Comment utiliser l’éditeur de stratégie de groupe local de Windows (gpedit.msc)

L’éditeur de stratégie de groupe n’est disponible que dans les versions Pro de Windows et est absent dans les versions Home et Premium.

Vous pouvez toujours télécharger et installer gpedit.msc sous Windows 10, 7 et 8 Home.

En général, il n’y a aucune raison d’aller toucher ces critères de groupe sur un ordinateur personnel, mais il est quand même important de savoir comment y accéder et ce que vous pouvez faire pour ne pas rester pris au dépourvu au cas où un changement est nécessaire.

Par exemple, les stratégies de groupe sont utiles pour configurer la sécurité sur un réseau d’entreprise afin de bloquer certains changements sur tous les ordinateurs ou empêcher les utilisateurs d’exécuter des logiciels non approuvés.

Pour ouvrir l’éditeur de stratégie de groupe sous Windows, vous devez ouvrir une fenêtre Exécuter en appuyant sur les touches R de Windows, puis écrire et exécuter la commande gpedit.msc .

La fenêtre qui s’ouvre est similaire à n’importe quel autre outil d’administration, avec une arborescence hiérarchique de dossiers qui contiennent chacun de nombreux paramètres.

Les réglages sont vraiment nombreux, mais toujours décrits en détail.

Les dossiers principaux sont deux : Configuration de l’ordinateur, avec des paramètres qui affectent le comportement du système pour tous les utilisateurs et Configuration de l’utilisateur, pour changer le comportement de Windows selon l’utilisateur qui l’utilise.

Sous les deux dossiers principaux, il y a trois sections :

– paramètres du logiciel, où vous pouvez créer de nouvelles configurations personnalisées.

– Paramètres Windows est un dossier qui contient les paramètres de sécurité et les scripts de démarrage/arrêt.

– Modèles d’administration, avec des configurations basées sur le registre qui est la partie sur laquelle il est le plus facile d’intervenir, avec de nombreuses options disponibles.

Paramètres de sécurité (quelques exemples)

Pour donner un exemple de ce que vous pouvez faire pour restreindre la sécurité de l’ordinateur au niveau utilisateur, allez dans Configuration utilisateur – Modèles administratifs – Système et double-cliquez sur le paramètre « Empêcher l’accès à l’invite de commande ».

Dans la fenêtre qui s’ouvre, vous pouvez activer le contrôle, puis appuyer sur Appliquer pour bloquer l’accès à l’invite de commande pour tous les utilisateurs du PC.

Une autre option dans le même dossier vous permet de créer des programmes qui peuvent être ouverts sur votre ordinateur.

Double-cliquez sur « Exécuter uniquement les applications Windows spécifiées », activez et indiquez ensuite les programmes à autoriser.

Tout le reste est maintenant bloqué.

Sous Configuration de l’ordinateur – Paramètres Windows – Paramètres de sécurité – Stratégies locales – Options de sécurité des dossiers, vous trouverez de nombreux paramètres utiles pour rendre votre ordinateur un peu plus protégé si vous le souhaitez.

Par exemple, vous pouvez renommer le compte Administrateur et le compte Invité et vous pouvez choisir d’activer la demande de justificatif d’identité en « Contrôle du compte utilisateur : comportement de la demande d’élévation des privilèges des administrateurs » pour vous demander de saisir le mot de passe à chaque fois que vous essayez d’effectuer quelque chose en mode Administrateur.

Avec cette option, Windows devient plus sûr et similaire à Linux et Mac, où l’on vous demande de fournir votre mot de passe chaque fois que vous devez faire un changement.

Avec contrôle du compte utilisateur : n’élève que les fichiers exécutables signés et validés vers des applications qui ne sont pas signées numériquement pour fonctionner en tant qu’administrateur.

Restore Console, permet l’accès automatique à l’administration pour éviter les demandes de mot de passe lors de l’utilisation de la Restore Console pour effectuer des opérations système.

Comme vous le remarquerez, il y a un grand nombre de paramètres dans l’éditeur Group Criteria, donc, par curiosité, cela vaut vraiment la peine de passer du temps à les regarder.

La plupart des paramètres vous permettent de désactiver les fonctions de Windows que vous ne voulez pas utiliser.

Il est à noter que bon nombre des politiques de la liste ne s’appliquent pas à toutes les versions de Windows.

Un autre exemple de ce que vous ne pouvez faire qu’en utilisant l’éditeur Group Criteria ou le créer un script que vous exécutez après une déconnexion ou un arrêt, chaque fois que vous redémarrez votre PC.

Cela peut être utile pour nettoyer votre système ou faire une sauvegarde rapide de certains fichiers chaque fois que vous éteignez votre ordinateur, et vous pouvez utiliser des fichiers batch ou même des scripts PowerShell pour les deux.

La seule mise en garde est que ces scripts doivent être exécutés en arrière-plan sinon le processus de déconnexion serait bloqué.

Il existe deux types de scripts différents que vous pouvez exécuter.

Démarrer/arrêter les scripts dans Configuration de l’ordinateur – Paramètres Windows – Scripts et fonctionneront avec le compte système local, afin qu’ils puissent manipuler les fichiers système, mais pas comme des comptes utilisateur.

Scripts de connexion / déconnexion dans Configuration utilisateur – Paramètres Windows – Scripts.

Les scripts d’accès et de déconnexion n’autorisent pas l’exécution de commandes qui nécessitent un accès administrateur s’il n’y a pas d’UAC complètement désactivé.

Il est à noter que les mêmes tâches peuvent être programmées dans le planificateur, l’un des outils d’administration du Panneau de contrôle, qui est beaucoup plus facile à utiliser.

L’éditeur de stratégies de groupe est si riche qu’il sera impossible de trouver un guide complet et exhaustif sur ce qui est le mieux à modifier.

Dans d’autres articles, je les ai remis en question à propos de :

– Comment désactiver le Skydrive sous Windows 8.1 (ou le cacher)

– Activer Bitlocker sous Windows 7

– Activation du mode Entreprise dans Internet Explorer 11

– Désactiver le contrôle UAC sous Windows 7 et 8