GPO essentielles pour PME : sécurité, logon, applications et BitLocker

Les stratégies de groupe (GPO) sont le bras armé d’Active Directory. Une PME peut déployer 200 postes uniformément configurés, durcir Windows en quelques heures, mapper les lecteurs réseau automatiquement et imposer une politique de mot de passe conforme — le tout sans toucher au registre d’un seul poste. Mais les GPO mal écrites sont aussi un excellent moyen de bloquer toute l’entreprise en une demi-heure. Ce tutoriel pose les politiques essentielles à appliquer dans toute infrastructure PME, en expliquant le pourquoi de chaque réglage.

On part d’une base AD opérationnelle, avec les OU déjà créées (cf. arborescence OU). On crée six GPO de référence, on les lie aux bonnes OU, on teste, on documente. Vue d’ensemble : Windows Server 2025 et Active Directory pour PME.

Prérequis

• Un domaine AD avec arborescence d’OU type Utilisateurs/Postes/Serveurs.
• La console GPMC (Group Policy Management Console) installée : Install-WindowsFeature -Name GPMC sur le DC.
• Un compte ayant les droits Edit Group Policy Objects (par défaut, Domain Admins).
• Au moins un poste pilote joint au domaine pour tester chaque GPO avant déploiement large.
• Niveau attendu : intermédiaire — connaître la différence entre Configuration ordinateur et Configuration utilisateur.
• Temps estimé : 2 heures pour les six GPO, plus 30 minutes par GPO pour les tests.

Étape 1 — Comprendre l’ordre d’application des GPO (LSDOU)

Avant de créer la première GPO, intérioriser l’ordre d’application. Une GPO peut être liée à un site, à un domaine, ou à une OU. Les politiques s’appliquent successivement dans l’ordre LSDOU :

• L — Local : politique locale du poste (rarement modifiée).
• S — Site : politique liée au site AD du poste.
• D — Domaine : politique liée à la racine du domaine.
• O — OU : politiques liées aux OU, de la plus haute à la plus basse.

La dernière politique appliquée gagne en cas de conflit. Conséquence pratique : on pose des règles larges au niveau Domaine (politique de mot de passe pour tout le monde), des règles plus spécifiques sur les OU (mappage de lecteurs par fonction). Une politique Enforced sur une OU parente devient prioritaire et bloque toute surcharge en aval — à utiliser avec parcimonie.

Étape 2 — GPO 1 : Politique de mot de passe du domaine

Une seule politique de mot de passe par domaine via Default Domain Policy. Les paramètres clés :

Précision importante : la politique de mot de passe du domaine est une Security Setting (stockée dans GptTmpl.inf sous [System Access]), pas un paramètre registre. Set-GPRegistryValue ne s’applique pas ici. Deux voies correctes pour modifier la politique en PowerShell :

# Voie 1 — cmdlet AD dédié (le plus simple, agit directement sur la Default Domain Policy)
Set-ADDefaultDomainPasswordPolicy -Identity 'ad.entreprise.com' `
  -MinPasswordLength 14 `
  -ComplexityEnabled $true `
  -PasswordHistoryCount 24 `
  -MaxPasswordAge '365.00:00:00' `
  -MinPasswordAge '1.00:00:00' `
  -LockoutThreshold 5 `
  -LockoutDuration '00:15:00' `
  -LockoutObservationWindow '00:15:00'

# Voie 2 — pour modifier finement via une GPO custom : utiliser secedit /import
# avec un fichier .inf contenant la section [System Access]

Plus simplement encore, on édite la Default Domain Policy dans GPMC et on règle :

• Longueur minimale : 14 caractères (au lieu des 7 par défaut). Tendance NIST/ANSSI actuelle : longueur > complexité.
• Complexité : activée (mélange minuscule, majuscule, chiffre, caractère spécial).
• Historique : 24 mots de passe mémorisés.
• Âge maximum : 365 jours ou plus. Le NIST SP 800-63B Rev 4 (finalisé mi-2025) recommande explicitement de ne pas imposer de rotation périodique et de ne changer le mot de passe qu’en cas de suspicion de compromission. La rotation imposée pousse les utilisateurs vers des variantes faibles (mot de passe + chiffre incrémenté) et dégrade la sécurité globale. Si la conformité interne impose un délai, 365 jours reste le plafond raisonnable.
• Âge minimum : 1 jour (empêche de changer 24 fois pour revenir au mot de passe initial).
• Verrouillage : 5 tentatives ratées sur 15 minutes → verrouillage 15 minutes.

Lier la politique au niveau du domaine racine (déjà fait par défaut). Vérifier avec secpol.msc sur un poste pilote après gpupdate /force.

