View
3
Download
0
Category
Preview:
Citation preview
Bodin Aurore – Février 2017
TUTORIEL Ajout des GPOs Windows 10 sur Windows 2012
Server R2 et préparation d’un master Windows 10
1 | P a g e Bodin Aurore – Février 2017
Sommaire
Ajout des GPOs Windows 10 sur Windows 2012 Server R2 ……………….…….…p2-4
- Création d’un magasin central………………………………………………………………..p2
- Installation des GPOs Windows 10…………………………………………..………….…p3-4
- Erreur “supported_vista_through_win7”……………………………………………….p4
Création d’un master Windows 10…………………………………………………………….p5-11
- Désinstallation des applications natives et fonctionnalités superflu……………...p5-6
- GPOs mises en place pour restreindre le bureau et l’explorateur de fichiers.…p6-11
o Bloquer les outils d’administration………………………………………….…p6
o Bloquer Paramètres du PC et le panneau de configuration……..…p6
o Menu démarrer et barre des tâches………………………………………….p6-8
o Supprimer icône « Bureaux virtuels »………………………………………..p8
o Supprimer la barre de recherche de la barre des tâches………..…p9
o Masquer le lecteur C……………………………………………………………..…p9
o Supprimer les liens dans l’Explorateur de fichiers…………………....p9
o OneDrive……………………………………………………………………………...…p9-11
2 | P a g e Bodin Aurore – Février 2017
Ajout des GPOs Windows 10 sur Windows 2012
server R2
Création d’un magasin central :
- Sur votre contrôleur de domaine, créez le dossier « PolicyDefinitions » dans le
partage « \\votre_serveur\SYSVOL\votre_nom_de_domaine\Policies » :
- Vous venez de créer un magasin central. Celui-ci vous permettra d’ajouter
aisément les nouvelles GPOs dont vous avez besoin qui ne sont pas de base sur
votre serveur. Ce dossier contiendra donc tous les nouveaux modèles
d’administrations.
3 | P a g e Bodin Aurore – Février 2017
Installation des GPOs Windows 10 :
1) Téléchargez les GPOs Windows 10 à cette adresse : http://www.microsoft.com/fr-
FR/download/details.aspx?id=48257
2) Lancez l’installation -> il est préférable de créer un dossier d’installation pour stocker
les GPOs avant l’intégration au magasin central :
3) Faites un copier-coller de tous les fichiers .admx ainsi que du dossier « en-US » et « fr-
FR » dans « \\votre_serveur\SYSVOL\votre_nom_de_domaine\Policies\
PolicyDefinitions » :
4 | P a g e Bodin Aurore – Février 2017
4) Vérifiez l’ajout des GPOs à partir de l’éditeur de gestion des stratégies de groupe :
Erreur “supported_vista_through_win7” :
Il se peut que ce message d’erreur apparaissent lorsque vous souhaitez modifier votre
GPO : « La ressource “ $(string.supported_vista_through_win7) “ référencée dans l’attribut
displayName est introuvable ! »
Cette erreur est dû au fait qu’il manque une ligne dans le fichier
PreviousVersions.adml dans le dossier :
\\votre_serveur\SYSVOL\votre_nom_de_domaine\Policies\PolicyDefinitions\fr-FR »
Afin de corriger cela, il suffit d’y ajouter cette ligne : <string
id="SUPPORTED_Vista_through_Win7">Supported Windows Vista through Windows
7</string> :
5 | P a g e Bodin Aurore – Février 2017
Création d’un master Windows 10
Désinstallation des applications natives et fonctionnalités superflus :
1) Supprimez toutes les tuiles dans le Menu Démarrer
2) Utilisez les deux scripts disponibles à ces adresses :
o https://gist.github.com/alirobe/7f3b34ad89a159e6daa1
o http://pastebin.com/gQxCUkLP
Ils vont vous permettre de supprimer toutes les applications installées par défaut lors
de l’installation de Windows 10 telles que Windows Store, OneDrive, Twitter, Contact, etc. Ces
scripts vont également désactiver les fonctionnalités indésirables de Windows 10 comme
Cortana, Feedback, le filtre SmartScreen, etc.
