Les preferences de registre par GPO¶

Policies vs Preferences : deux mondes differents¶

Jusqu'ici dans ce livre, on a travaille avec des strategies (policies). Ce sont les parametres classiques que l'on trouve dans Modeles d'administration quand on edite une GPO. Vous avez configure des parametres de securite, impose des fonds d'ecran, ajuste Windows Update...

Mais il existe un deuxieme monde, moins connu des debutants : les preferences. Elles sont apparues avec Windows Server 2008, et elles ont revolutionne la facon dont les administrateurs deploient des configurations.

La confusion entre strategies et preferences est l'une des erreurs les plus frequentes chez les administrateurs juniors. Ce chapitre va dissiper cette confusion une bonne fois pour toutes.

L'analogie des regles et des post-it¶

Imaginez un bureau dans une entreprise.

Les strategies (policies), ce sont des regles gravees dans le marbre. Le directeur a fait poser une plaque en metal sur le mur : "Port du badge obligatoire". Tant que la plaque est la, tout le monde obeit. Si un jour on decroche la plaque, la regle disparait. Plus personne n'est oblige de porter le badge.

Les preferences, ce sont des post-it colles sur le bureau. Quelqu'un a ecrit au feutre : "Penser a eteindre la lumiere en partant". C'est une suggestion. Vous pouvez l'ignorer. Et surtout : meme si la personne qui a colle le post-it quitte l'entreprise, le post-it reste colle sur le bureau.

Cette difference est capitale. Relisez-la si necessaire.

Tableau comparatif¶

Le cycle de vie en image¶

Le diagramme ci-dessous montre ce qui se passe quand on lie une GPO, puis quand on la supprime, pour chacun des deux mecanismes :

flowchart TD
    A[GPO creee et liee] --> B{Type de parametre ?}

    B -->|Strategie| C[Valeur ecrite dans\nHKLM/HKCU...Policies...]
    B -->|Preference| D[Valeur ecrite dans\nN'importe ou dans le registre]

    C --> E[GPO supprimee ou dissociee]
    D --> F[GPO supprimee ou dissociee]

    E --> G[Windows nettoie\nautomatiquement la valeur]
    F --> H[La valeur RESTE\ndans le registre]

    G --> I([Registre propre])
    H --> J([Tatouage permanent])

    style G fill:#4caf50,color:#fff
    style H fill:#f44336,color:#fff
    style I fill:#4caf50,color:#fff
    style J fill:#f44336,color:#fff

Ou trouver les preferences dans GPMC ?¶

Ouvrez la console GPMC (gpmc.msc), faites un clic droit sur une GPO et choisissez Modifier. L'editeur de strategie de groupe s'ouvre.

Le chemin exact¶

Les preferences de registre se trouvent a deux endroits, selon que vous ciblez l'ordinateur ou l'utilisateur :

• Configuration ordinateur → Preferences → Parametres Windows → Registre
• Configuration utilisateur → Preferences → Parametres Windows → Registre

Attention a ne pas confondre avec le chemin des strategies :

• Configuration ordinateur → Modeles d'administration → ... (ce sont les strategies)
• Configuration ordinateur → Preferences → Parametres Windows → Registre (ce sont les preferences)

Les deux chemins se trouvent dans le meme editeur, mais ils menent a des mecanismes completement differents. Si vous ne voyez pas le noeud Preferences, verifiez que vous editez bien une GPO de domaine (via GPMC) et non la strategie locale (via gpedit.msc).

Les autres categories de preferences¶

Le noeud Preferences ne contient pas que le registre. Voici un apercu rapide des autres categories disponibles :

Ce chapitre se concentre uniquement sur les preferences de registre. Les autres categories suivent la meme logique (actions, ciblage, tatouage) mais avec des interfaces differentes.

Creer une preference de registre¶

Passons a la pratique. On va creer une preference de registre etape par etape.

C'est tout. La preference sera appliquee au prochain cycle de rafraichissement des GPO (environ toutes les 90 minutes) ou au prochain redemarrage / ouverture de session.

Pour forcer l'application immediate sans attendre le prochain cycle, utilisez la commande suivante dans un terminal administrateur sur le poste cible :

# Force an immediate GPO refresh
gpupdate /force

Les quatre actions¶

Quand vous creez un element de registre, le premier champ a renseigner est l'Action. Il y a quatre choix possibles, et choisir le mauvais est une source d'erreur frequente.

Creer¶

L'action Creer ecrit la valeur de registre uniquement si elle n'existe pas deja.

Si la valeur existe deja (avec une autre donnee, ou le meme type), la preference ne fait rien. Elle passe son tour silencieusement.

