Challenges/A406
A406

Atelier A406 26/11/2025

GPOPowerShell
Retour au cours

Atelier A406 26/11/2025

Pitch de l’exercice 🧑‍🏫

1

2

3

1. RĂ©cap

  • CrĂ©er 2 nouvelles promos GS et un utilisateur dans chaque
  • CrĂ©er leurs dossiers partagĂ©s et les configurer pour chaque promo, quotas de 30Go, fichiers .divx interdits
  • Ajouter une GPO Verrou NUM pour tous + Politique MDP 30 jours
  • Ajouter une GPO Fond d'Ă©cran diffĂ©rent pour chaque Promo
  • DĂ©sactiver la connexion des Ă©tudiants Zinc et Basilic Ă  partir de 17h jusqu’à 8h00 (dans l'AD)
  • Bonus : Installer un Navigateur via GPO (.msi)
  • Bonus extreme : mise en place de profils itinĂ©rants et installation de VSCode / / Bonus perso : Installer Clink Terminal

2. Nouvelles promos

Création de l'utilisateur et ajout à son GS

GS

Ajout des promos au GS Promos général

promos

3. Dossiers partagés et règles

Création des dossiers partagés des promos et pour les fonds d'écran et programmes à installer je vais créer un dossier caché Adminfile$

partage dossier

partages

Création d'un Quota 30 Go dans le gestionnaire de ressources du serveur de fichiers

Modèle

Quotas

Mappage des nouveaux Dossiers en Lecteurs dans la GPO Drives avec Ciblage des GS concernés

mappage

Filtre : Interdire les fichiers DIVX (nostalgie)

divx

filtres

4. GPO Verrou NUM et MDP

  • Pour la GPO MDP, sur les promos Correction : elle ne fonctionne pas dans une UO, il faut la mettre Ă  la racine pour dans la Default Policies

Config Ordi > Strat > Paramètres Windows > Paramètres de sécurité > Stratégies de compte > Stratégie de mot de passe

MDP

De nos jours l'ANSSI recommande plutĂ´t :

Un MDP fort : 15+ caractères avec majuscules, minuscules, chiffres, caractères spéciaux. Une Rotation moins fréquente : changement s'il y a une suspicion de piratage ou alors très rarement (ex: tous les 6 mois ou 1 an). La MFA (Authentification Multi-Facteurs) : C'est la vraie sécurité aujourd'hui. Un mot de passe volé ne sert à rien sans le téléphone/2FA de l'utilisateur.

  • Pour la GPO Verrou NumĂ©rique, on va l'appliquer Ă  tous les utilisateurs, directement sur l'ordinateur.

Config Ordi > Pref > Paramètres Windows > Registre : Nouvel élément de registre

\HKEY_USERS.DEFAULT\Control Panel\Keyboard : modifier avec la valeur 2 la ligne InitialKeyboardIndicators

vernum

  • On va profiter de cette règle GĂ©nĂ©rale pour empĂŞcher les Utilisateurs de modifier le futur Wallpaper :

Config Util > Strat > Modèles d'admin > Panneau de configuration > Personnalisation > Empêcher de modifier l'arrière plan du bureau

  • Et bloquer le Windows Update de nos VM :

Config Util > Strat > Modèles d'admin > Système > Mise à jour automatiques de Windows

Voilà ce que ça donne dans l'arborescence des GP

GPOs

5. Fonds d'Ă©cran

Pour chaque promo on va créer une image personnalisée avec le nom de cette dernière dans un coin

On va ajouter la GPO Bureau pour chaque promo avec son image personnalisée

walpp

GPOs

  • Test pour Alice Martin de la Promo Basilic, Drives OK, Filtre DIVX OK, Wallpaper perso OK.

test

6. Limite horaires de connexion

On peut créer des plages horaire dans le profil de chaque utilisateur (on peut sélectionner tout un groupe avec Ctrl+A par ex pour aller plus vite)

horaires

Attention, un utilisateur qui se connecte à 16h55 pourra continuer de travailler après l'horaire définit, il faut faire une GPO "Force Logoff" appliquée aux 2 promos concernées

Config Ordi > Strat > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité : Serveur réseau : déconnecter les clients à l'expiration des horaires d'accès

logoff

7. Bonus : Installer Firefox par GPO

đź“š Ressources :

Logiciel .msi par GPO - ITconnect : https://www.it-connect.fr/comment-deployer-un-logiciel-au-format-msi-par-gpo/

Pour installer un programme par GPO, on télécharge l'intall Firefox.msi, on le met dans le dossier Adminfile$

On va dans la GPO : Confi ordi > Strat > Paramètres du logiciel > Installation de logiciel

GPO

On autorise les ordinateurs du domaine a accéder au dossier Adminfile$

admin

On doit placer la GPO dans le domaine et pas dans une Unité d'Organisation

GPO

Un gpupdate ou un reboot pour l'activer

Gpupdate

C'est bon !

