Bureau et énergie via GPO¶

Contexte de production¶

La gestion du bureau via GPO couvre un spectre large : de la simple charte graphique (fond d'écran corporate) à la mise sous tutelle complète du poste (kiosk Assigned Access). Ces deux extrêmes mobilisent des outils différents — ADMX Desktop pour le fond d'écran, Assigned Access XML pour le kiosk — mais partagent la même logique de ciblage.

Windows 11 a rendu plusieurs paramètres de bureau moins accessibles qu'avant. La barre des tâches n'accepte plus de fichier LayoutModification.xml comme sous Windows 10 : le paramètre GPO Start/StartLayout reste actif pour le menu Démarrer, mais la personnalisation de la barre des tâches Win11 passe désormais par des clés de registre directes. Ce chapitre documente la situation réelle en production, pas l'idéal de la documentation Microsoft.

Bureau géré : fond d'écran, icônes, barre des tâches Win11¶

Fond d'écran via GPO¶

Le fond d'écran est l'une des personnalisations les plus demandées en entreprise. Il s'impose via une GPO utilisateur.

Chemin GPMC :

Configuration utilisateur
  └─ Stratégies
       └─ Modèles d'administration
            └─ Bureau
                 └─ Bureau
                      └─ Papier peint du Bureau

Paramètres à configurer :

Clés de registre correspondantes :

Approche par GPP (plus robuste) :

Pour les environnements où la connectivité réseau n'est pas garantie au logon, copiez d'abord le fichier localement via une préférence GPP, puis pointez la clé vers le chemin local.

# Deploy wallpaper to local disk before user logon
$source = "\\srv-infra\sysvol\Contoso.com\wallpapers\corporate.jpg"
$dest   = "C:\Windows\Web\Wallpaper\Corporate\corporate.jpg"

if (-not (Test-Path (Split-Path $dest))) {
    New-Item -ItemType Directory -Path (Split-Path $dest) -Force | Out-Null
}

if (-not (Test-Path $dest)) {
    Copy-Item -Path $source -Destination $dest -Force
}

Icônes du bureau — restreindre via ADMX¶

Les icônes système (Corbeille, Ce PC, Réseau) se contrôlent indépendamment du fond d'écran. Les clés ADMX Desktop permettent de masquer ou forcer chaque icône.

Chemin GPMC :

Configuration utilisateur
  └─ Stratégies
       └─ Modèles d'administration
            └─ Bureau
                 └─ Bureau

Paramètres ADMX disponibles :

Barre des tâches Windows 11 via GPO¶

Windows 11 a rompu la compatibilité avec le fichier LayoutModification.xml utilisé sous Windows 10 pour personnaliser la barre des tâches. En Windows 11, la personnalisation est gérée par des clés de registre sous HKCU\SOFTWARE\Policies\Microsoft\Windows\Explorer.

Widgets (Actualités et intérêts) — désactivation :

Le widget "Actualités et intérêts" en bas à gauche se désactive via une clé HKLM, donc applicable via GPO ordinateur sans dépendance au contexte utilisateur.

Chemin GPMC (si ADMX Windows 11 disponible) :

Configuration ordinateur
  └─ Stratégies
       └─ Modèles d'administration
            └─ Composants Windows
                 └─ Widgets
                      └─ Autoriser les widgets

Valeur : Désactivé

Menu Démarrer — déployer un layout personnalisé (Windows 11 22H2+) :

Le paramètre Start/StartLayout fonctionne toujours pour imposer un layout de menu Démarrer sur Windows 11. Il accepte un fichier JSON exporté depuis un poste de référence.

# Export Start layout from reference machine (Windows 11 22H2+)
Export-StartLayout -Path "C:\Temp\StartLayout.json"

Configuration utilisateur
  └─ Stratégies
       └─ Modèles d'administration
            └─ Menu Démarrer et barre des tâches
                 └─ Disposition du menu Démarrer

Pointez vers le fichier JSON sur un partage accessible au logon.