3) Certaines applications auront besoin d’être supprimer à la main dans
« C:\Windows\SystemApps\ » (Attribuez-vous le contrôle total sur tout le dossier et
son contenu sinon vous ne pourrez pas le supprimer !) :
o Contact Support : ContactSupport_cw5n1h2txyewy
o Cloud Experience :
Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
o Xbox : Microsoft.XboxGameCallableUI_cw5n1h2txyewy ;
Microsoft.XboxGameCallableUI_cw5n1h2txyewy
o Feedback : WindowsFeedback_cw5n1h2txyewy
o Microsoft EDGE : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
o Content Delivery Manager :
Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy
o Biometry : Microsoft.BioEnrollment_cw5n1h2txyewy
4) Supprimez Cortana définitivement :
o Rendez-vous dans le dossier « C:\Windows\SystemApps\ » et supprimez
tout ce que vous pouvez dans le dossier
« Microsoft.Windows.Cortana_cw5n1h2txyewy »
o Ouvrez le « Gestionnaire de tâches », fermez Cortana et supprimez
rapidement « searchUI.exe »
6 | P a g e Bodin Aurore – Février 2017
o Supprimez tout le
dossier « Microsoft.Windows.Cortana_cw5n1h2txyewy »
o Attention ! -> Cortana se trouve aussi dans le dossier
« C:\Windows\SystemResources ! Supprimez le dossier
« Windows.UI.Cortana.Persona »
GPOs mises en place pour restreindre le bureau et l’explorateur de
fichiers :
Bloquer les outils d’administration :
- Configuration utilisateur > Stratégies > Modèles d’administration > Système >
Options Ctrl + Alt + Suppr :
o Désactiver la modification du mot de passe [ACTIVER]
o Supprimer le Gestionnaire de tâches [ACTIVER]
- Configuration utilisateur > Stratégies > Modèles d’administration > Système :
o Désactiver l’accès à l’invite de commandes [ACTIVER]
o Empêche l’accès aux outils de modification du registre [ACTIVER]
Bloquer Paramètres du PC et le panneau de configuration :
- Configuration utilisateur > Stratégies > Modèles d’administration > Panneau de
configuration :
o Interdire l’accès au panneau de configuration et à l’application Paramètres
du PC [ACTIVER]
Menu démarrer et barre des tâches :
- Configuration utilisateur > Stratégies > Modèles d’administration > Menu démarrer
et barre des tâches > Notifications :
o Désactiver les appels durant les Heures creuses [ACTIVER]
o Désactiver les notifications toast sur l’écran de verrouillage [ACTIVER]
o Désactiver les heures creuses [ACTIVER]
o Désactiver les notifications par vignette [ACTIVER]
o Désactiver les notifications toast [ACTIVER]
7 | P a g e Bodin Aurore – Février 2017
- Configuration utilisateur > Stratégies > Modèles d’administration > Menu
Démarrer et barre des tâches :
o Effacer l’historique des documents récemment ouverts en quittant
[ACTIVER]
o Effacer la liste des programmes récents pour les nouveaux utilisateurs
[ACTIVER]
o Effacer l’historique des notifications par vignette en quittant [ACTIVER]
o Ajouter l’option Fermeture de session au menu Démarrer [ACTIVER]
o Verrouiller la Barre des tâches [ACTIVER]
o Supprimer les infobulles sur les éléments du menu Démarrer [ACTIVER]
o Empêcher les utilisateurs de personnaliser leur écran de démarrage
[ACTIVER]
o Supprimer le menu Favoris du menu Démarrer [ACTIVER]
o Supprimer le lien Rechercher du menu Démarrer [ACTIVER]
o Supprimer la liste de programmes fréquents du menu Démarrer [ACTIVER]
o Supprimer le lien Jeux du menu Démarrer [ACTIVER]
o Supprimer le menu Aide du menu Démarrer [ACTIVER]
o Désactiver le suivi utilisateur [ACTIVER]
o Supprimer la liste Tous les programmes du menu Démarrer [ACTIVER]