Quand l'utiliser ? Quand vous voulez definir une valeur par defaut sans ecraser une configuration existante. Par exemple, definir un parametre par defaut pour une nouvelle application, mais sans toucher aux postes ou l'application a deja ete configuree manuellement.

Remplacer¶

L'action Remplacer est plus agressive. Elle supprime la valeur existante (si elle existe), puis la recree avec les nouvelles donnees.

Si la valeur n'existe pas, elle la cree quand meme.

Quand l'utiliser ? Quand vous voulez etre certain que la valeur a exactement les donnees que vous definissez, en ecrasant tout ce qui existait avant. C'est l'option "table rase".

Mettre a jour (recommandee)¶

L'action Mettre a jour est la plus polyvalente :

• Si la valeur n'existe pas, elle la cree.
• Si la valeur existe deja, elle la met a jour avec les nouvelles donnees.

C'est le meilleur des deux mondes. Elle ne rate jamais sa cible.

Quand l'utiliser ? Dans la grande majorite des cas. C'est l'action recommandee par defaut. Si vous hesitez entre les quatre actions, choisissez Mettre a jour. Vous ne pouvez pas vous tromper avec cette action (sauf si vous ne voulez explicitement pas ecraser une valeur existante).

Supprimer¶

L'action Supprimer fait exactement ce que son nom suggere : elle supprime la valeur de registre ciblee. Si la valeur n'existe pas, la preference ne fait rien.

Vous pouvez aussi supprimer une cle entiere (et toutes ses sous-cles et valeurs) en cochant l'option appropriee.

Quand l'utiliser ? Pour nettoyer des valeurs de registre obsoletes, ou pour annuler l'effet d'une preference precedente (rappelez-vous le tatouage).

L'analogie du coffre-fort¶

Pour memoriser les quatre actions, imaginez un coffre-fort dans lequel vous voulez deposer un document :

• Creer : vous deposez le document seulement si le coffre est vide. S'il y a deja quelque chose dedans, vous repartez sans rien faire.
• Remplacer : vous videz completement le coffre, puis vous deposez votre document. Peu importe ce qu'il y avait avant.
• Mettre a jour : vous deposez votre document. Si le coffre est vide, parfait. S'il y a deja un document, vous le remplacez par le votre. Dans les deux cas, le resultat est le meme.
• Supprimer : vous videz le coffre et vous repartez les mains vides.

Tableau recapitulatif¶

Le ciblage par element (Item-Level Targeting)¶

Voici l'une des fonctionnalites les plus puissantes des preferences, et qui n'existe pas pour les strategies classiques.

Le probleme¶

Imaginez cette situation : vous avez une GPO liee a l'OU "Tous les postes". Mais vous voulez qu'une preference de registre ne s'applique qu'aux PC du service comptabilite. Ou uniquement aux machines sous Windows 11. Ou seulement si le PC a une adresse IP dans la plage 10.0.1.x.

Avec une strategie classique, vous seriez oblige de creer une OU separee et d'y deplacer les objets. Avec les preferences, vous pouvez utiliser le ciblage par element (Item-Level Targeting, ou ILT).

Comment activer le ciblage¶

1. Dans la fenetre de proprietes de l'element de registre, allez dans l'onglet Commun.
2. Cochez la case Ciblage au niveau de l'element.
3. Cliquez sur le bouton Ciblage... qui apparait.
4. La fenetre de l'editeur de ciblage s'ouvre. Cliquez sur Nouvel element pour ajouter une condition.

Les conditions disponibles¶

Voici les conditions de ciblage les plus utiles pour un debutant :

Exemple concret : cibler un groupe¶

Supposons que vous voulez appliquer une preference de registre uniquement aux ordinateurs membres du groupe GRP-PC-Comptabilite :

1. Dans l'onglet Commun de l'element de registre, cochez Ciblage au niveau de l'element.
2. Cliquez sur Ciblage...
3. Cliquez sur Nouvel element → Groupe de securite.
4. Cliquez sur ... (Parcourir) et selectionnez le groupe GRP-PC-Comptabilite.
5. Assurez-vous que l'option L'ordinateur est dans le groupe est selectionnee (et non "L'utilisateur").
6. Cliquez sur OK deux fois pour valider.

La preference ne s'appliquera desormais qu'aux ordinateurs qui sont membres de ce groupe. Tous les autres postes dans l'OU seront ignores pour cet element.