Autres restrictions barre des tâches utiles en production :

Économiseur d'écran et verrouillage¶

Paramètres GPMC de l'économiseur d'écran¶

L'économiseur d'écran avec verrouillage est le mécanisme traditionnel de sécurité de poste inactif. Son chemin GPMC est :

Configuration utilisateur
  └─ Stratégies
       └─ Modèles d'administration
            └─ Panneau de configuration
                 └─ Personnalisation

Paramètres essentiels :

Conflit entre économiseur d'écran et Modern Standby¶

C'est un piège de production courant que la documentation Microsoft mentionne rarement clairement.

Comportement standard (S3 sleep) :

Sur les postes avec un état de veille traditionnel S3, l'économiseur d'écran se déclenche selon le délai configuré, puis Windows entre en veille après le délai du plan d'énergie. Les deux coexistent sans conflit.

Comportement Modern Standby (S0ix) :

Sur les machines modernes (Surface Pro, laptops Intel Tiger Lake+, ARM), Windows utilise Connected Standby (S0ix) au lieu de S3. Dans ce mode :

• L'économiseur d'écran peut ne jamais se déclencher si le plan d'énergie fait entrer la machine en S0ix avant le délai de l'économiseur
• Le verrouillage par l'économiseur d'écran ne se produit alors pas du tout
• Windows active à la place le verrouillage par délai d'inactivité via SignInOptions

Solution recommandée en environnement Modern Standby :

Remplacez l'économiseur d'écran par le verrouillage natif Windows :

Configuration ordinateur
  └─ Stratégies
       └─ Modèles d'administration
            └─ Composants Windows
                 └─ Options de connexion Windows
                      └─ Exiger une connexion automatique sur le verrouillage de session

Et configurez le délai de verrouillage via :

Plans d'énergie via GPO¶

Les trois GUIDs natifs Windows¶

Windows gère les plans d'énergie par des GUIDs. Ces GUIDs sont identiques sur toutes les installations Windows — ils ne sont pas générés aléatoirement.

Chemin GPMC — Power Management ADMX¶

Les paramètres de plans d'énergie sont dans l'ADMX Power :

Configuration ordinateur
  └─ Stratégies
       └─ Modèles d'administration
            └─ Système
                 └─ Gestion de l'alimentation

Les sous-noeuds disponibles :

Pour forcer un plan spécifique, le paramètre GPMC est :

Configuration ordinateur
  └─ Stratégies
       └─ Modèles d'administration
            └─ Système
                 └─ Gestion de l'alimentation
                      └─ Spécifier un plan d'alimentation actif personnalisé

Valeur : GUID du plan entre accolades — ex. {381b4222-f694-41f0-9685-ff5bb260df2e}

Clé de registre correspondante :

Déploiement par script PowerShell (alternative GPP Registry)¶

Si l'ADMX Power Management ne couvre pas votre besoin exact, utilisez un script de démarrage GPO.

# Set power plan to Balanced on all machines
$balanced_guid = "381b4222-f694-41f0-9685-ff5bb260df2e"

# Check if plan exists (may not be present on custom OEM images)
$plan = powercfg /list | Select-String -Pattern $balanced_guid
if ($plan) {
    powercfg /setactive $balanced_guid
    Write-EventLog -LogName Application -Source "GPO-Power" `
        -EventId 1001 -EntryType Information `
        -Message "Power plan set to Balanced: $balanced_guid"
} else {
    # Restore native plans if OEM image removed them
    powercfg /restoredefaultschemes
    powercfg /setactive $balanced_guid
}

# powercfg /getactivescheme
# Power Scheme GUID: 381b4222-f694-41f0-9685-ff5bb260df2e  (Balanced)

:material-hibernate: Fast Startup et interaction avec BitLocker¶

Fast Startup (démarrage rapide) est activé par défaut sur Windows 10/11. Il hybride l'arrêt et la mise en veille : lors de l'arrêt, le noyau est mis en hibernation pour accélérer le prochain démarrage.