FirefoxOK

8. Bonus extreme

Profils Itinérants

đź“š Ressources :

Profils itinérants - ITconnect : https://www.it-connect.fr/active-directory-creer-des-profils-itinerants-pour-ses-utilisateurs/

Profils itinérants - RDRit : https://rdr-it.com/configurer-profils-itinerants-environnement-ad/ Création d'un groupe de sécurité "GS_Roaming_profil_users" contenant nos promos

GS Roaming

Création du dossier de partage pour les profils itinérants dans le dossier Shares : "Profil" avec un $ pour le masquer

Dossier

Partage Avancé du dossier aux Utilisateurs Authentifiés seulement, et gestions des Autorisations dans Sécurité, ajout du groupe GS_Roaming

Autorisations

Création d'une GPO pour que les Admin aient accès aux dossiers de roaming

Config ordi > Strat > Modèles d’administration > Système > Profils utilisateur

admin

Ajout du Profil itinérant par utilisateur dans l'AD, pour chaque utilisateur le chemin sera : \WS2025\Profil$%username%

profil

Je déco/reco mon Utilisateur (Alice Martin) et je peux voir que le dossier itinérant s'est bien créé!

roamingok

Mon admin à bien accès aux dossiers Roaming des différents Utilisateurs

admin

VScode

đź“š Ressources :

Deployment VScode : https://github.com/letsdoautomation/group-policy/tree/main/Deploy%20Visual%20Studio%20Code

Installer un .EXE par GPO - ITconnect : https://www.it-connect.fr/comment-deployer-un-logiciel-au-format-exe-par-gpo/

  • VScode

On va créer un script pour l'installer, avec le fichier .exe dans notre dossier \WS2025\Adminfile$\

script

Création de la GPO pour lancer le script

Config ordi > Strats > Paramètres Windows > Scripts (démarrage/arrêt)

GPO

J'autorise Ă©galement les scripts locaux dans Powershell

Config ordi > Strats > Modèles d'admin > Composants Windows > Microsoft Powershell

GPO

Après 3h d'essai de multiples tentatives de scripts via le dossier partagé, de scripts dans la GPO, de scripts Winget ou autres.... ça ne fonctionne pas. La machine des utilisateurs à planté, un Snapshot d'avant l'atelier pour la récupérer à fait bug tout ce que j'avais mis en place sûrement à cause des dossiers de roaming.

fail

Je les ai effacés, refait un gpupdate, redémarré, tout est rentré dans l'ordre.

Par contre toujours pas de VScode. Vu le log du script il semble pourtant bien installé mais impossible de mettre la main dessus :

log

Test avec un script bat

bat

Toujours pas...

Correction : DĂ©ployer VScode via 2 GPO https://github.com/letsdoautomation/group-policy/tree/main/Deploy%20Visual%20Studio%20Code

  • GPO > Util > Pref > Win > Fichier : Ajout : Mettre Ă  jour

source : \WS2025\Adminfile$\VSCodeUserSetup-x64-1.106.3.exe

destination : C:\deployment\VSCode\VSCodeUserSetup-x64-1.106.3.exe

ciblage : Clé de registre existe, Option : N'est pas. Chemin : Software\Microsoft\Windows\CurrentVersion\Uninstall{771FD6B0-FA20-440A-A002-3B3BAC16DC50}_is1

C'est une vérification du registre pour voir si VScode est installé ou pas.

  • GPO > Util > Pref > Win > Registre : Ajout : Mettre Ă  jour

Chemin : Software\Microsoft\Windows\CurrentVersion\RunOnce

Nom : InstallVSCode

Données de valeur : %CommonAppdataDir%\deployment\VSCode\VSCodeUserSetup-x64-1.106.3.exe /VERYSILENT /NORESTART /SUPPRESSMSGBOXES /MERGETASKS=!runcode,desktopicon

Ciblage : IDEM

OK!!!

OK

Précédent

A405

Suivant

A408