o Supprimer la liste de programmes en attente du menu Démarrer [ACTIVER]
o Supprimer le menu Documents récents du menu Démarrer [ACTIVER]
o Supprimer le menu Exécuter du menu Démarrer [ACTIVER]
o Supprimer le lien Programmes par défaut du menu Démarrer [ACTIVER]
o Supprimer l’icône Réseau du menu Démarrer [ACTIVER]
o Supprimer le lien vers la recherche d’ordinateurs [ACTIVER]
o Ne pas rechercher sur Internet [ACTIVER]
o Ne pas rechercher les programmes et les éléments du Panneau de
configuration [ACTIVER]
o Supprimer les programmes du menu Paramètres [ACTIVER]
o Empêcher la modification des paramètres de la barre des tâches et du menu
Démarrer [ACTIVER]
o Supprimer le lien Groupe résidentiel du menu Démarrer [ACTIVER]
o Supprimer le lien TV enregistrée du menu Démarrer [ACTIVER]
o Supprimer l’accès aux menus contextuels pour la barre des tâches
[ACTIVER]
o Masquer la zone de notifications [ACTIVER]
o Empêcher les utilisateurs de désinstaller les applications à partir de l’écran
de démarrage [ACTIVER]
o Supprimer les liens et l’accès à Windows Update [ACTIVER]
o Changer le bouton d’alimentation du menu Démarrer (Fermeture de
session) [ACTIVER]
o Supprimer le bouton “Retirer” du menu Démarrer [ACTIVER]
o Supprimer les notifications et le centre de maintenance [ACTIVER]
8 | P a g e Bodin Aurore – Février 2017
o Désactiver l’affichage des bulles de notification sous forme de toasts
[ACTIVER]
o Supprimer l’icône Sécurité et maintenance [ACTIVER]
o Désactiver les bulles de notification d’annonce de fonctionnalité [ACTIVER]
o Ne pas autoriser l’épinglage de l’application Windows Store à la barre des
tâches [ACTIVER]
o Ne pas autoriser l’épinglage d’éléments aux listes de raccourcis [ACTIVER]
o Ne pas autoriser l’épinglage de programmes à la barre de tâches [ACTIVER]
o Désactiver la promotion automatique des icônes de notification dans la
barre des tâches [ACTIVER]
o Verrouiller tous les paramètres de la barre des tâches [ACTIVER]
o Empêcher les utilisateurs d’ajouter ou de supprimer des barres d’outils
[ACTIVER]
o Empêcher les utilisateurs de réorganiser les barres d’outils [ACTIVER]
o Ne pas autoriser de barre des tâches sur plusieurs affichages [ACTIVER]
o Désactiver toutes les bulles de notification [ACTIVER]
o Empêcher les utilisateurs de déplacer la barre des tâches vers un autre
point d’ancrage à l’écran [ACTIVER]
o Empêcher les utilisateurs de redimensionner la barre des tâches [ACTIVER]
o Désactiver les miniatures de la barre des tâches [ACTIVER]
o Ajouter le lien Rechercher sur Internet au menu Démarrer [DESACTIVER]
o Répertorier les applications de bureau en 1er dans l’affichage Applications
o Rechercher uniquement les applications à partir de l'affichage Applications
[DESACTIVER]
o Afficher la barre d’outils Lancement rapide dans la Barre des tâches
[DESACTIVER]
o Afficher les applications du Windows Store sur la barre des tâches
[DESACTIVER]
Supprimer icône « Bureaux virtuels » :
- Configuration utilisateur > Préférences > Paramètres Windows > Registre :
Propriétés de : ShowTaskViewButton
Action : Mettre à jour
Ruche : HKEY_CURRENT_USER
Chemin d’accès de la clé :
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Nom de valeur : ShowTaskViewButton
Type de valeur : REG_DWORD
Données de valeur : 0
Base : Hexadécimal
9 | P a g e Bodin Aurore – Février 2017
Supprimer la barre de recherche de la barre des tâches :
- Configuration utilisateur > Préférences > Paramètres Windows > Registre :
Propriétés de : SearchboxTaskbarMode