Interaction critique avec BitLocker :

• Sur certains firmwares, Fast Startup empêche BitLocker de déclencher le contrôle TPM au démarrage
• En cas d'arrêt et redémarrage depuis un autre OS (dual-boot, WinPE), la partition système peut rester dans un état hybride

Désactiver Fast Startup via GPO :

Configuration ordinateur
  └─ Stratégies
       └─ Modèles d'administration
            └─ Système
                 └─ Gestion de l'alimentation
                      └─ Paramètres de mise en veille
                           └─ Exiger un mot de passe à la sortie du mode veille (secteur)

Ou directement via la clé de registre :

Le piège critique : Haute Performance sur les laptops¶

C'est la faute de production la plus fréquente dans ce domaine. L'explication complète mérite une attention particulière.

Le plan Haute Performance désactive toutes les optimisations d'économie d'énergie du processeur (ACPI\PSD = 0), maintient les cœurs au maximum de fréquence en permanence, et supprime les états de veille profonde. Sur un serveur ou un desktop, c'est le comportement voulu.

Sur un laptop de 60 Wh, ce plan consomme typiquement 25-45 W en charge bureautique, soit une autonomie de 1h30 à 3h maximum. Les utilisateurs constatent que leur laptop "ne tient plus la batterie" sans comprendre pourquoi — et le ticket arrive en DSI.

Solution : ciblage ILT par type de châssis

Utilisez un filtre ILT WMI sur la GPO qui force le plan Haute Performance pour n'appliquer la GPO qu'aux postes de type Desktop.

Requête WMI ILT à utiliser :

SELECT * FROM Win32_SystemEnclosure WHERE ChassisTypes="3" OR ChassisTypes="4" OR ChassisTypes="5" OR ChassisTypes="6" OR ChassisTypes="7"

Dans GPMC, créez un filtre WMI sur la GPO "Haute Performance" et collez la requête ci-dessus. La GPO ne s'appliquera qu'aux machines dont Win32_SystemEnclosure.ChassisTypes correspond à un facteur de forme desktop.

# Check chassis type on a machine before targeting
(Get-WmiObject -Class Win32_SystemEnclosure).ChassisTypes

# Desktop : [3] ou [4] ou [6] ou [7]
# Laptop  : [8] ou [9] ou [10]

Kiosk mode — Assigned Access¶

Contexte et cas d'usage¶

Assigned Access est le mécanisme natif Windows pour verrouiller un compte à une seule application (mono-app kiosk) ou à un ensemble d'applications définies (multi-app kiosk). Les cas d'usage production typiques :

• Bornes d'accueil (application web en kiosk Edge, application de billetterie)
• Postes de production partagés (logiciel métier unique, sans accès au bureau)
• Postes de consultation (document viewer, catalogue produit)
• Remplacement de solutions de kiosk tierces onéreuses

Assigned Access s'intègre naturellement avec le Loopback Processing GPO (voir chapitre sur le Loopback) et avec la gestion des profils RDS (voir chapitre RDS).

Étape 1 — Créer le compte kiosk dédié¶

Le compte kiosk doit être un compte local dédié, sans droits administrateurs, avec un mot de passe qui n'expire pas. Ne réutilisez pas un compte AD existant — le compte AD peut être sujet à des GPO de l'OU utilisateur qui interféreront avec Assigned Access.

# Create dedicated local kiosk account
$kiosk_user = "KioskUser"
$kiosk_pass = ConvertTo-SecureString "K!0sk@2026!" -AsPlainText -Force

# Check if account already exists
if (-not (Get-LocalUser -Name $kiosk_user -ErrorAction SilentlyContinue)) {
    New-LocalUser -Name $kiosk_user `
                  -Password $kiosk_pass `
                  -FullName "Kiosk Account" `
                  -Description "Assigned Access kiosk account - DO NOT DELETE" `
                  -PasswordNeverExpires `
                  -UserMayNotChangePassword
    Add-LocalGroupMember -Group "Utilisateurs" -Member $kiosk_user
    Write-EventLog -LogName Application -Source "GPO-Kiosk" `
        -EventId 1010 -EntryType Information `
        -Message "Kiosk account created: $kiosk_user"
}

Étape 2 — Configurer le fichier XML Assigned Access¶

Mono-application kiosk (single-app)¶

Le format XML single-app est simple. L'exemple ci-dessous configure Microsoft Edge en mode kiosk avec une URL cible.

