\Providers" -ErrorAction SilentlyContinue |
    ForEach-Object {
        [PSCustomObject]@{
            ProviderId = $_.PSChildName
        }
    }

ProviderId
----------
{A1B2C3D4-E5F6-7890-ABCD-EF1234567890}

Coexistence GPO + MDM¶

Quand un meme parametre est configure a la fois par GPO et par MDM, un conflit survient. Windows offre un mecanisme pour le resoudre :

HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM
    DisableRegistration    REG_DWORD

La cle de coexistence principale se trouve dans :

HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM

Et le parametre de priorite :

HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM
    MDMWinsOverGP    REG_DWORD

Configuration Service Providers (CSP) et leurs cibles registre¶

Les CSP les plus courants et leurs emplacements de registre :

Depannage des strategies de groupe¶

Evenements importants¶

Le journal Microsoft-Windows-GroupPolicy/Operational contient tous les evenements GPO. Voici les evenements les plus frequents en cas de probleme :

# Retrieve recent Group Policy events
Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" -MaxEvents 20 |
    Select-Object TimeCreated, Id, Message |
    Format-Table -Wrap

TimeCreated           Id Message
-----------           -- -------
2024-12-15 08:32:10 5312 The list of applicable Group Policy objects has been determined.
2024-12-15 08:32:10 5016 Completed Registry Extension Processing in 156 milliseconds.
2024-12-15 08:32:09 4016 Starting Registry Extension Processing.
2024-12-15 08:32:09 5312 The list of applicable Group Policy objects has been determined.
2024-12-15 08:32:08 4004 Starting policy processing due to network state change.
2024-12-14 14:00:05 8004 Security filtering denied application of GPO Securite-Baseline-2024.
...

gpsvc ne demarre pas¶

Si le service gpsvc ne demarre pas, aucune strategie de groupe ne s'appliquera. Verifiez :

# Check the gpsvc service configuration
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\gpsvc"

# Verify the service DLL is registered
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\gpsvc\Parameters" -Name ServiceDll

ServiceDll : C:\Windows\system32\gpsvc.dll

Si la valeur ServiceDll est absente ou incorrecte, restaurez-la :

# Repair the gpsvc service DLL registration
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\gpsvc\Parameters" `
    -Name "ServiceDll" -Value "%SystemRoot%\system32\gpsvc.dll" -Type ExpandString

Aucune sortie si la commande reussit.

Verifiez egalement que le compte SYSTEM a les permissions necessaires sur la cle du service :

# Check ACL on the gpsvc registry key
Get-Acl "HKLM:\SYSTEM\CurrentControlSet\Services\gpsvc" | Format-List

Path   : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gpsvc
Owner  : NT AUTHORITY\SYSTEM
Group  : NT AUTHORITY\SYSTEM
Access : NT AUTHORITY\SYSTEM Allow  FullControl
         BUILTIN\Administrators Allow  FullControl
         NT SERVICE\TrustedInstaller Allow  FullControl
         APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES Allow  ReadKey
Audit  :
Sddl   : O:SYG:SYD:AI(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KA;;;S-1-5-80-956008885-...)...

Arbre de decision : strategie qui ne s'applique pas¶

graph TD
    A["La GPO ne s'applique pas"] --> B{"Le poste peut-il<br/>joindre le DC ?"}
    B -->|Non| C["Verifier le lien reseau<br/>ping, nslookup"]
    B -->|Oui| D{"Resolution DNS<br/>du domaine ?"}
    D -->|Non| E["Corriger le DNS<br/>nslookup domaine.local"]
    D -->|Oui| F{"SYSVOL accessible ?<br/>dir \\domaine\SYSVOL"}
    F -->|Non| G["Verifier DFS-R<br/>et les partages SYSVOL"]
    F -->|Oui| H{"GPO liee a la<br/>bonne OU ?"}
    H -->|Non| I["Lier la GPO<br/>a l'OU correcte"]
    H -->|Oui| J{"Filtrage de securite<br/>autorise ?"}
    J -->|Non| K["Ajouter le groupe/utilisateur<br/>au filtrage de securite"]
    J -->|Oui| L{"Filtre WMI<br/>bloquant ?"}
    L -->|Oui| M["Tester la requete WMI<br/>sur le poste"]
    L -->|Non| N{"Block Inheritance<br/>sur l'OU ?"}
    N -->|Oui| O["Marquer la GPO<br/>comme Enforced"]
    N -->|Non| P{"Bouclage (loopback)<br/>interfere ?"}
    P -->|Oui| Q["Verifier UserPolicyMode<br/>dans le registre"]
    P -->|Non| R{"CSE en erreur ?<br/>Event 7016"}
    R -->|Oui| S["Verifier la DLL de la CSE<br/>sous GPExtensions"]
    R -->|Non| T["Verifier gpresult /z<br/>et les details du journal"]

Forcer le rafraichissement¶

rem Standard force refresh (background)
gpupdate /force

rem Force refresh and reboot if needed (e.g., for computer startup scripts)
gpupdate /force /boot

rem Force refresh and logoff if needed (e.g., for folder redirection)
gpupdate /force /logoff

rem Target only computer policies
gpupdate /force /target:computer

rem Target only user policies
gpupdate /force /target:user

Updating policy...

Computer Policy update has completed successfully.
User Policy update has completed successfully.

# Invoke remote GPO refresh on multiple computers (requires RSAT)
Invoke-GPUpdate -Computer "POSTE-01" -Force -RandomDelayInMinutes 0

# Or via PowerShell remoting for machines without RSAT
Invoke-Command -ComputerName "POSTE-01", "POSTE-02" -ScriptBlock {
    gpupdate /force
}

Aucune sortie si la commande reussit. Les strategies de groupe sont rafraichies sur les postes distants.