Exemple concret : cibler un systeme d'exploitation¶

Vous voulez deployer une valeur de registre uniquement sur les postes sous Windows 11 (par exemple, un parametre specifique a Windows 11 qui n'existe pas sur Windows 10) :

1. Dans l'onglet Commun, cochez Ciblage au niveau de l'element.
2. Cliquez sur Ciblage...
3. Cliquez sur Nouvel element → Systeme d'exploitation.
4. Dans la liste deroulante Produit, selectionnez Windows 11.
5. Cliquez sur OK deux fois.

Les postes sous Windows 10 ignoreront completement cet element de preference. Aucune erreur, aucun message -- ils passent simplement leur tour.

Les requetes WMI : pour les cas avances¶

La condition Requete WMI est la plus puissante, mais aussi la plus technique. Elle permet de filtrer sur pratiquement n'importe quelle caracteristique du poste : type de chassis (portable vs fixe), taille de la RAM, modele du processeur, etc.

Par exemple, pour cibler uniquement les PC portables :

SELECT * FROM Win32_SystemEnclosure WHERE ChassisTypes = '9' OR ChassisTypes = '10' OR ChassisTypes = '14'

Ne vous inquietez pas si le WMI vous semble opaque pour l'instant. Les conditions les plus courantes (groupe de securite, systeme d'exploitation, plage IP) couvrent 90% des besoins. Vous n'aurez recours au WMI que dans des cas tres specifiques.

Le tatouage : pourquoi les preferences restent¶

C'est LE concept le plus important de ce chapitre. Si vous ne devez retenir qu'une seule chose, c'est celle-ci.

Le probleme en deux phrases¶

Quand vous supprimez ou dissociez une GPO, les strategies disparaissent du registre. Les preferences restent.

C'est ce qu'on appelle l'effet tatouage (tattoo effect en anglais).

Pourquoi ca se passe comme ca ?¶

C'est une question de ou les donnees sont ecrites.

Les strategies ecrivent dans les branches protegees du registre :

• HKLM\SOFTWARE\Policies\...
• HKCU\SOFTWARE\Policies\...

Windows sait que tout ce qui est dans ces branches est "gouverne" par une GPO. Quand la GPO est supprimee, le moteur GPO fait le menage automatiquement dans ces branches.

Les preferences, en revanche, ecrivent dans les branches normales du registre :

• HKCU\Software\Microsoft\Windows\CurrentVersion\...
• HKLM\SOFTWARE\MonApplication\...
• N'importe quel autre chemin que vous definissez

Windows ne sait pas que ces valeurs viennent d'une GPO. Elles ressemblent exactement a des valeurs ecrites manuellement. Quand la GPO est supprimee, Windows ne touche a rien -- il n'a aucun moyen de savoir que ces valeurs etaient gerees par une preference.

L'analogie du tatouage¶

C'est comme un vrai tatouage sur la peau.

Une strategie, c'est un bracelet temporaire de festival. Quand le festival est fini (la GPO est supprimee), vous enlevez le bracelet et il ne reste aucune trace.

Une preference, c'est un tatouage. Meme si vous quittez le festival (la GPO est supprimee), le tatouage reste sur votre bras. Pour l'enlever, il faut une intervention specifique (laser, c'est-a-dire une action de suppression).

Comment eviter le tatouage ?¶

Deux solutions :

Solution 1 : l'option "Supprimer cet element quand il ne s'applique plus"

Dans l'onglet Commun de chaque element de preference, il existe une case a cocher : Supprimer cet element quand il ne s'applique plus. Si vous cochez cette case, la valeur de registre sera automatiquement supprimee quand la GPO est dissociee ou quand le ciblage ILT ne correspond plus.

C'est la methode recommandee. Prenez l'habitude de cocher cette case systematiquement.

Solution 2 : creer une preference de suppression

Si le tatouage est deja la (vous avez oublie de cocher la case, ou l'ancien administrateur ne l'avait pas fait), vous pouvez creer un nouvel element de registre avec l'action Supprimer qui cible la meme valeur. Deployez cette preference temporairement, attendez un cycle de rafraichissement, puis supprimez-la.

Verifier si un tatouage existe¶

Pour savoir si une valeur de registre est un "tatouage" laisse par une ancienne preference, la methode la plus simple est de verifier avec PowerShell :

# Check if a suspicious registry value exists outside the Policies branch
Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name "ProxyServer" -ErrorAction SilentlyContinue

Si la valeur existe et qu'aucune GPO active ne la gere (verifiez avec gpresult /r), c'est probablement un tatouage.

Le tableau avant/apres¶

Trois exemples pratiques¶

Passons a trois cas concrets que vous rencontrerez frequemment en entreprise. Chaque exemple suit le meme schema : contexte, configuration, verification.