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration
    xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config">
  <Profiles>
    <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
      <KioskModeApp AppUserModelId="Microsoft.MicrosoftEdge.Stable_8wekyb3d8bbwe!App"
                    rs5:ClassicAppPath=""
                    rs5:ClassicAppArguments="" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <Account>KioskUser</Account>
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
  </Configs>
</AssignedAccessConfiguration>

Multi-application kiosk¶

Le format multi-app requiert Windows 10 Enterprise/Education ou Windows 11 Pro for Workstations/Enterprise. Il permet de définir un shell personnalisé avec plusieurs applications autorisées.

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration
    xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config"
    xmlns:v3="http://schemas.microsoft.com/AssignedAccess/2020/config">
  <Profiles>
    <Profile Id="{A9A0C2C5-3B3D-4C4E-8F2A-1B2C3D4E5F60}">
      <AllAppsList>
        <AllowedApps>
          <!-- Microsoft Edge (Chromium) -->
          <App AppUserModelId="Microsoft.MicrosoftEdge.Stable_8wekyb3d8bbwe!App" rs5:AutoLaunch="true" />
          <!-- Calculator (example of allowed UWP app) -->
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <!-- Classic Win32 app example -->
          <App rs5:ClassicAppPath="C:\Program Files\CompanyApp\app.exe" />
        </AllowedApps>
      </AllAppsList>
      <v3:Taskbar ShowTaskbar="true"/>
      <StartLayout>
        <![CDATA[
          <LayoutModificationTemplate
              xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
              xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
              xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
              Version="1">
            <LayoutOptions StartTileGroupCellWidth="6" />
            <DefaultLayoutOverride>
              <StartLayoutCollection>
                <defaultlayout:StartLayout GroupCellWidth="6">
                  <start:Group Name="Applications">
                    <start:Tile Size="2x2" Column="0" Row="0"
                                AppUserModelID="Microsoft.MicrosoftEdge.Stable_8wekyb3d8bbwe!App"/>
                  </start:Group>
                </defaultlayout:StartLayout>
              </StartLayoutCollection>
            </DefaultLayoutOverride>
          </LayoutModificationTemplate>
        ]]>
      </StartLayout>
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <Account>KioskUser</Account>
      <DefaultProfile Id="{A9A0C2C5-3B3D-4C4E-8F2A-1B2C3D4E5F60}"/>
    </Config>
  </Configs>
</AssignedAccessConfiguration>

Étape 3 — Déployer la configuration Assigned Access via GPO¶

La configuration Assigned Access est stockée dans le registre. Déployez-la via GPP Registry ou un script de démarrage ordinateur.

Méthode 1 : Script de démarrage GPO (recommandé pour les fichiers XML complexes)

# Deploy Assigned Access XML configuration
$xml_source = "\\srv-infra\sysvol\Contoso.com\kiosk\AssignedAccess_SingleApp.xml"
$xml_local  = "C:\Windows\System32\AssignedAccess\kiosk_config.xml"

# Ensure destination directory exists
if (-not (Test-Path (Split-Path $xml_local))) {
    New-Item -ItemType Directory -Path (Split-Path $xml_local) -Force | Out-Null
}