Action : Mettre à jour
Ruche : HKEY_CURRENT_USER
Chemin d’accès de la clé : Software\Microsoft\Windows\CurrentVersion\Search\
Nom de valeur : SearchboxTaskbarMode
Type de valeur : REG_DWORD
Données de valeur : 0
Base : Hexadécimal
Masquer le lecteur C :
- Configuration utilisateur > Stratégies > Modèles d’administration > Composants
Windows > Explorateur de fichiers :
o Dans Poste de travail, masquer ces lecteurs spécifiés [ACTIVER ->
Restreindre à tous les lecteurs]
Supprimer les liens dans l’Explorateur de fichiers :
- Configuration utilisateur > Stratégies > Modèles d’administration > Composants
Windows > Explorateur de fichiers :
o Démarrer l’Explorateur de fichiers avec le ruban réduit [ACTIVER ->
Toujours ouvrir de nouvelles fenêtres de l’Explorateur de fichiers avec le
ruban réduit]
o Supprimer les options “Connecter un lecteur réseau” et “Déconnecter un
lecteur réseau “ [ACTIVER]
o Activer ou désactiver le volet d’informations [ACTIVER -> Toujours
masquer]
o Désactiver le volet de visualisation [ACTIVER]
o Afficher la barre de menus dans l’Explorateur de fichiers [DESACTIVER]
OneDrive :
- Configuration Ordinateur > Stratégies > Modèles d’administration > Composants
Windows > OneDrive :
o Empêcher l’utilisation de OneDrive pour le stockage de fichiers
NB : le but de cette GPO est uniquement d’empêcher le glisser-déposer de documents dans
le dossier OneDrive accessible depuis l’Explorateur de fichiers et en aucun cas, bloquer la
connexion avec un compte OneDrive à l’application !
10 | P a g e Bodin Aurore – Février 2017
- Si OneDrive se réinstalle quand même après la création des profils utilisateurs :
o Configuration Ordinateur > Stratégies > Paramètres Windows > Scripts
(démarrage / arrêt) > Démarrage > Onglet “Scripts Powershell” > Ajouter
Script uninstallOneDrive.ps1 :
# Disable OneDrive
Write-Host "Disabling OneDrive..."
If (!(Test-Path
"HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive")) {
New-Item -Path
"HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" |
Out-Null
}
Set-ItemProperty -Path
"HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" -
Name "DisableFileSyncNGSC" -Type DWord -Value 1
# Enable OneDrive
# Remove-ItemProperty -Path
"HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" -
Name "DisableFileSyncNGSC"
# Uninstall OneDrive
Write-Host "Uninstalling OneDrive..."
Stop-Process -Name OneDrive -ErrorAction SilentlyContinue
Start-Sleep -s 3
$onedrive = "$env:SYSTEMROOT\SysWOW64\OneDriveSetup.exe"
If (!(Test-Path $onedrive)) {
$onedrive = "$env:SYSTEMROOT\System32\OneDriveSetup.exe"
}
Start-Process $onedrive "/uninstall" -NoNewWindow -Wait
Start-Sleep -s 3
Stop-Process -Name explorer -ErrorAction SilentlyContinue
Start-Sleep -s 3
Remove-Item "$env:USERPROFILE\OneDrive" -Force -Recurse -
ErrorAction SilentlyContinue
Remove-Item "$env:LOCALAPPDATA\Microsoft\OneDrive" -Force -
Recurse -ErrorAction SilentlyContinue
Remove-Item "$env:PROGRAMDATA\Microsoft OneDrive" -Force -
Recurse -ErrorAction SilentlyContinue
If (Test-Path "$env:SYSTEMDRIVE\OneDriveTemp") {
11 | P a g e Bodin Aurore – Février 2017
Remove-Item "$env:SYSTEMDRIVE\OneDriveTemp" -Force -
Recurse -ErrorAction SilentlyContinue
}
If (!(Test-Path "HKCR:")) {
New-PSDrive -Name HKCR -PSProvider Registry -Root
HKEY_CLASSES_ROOT | Out-Null
}
Remove-Item -Path "HKCR:\CLSID\{018D5C66-4533-4307-9B53-
224DE2ED1FE6}" -Recurse -ErrorAction SilentlyContinue
Remove-Item -Path "HKCR:\Wow6432Node\CLSID\{018D5C66-
4533-4307-9B53-224DE2ED1
Recommended