Chaque exemple suit le meme schema en quatre etapes :

1. Contexte : pourquoi on fait ca
2. Configuration : les valeurs exactes a saisir (sous forme de tableau)
3. Pas a pas : les clics dans GPMC
4. Verification : la commande PowerShell pour confirmer que ca fonctionne

Exemple 1 : Definir la page d'accueil de Microsoft Edge¶

Contexte : Vous souhaitez que tous les navigateurs Edge de l'entreprise s'ouvrent sur le portail intranet https://intranet.entreprise.fr. Vous preferez utiliser une preference plutot qu'une strategie car vous voulez que les utilisateurs puissent modifier cette page d'accueil s'ils le souhaitent.

Configuration de la preference :

Verification : Apres un gpupdate /force sur le poste cible, ouvrez PowerShell et executez :

# Verify the Edge homepage registry value
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "HomepageLocation" -ErrorAction SilentlyContinue

Le resultat doit afficher https://intranet.entreprise.fr. Si la commande ne retourne rien, verifiez que le gpupdate /force a bien ete execute et que la GPO est bien liee a l'OU contenant le poste.

Exemple 2 : Configurer un proxy¶

Contexte : L'entreprise utilise un proxy pour l'acces Internet. Vous devez configurer automatiquement les parametres proxy sur tous les postes utilisateurs.

Configuration de la preference : Cet exemple necessite trois elements de registre dans la meme GPO.

Element 1 : Activer le proxy

Element 2 : Definir l'adresse du proxy

Element 3 : Definir les exceptions (sites locaux qui ne passent pas par le proxy)

Verification :

# Verify proxy settings in the current user registry
Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" |
    Select-Object ProxyEnable, ProxyServer, ProxyOverride

Exemple 3 : Desactiver la premiere execution de Edge¶

Contexte : A chaque premiere ouverture de Microsoft Edge sur un nouveau profil, une serie d'ecrans de bienvenue s'affiche : choix du navigateur par defaut, importation de favoris, configuration de la page d'accueil... Sur un parc de 500 postes, c'est 500 appels au support parce que les utilisateurs ne savent pas quoi repondre.

Vous voulez supprimer ces ecrans automatiquement.

Configuration de la preference :

Verification :

# Verify the Edge first-run experience is disabled
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "HideFirstRunExperience" -ErrorAction SilentlyContinue

La valeur doit etre 1. Au prochain lancement de Edge, l'ecran de premiere execution ne s'affichera plus. Testez en ouvrant Edge : si vous ne voyez plus l'assistant de premiere configuration, c'est que la preference fonctionne.

Preferences vs Policies : quand utiliser quoi ?¶

Maintenant que vous connaissez les deux mecanismes, voici un guide de decision rapide.

Le tableau de decision¶

La regle d'or¶

Si un modele ADMX existe pour votre parametre, utilisez la strategie. Sinon, utilisez la preference.

C'est la regle la plus simple et la plus fiable. Les strategies sont plus propres, plus securisees, et se nettoient automatiquement. Les preferences sont un outil complementaire pour les cas ou les strategies ne suffisent pas.

Exemple de prise de decision¶

Vous devez deployer un parametre pour Google Chrome. Voici le raisonnement :

1. Est-ce que Google fournit des modeles ADMX pour Chrome ? Oui, ils sont disponibles en telechargement sur le site de Google.
2. Le parametre que je cherche existe-t-il dans ces modeles ? Je verifie dans l'editeur GPO apres avoir importe les ADMX.
3. Si oui → j'utilise la strategie via les Modeles d'administration.
4. Si non → j'utilise une preference de registre qui ecrit directement dans la branche de Chrome.

Ce raisonnement en trois questions vous guidera a chaque fois.

Bonnes pratiques¶

Avant de parler des erreurs, voici les bonnes habitudes a prendre des le depart.

Nommez vos elements¶

Par defaut, chaque element de registre dans une preference porte un nom generique comme "Element Registre". Si votre GPO contient 15 elements, vous ne saurez plus lequel fait quoi.

Dans l'onglet Commun, decochez la case Interrompre le traitement des elements si une erreur se produit sur cet element et prenez surtout l'habitude de nommer vos elements de maniere descriptive en ajoutant un commentaire dans le champ Description. Par exemple : "Proxy - Activer", "Proxy - Adresse", "Edge - Desactiver FirstRun".

Un GPO par fonction¶

Ne mettez pas toutes vos preferences dans une seule GPO geante. Creez une GPO par fonction metier :

• GPO-PREF-Proxy : les preferences liees au proxy
• GPO-PREF-Edge : les preferences liees a Edge
• GPO-PREF-Comptabilite : les preferences specifiques au service comptabilite

Cela facilite le diagnostic, la maintenance et le ciblage.