# Copy and apply configuration
Copy-Item -Path $xml_source -Destination $xml_local -Force

# Apply via CIM (Windows 10 1803+ / Windows 11)
$namespace = "root\cimv2\mdm\dmmap"
$class_name = "MDM_AssignedAccess"

try {
    $assigned_access = Get-CimInstance -Namespace $namespace -ClassName $class_name
    $new_config = Get-Content -Path $xml_local -Raw
    Set-CimInstance -CimInstance $assigned_access -Property @{ Configuration = $new_config }
    Write-EventLog -LogName Application -Source "GPO-Kiosk" `
        -EventId 1011 -EntryType Information `
        -Message "Assigned Access configuration applied from: $xml_local"
} catch {
    Write-EventLog -LogName Application -Source "GPO-Kiosk" `
        -EventId 1012 -EntryType Error `
        -Message "Failed to apply Assigned Access: $_"
}

Méthode 2 : GPP Registry (pour configuration simple)

La configuration Assigned Access peut être écrite directement dans le registre pour un déploiement sans script :

Étape 4 — Vérification post-déploiement¶

# Check current Assigned Access configuration via CIM
$namespace = "root\cimv2\mdm\dmmap"
$class_name = "MDM_AssignedAccess"

$config = Get-CimInstance -Namespace $namespace -ClassName $class_name
if ($config.Configuration) {
    Write-Host "[OK] Assigned Access is configured" -ForegroundColor Green
    # Parse to check the kiosk account
    [xml]$xml = $config.Configuration
    $account = $xml.AssignedAccessConfiguration.Configs.Config.Account
    Write-Host "[OK] Kiosk account: $account" -ForegroundColor Green
} else {
    Write-Host "[FAIL] Assigned Access is NOT configured on this machine" -ForegroundColor Red
}

# [OK] Assigned Access is configured
# [OK] Kiosk account: KioskUser

Vérification des Event IDs à surveiller :

# Check Assigned Access events on target machine
Get-WinEvent -LogName "Microsoft-Windows-AssignedAccess/Operational" `
             -MaxEvents 20 | Format-Table TimeCreated, Id, Message -AutoSize

HiDPI et mise à l'échelle pour les applications legacy¶

Le problème des applications non-DPI-aware¶

Windows 10/11 sur écrans haute résolution (4K, 2560×1440) applique une mise à l'échelle automatique. Les applications modernes qui déclarent être DPI-aware gèrent leur propre mise à l'échelle — tout va bien.

Les applications non-DPI-aware (applications Win32 legacy, applications développées avant Windows 8.1) sont "virtualisées" par Windows : Windows leur présente une résolution fictive et agrandit le rendu au niveau GDI. Résultat : polices et boutons flous, voire interface illisible.

Ce problème est particulièrement fréquent dans les parcs avec des applications métier vieillissantes — ERP, logiciels de CFAO, terminaux AS/400.

Paramètre GPO SystemDpiSettings¶

Windows 11 introduit SystemDpiSettings pour forcer le comportement de mise à l'échelle DPI au niveau système.

Paramètre GPMC pour le comportement DPI de l'écran de connexion :

Configuration ordinateur
  └─ Stratégies
       └─ Modèles d'administration
            └─ Système
                 └─ Affichage
                      └─ Paramètres de mise à l'échelle DPI

Surcharge DPI par application via clés de compatibilité¶

Windows permet de forcer un comportement DPI spécifique pour une application individuelle via les clés de compatibilité de registre. Cette approche est chirurgicale : elle n'affecte que l'application ciblée.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers

Exemple de déploiement via GPP Registry :

Pour forcer GDIDPISCALING sur une application legacy legacyapp.exe :

# Force GDI DPI scaling for legacy application
$app_path = "C:\Program Files\LegacyApp\legacyapp.exe"
$reg_key  = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"

if (-not (Test-Path $reg_key)) {
    New-Item -Path $reg_key -Force | Out-Null
}

Set-ItemProperty -Path $reg_key -Name $app_path -Value "GDIDPISCALING DPIUNAWARE" -Type String
Write-Host "[OK] DPI scaling override applied for: $app_path" -ForegroundColor Green

# [OK] DPI scaling override applied for: C:\Program Files\LegacyApp\legacyapp.exe

Vérification globale de la configuration bureau et énergie¶

Une fois les GPO bureau et énergie déployées, un script de vérification centralisé permet de valider l'état de chaque poste.

# Comprehensive audit: desktop GPO and power plan configuration
param(
    [string]$ExpectedPlanGuid = "381b4222-f694-41f0-9685-ff5bb260df2e",
    [string]$ExpectedWallpaper = "C:\Windows\Web\Wallpaper\Corporate\corporate.jpg"
)

$results = @()

# --- Power plan check ---
$active_plan = powercfg /getactivescheme
if ($active_plan -match $ExpectedPlanGuid) {
    $results += "[OK] Power plan: Balanced ($ExpectedPlanGuid)"
} else {
    $results += "[FAIL] Power plan mismatch: $active_plan"
}

# --- Fast Startup check ---
$hiberboot = (Get-ItemProperty `
    "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Power" `
    -Name HiberbootEnabled -ErrorAction SilentlyContinue).HiberbootEnabled
if ($hiberboot -eq 0) {
    $results += "[OK] Fast Startup: disabled"
} elseif ($null -eq $hiberboot) {
    $results += "[WARN] Fast Startup: registry key not found (default = enabled)"
} else {
    $results += "[FAIL] Fast Startup: ENABLED (HiberbootEnabled=$hiberboot)"
}

# --- Wallpaper policy check ---
$wp_policy = (Get-ItemProperty `
    "HKCU:\SOFTWARE\Policies\Microsoft\Windows\Personalization" `
    -Name LockScreenImage -ErrorAction SilentlyContinue).LockScreenImage
if ($wp_policy) {
    $results += "[OK] Wallpaper policy defined: $wp_policy"
} else {
    $results += "[WARN] Wallpaper policy: not configured via GPO"
}

# --- Widgets disable check ---
$widgets = (Get-ItemProperty `
    "HKLM:\SOFTWARE\Policies\Microsoft\Dsh" `
    -Name AllowNewsAndInterests -ErrorAction SilentlyContinue).AllowNewsAndInterests
if ($widgets -eq 0) {
    $results += "[OK] Widgets: disabled"
} else {
    $results += "[WARN] Widgets: not disabled by policy"
}

# --- Assigned Access check ---
try {
    $aa_config = Get-CimInstance -Namespace "root\cimv2\mdm\dmmap" `
                                 -ClassName "MDM_AssignedAccess" `
                                 -ErrorAction Stop
    if ($aa_config.Configuration) {
        $results += "[OK] Assigned Access: configured"
    } else {
        $results += "[INFO] Assigned Access: not configured (non-kiosk machine)"
    }
} catch {
    $results += "[INFO] Assigned Access: CIM class not available"
}

# --- Chassis type (for power plan targeting validation) ---
$chassis = (Get-WmiObject Win32_SystemEnclosure).ChassisTypes
$results += "[INFO] Chassis type: $chassis"

# --- Output ---
$results | ForEach-Object {
    $color = if ($_ -match "^\[OK\]") { "Green" }
             elseif ($_ -match "^\[FAIL\]") { "Red" }
             elseif ($_ -match "^\[WARN\]") { "Yellow" }
             else { "Cyan" }
    Write-Host $_ -ForegroundColor $color
}

# [OK] Power plan: Balanced (381b4222-f694-41f0-9685-ff5bb260df2e)
# [OK] Fast Startup: disabled
# [OK] Wallpaper policy defined: C:\Windows\Web\Wallpaper\Corporate\corporate.jpg
# [OK] Widgets: disabled
# [INFO] Assigned Access: not configured (non-kiosk machine)
# [INFO] Chassis type: 3

Références croisées¶

• Loopback Processing GPO — indispensable pour les kiosks Assigned Access en domaine
• Remote Desktop Services via GPO — gestion des bureaux en environnement RDS, profils FSLogix, restrictions de session