Documentez le "pourquoi"¶

Utilisez le champ Description de l'onglet Commun pour noter pourquoi vous avez cree cette preference. Par exemple : "Demande du service reseau - ticket INC-2024-0456 - proxy obligatoire pour acces Internet". Dans six mois, quand quelqu'un (ou vous-meme) se demandera pourquoi cette preference existe, la reponse sera dans la description.

Cochez toujours la case anti-tatouage¶

On l'a deja dit et on le redit : cochez systematiquement la case "Supprimer cet element quand il ne s'applique plus" dans l'onglet Commun. Il n'y a quasiment aucune raison de ne pas le faire.

Erreurs courantes¶

Voici les quatre erreurs que l'on retrouve le plus souvent chez les administrateurs qui decouvrent les preferences de registre.

Oublier le tatouage¶

C'est l'erreur numero un. L'administrateur cree une preference, la deploie, puis un jour decide de supprimer la GPO en pensant que le parametre va disparaitre.

Le resultat : la valeur de registre reste sur tous les postes. Sur des centaines de machines. Et il faut maintenant deployer une nouvelle preference avec l'action Supprimer pour nettoyer le tatouage.

La prevention : cochez systematiquement la case "Supprimer cet element quand il ne s'applique plus" dans l'onglet Commun.

Utiliser "Creer" au lieu de "Mettre a jour"¶

L'administrateur choisit l'action Creer pour deployer une valeur de registre. Sur les postes neufs, tout fonctionne. Mais sur les postes ou la valeur existait deja (ancienne configuration, modification manuelle...), la preference ne fait rien.

Le resultat : une partie du parc a la bonne configuration, l'autre garde l'ancienne. L'administrateur cherche un probleme de GPO alors que le probleme est dans le choix de l'action.

La prevention : utilisez Mettre a jour par defaut. Reservez Creer aux cas ou vous voulez explicitement ne pas ecraser une valeur existante.

Se tromper de type de donnees¶

L'administrateur ecrit une valeur REG_SZ (chaine de texte) la ou l'application attend un REG_DWORD (nombre), ou inversement.

Le resultat : la valeur est bien presente dans le registre, mais l'application ne la lit pas correctement. Aucun message d'erreur cote GPO, aucun message d'erreur cote application. Le parametre semble "ne pas marcher".

La prevention : verifiez toujours le type attendu dans la documentation de l'application. En cas de doute, regardez ce que l'application ecrit elle-meme quand on configure le parametre manuellement (via regedit ou PowerShell).

Oublier de tester le ciblage ILT¶

L'administrateur configure un ciblage ILT (par exemple, "appliquer uniquement aux membres du groupe GRP-PC-Comptabilite"), mais ne teste pas sur un poste cible. Il decouvre trois jours plus tard que le ciblage ne fonctionne pas parce que les ordinateurs n'ont pas ete ajoutes au bon groupe, ou parce que la condition est inversee.

Le resultat : la preference ne s'applique a aucun poste (ou s'applique a tous les postes, ce qui est encore pire).

La prevention : testez toujours sur un seul poste dans votre OU de test avant de deployer largement. Utilisez gpresult /r pour verifier si la preference est bien evaluee. Regardez la section "Extensions Client (CSE)" du rapport -- les preferences de registre doivent y apparaitre.

Ne pas utiliser l'onglet Commun¶

L'onglet Commun est souvent ignore par les debutants. C'est pourtant la que se trouvent les options les plus importantes :

• Supprimer cet element quand il ne s'applique plus (anti-tatouage)
• Appliquer une seule fois et ne plus reappliquer (utile pour les valeurs que l'utilisateur doit pouvoir modifier durablement)
• Ciblage au niveau de l'element (ILT)
• Description (documentation)

Prenez l'habitude de toujours passer par cet onglet avant de cliquer sur OK.

Recapitulatif du chapitre¶

Voici un tableau de synthese de tout ce que vous avez appris dans ce chapitre :

Les commandes de verification essentielles¶

Voici les commandes PowerShell a garder sous la main pour diagnostiquer vos preferences :

# Force GPO refresh and see what happens
gpupdate /force

# Display all applied GPOs for the current user and computer
gpresult /r

# Generate a detailed HTML report of all applied GPOs
gpresult /h C:\Temp\gpo-report.html

# Check a specific registry value
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "HomepageLocation" -ErrorAction SilentlyContinue

# List all values in a registry key
Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

Dans le chapitre 11, on verra comment sauvegarder vos GPO avant toute modification -- parce que meme les meilleurs administrateurs font des erreurs, et une bonne sauvegarde permet de revenir en arriere en quelques clics.