Étape 3 — GPO 2 : Baseline sécurité côté ordinateur

Microsoft publie des Security Baselines via le Security Compliance Toolkit. On les télécharge, on les importe dans GPMC. La baseline 2024 pour Windows 11 couvre : durcissement SMB (SMBv1 désactivé, signature requise), Defender Application Guard, Credential Guard, BitLocker, restrictions PowerShell.

Import :

# Après extraction du Security Compliance Toolkit
.\Scripts\Baseline-LocalInstall.ps1 -Win11DomainJoined

Ou en GUI : GPMC → clic droit sur l’OU Postes → Create a GPO in this domain and link it here → édition → Import Settings → backup du dossier baseline.

Nommer la GPO : SEC-Baseline-Postes-Windows11. Lier à OU=Postes. Tester sur un poste pilote, vérifier qu’aucune application métier ne casse — quelques applis anciennes refusent SMB signé ou Credential Guard.

Étape 4 — GPO 3 : Mappage des lecteurs réseau

L’utilisateur Marie du service commercial doit voir un lecteur K: pointant vers \\SRV-FILES01\Commerce$ à son ouverture de session. Les Group Policy Preferences (Préférences) permettent ce mappage sans script :

• Créer une GPO USR-Mappage-Lecteurs-Commerce liée à OU=Commerce,OU=Utilisateurs.
• Éditer : Préférences utilisateur → Configuration Windows → Lecteurs réseau → clic droit → Nouveau → Lecteur mappé.
• Action : Replace, Lettre : K, Emplacement : \\SRV-FILES01\Commerce$, Reconnecter : oui, Étiquette : Commerce (K:).

Vérifier sur Marie : ouvrir session, gpupdate /force, déconnexion/reconnexion, le lecteur K apparaît automatiquement.

Avantage des préférences sur les scripts logon : ciblage par Item-Level Targeting — on peut filtrer par appartenance à un groupe AD (mapper K seulement aux membres de GG-Commerce) au lieu de lier la GPO à une OU rigide.

Étape 5 — GPO 4 : Activation BitLocker centralisée

BitLocker chiffre le disque système et stocke la clé de récupération dans AD. Sans GPO, BitLocker s’active manuellement poste par poste ; avec GPO, on l’impose à tous les postes Windows 11 de l’OU.

Créer SEC-BitLocker-Postes liée à OU=Postes. Paramètres essentiels (Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption) :

• Choose drive encryption method : XTS-AES 256-bit.
• Operating System Drives : Require additional authentication at startup activé, autoriser le TPM uniquement (pas de PIN pour les portables d’utilisateurs simples).
• Choose how BitLocker-protected OS drives can be recovered : sauvegarder la clé dans AD DS, ne pas autoriser le chiffrement sans backup AD réussi.

Côté AD, étendre le schéma pour stocker les clés BitLocker (déjà fait depuis Server 2008) et installer l’extension BitLocker Recovery Password Viewer dans Active Directory Users and Computers via Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt. La DLL BdeAducExt.dll ajoute alors l’onglet BitLocker Recovery aux propriétés des objets ordinateur dans ADUC. Sur un poste pilote, manage-bde -status doit montrer le chiffrement en cours, et Get-ADComputer -Identity PC-MARIE -Properties msFVE-RecoveryInformation doit lister la clé.

Étape 6 — GPO 5 : Restriction d’applications avec AppLocker

AppLocker empêche les utilisateurs d’exécuter des binaires non approuvés. Pour une PME, la règle d’or : autoriser tous les binaires signés Microsoft et les binaires de C:\Program Files, bloquer tout le reste. Un utilisateur ne peut donc plus lancer un setup.exe téléchargé depuis le web.

Créer SEC-AppLocker-Postes liée à OU=Postes. Activer dans Application Control Policies → AppLocker :

• Click droit sur Executable Rules → Create Default Rules. Trois règles s’ajoutent (Windows, Program Files, admin local).
• Activer Audit only pour la première semaine — les blocs sont uniquement loggés, pas appliqués.
• Inspecter le journal AppLocker sur les postes pilotes pour identifier les applis légitimes qui seraient bloquées.
• Ajouter des règles d’autorisation par éditeur (signature Adobe, Microsoft Office, ZoomInfo, etc.).
• Basculer en Enforce après une à deux semaines d’audit propre.

Activer aussi le service Application Identity par GPO (Services → AppIDSvc → Automatic) sinon AppLocker reste inerte.

Étape 7 — GPO 6 : Restrictions sur le panneau de configuration et clés USB

Pour les postes utilisateurs standard, restreindre l’accès aux paramètres système évite des supports qui dérivent. Créer USR-Restrictions-Bureautique liée à OU=Utilisateurs avec un filtre WMI ou groupe pour ne pas s’appliquer aux comptes IT :

• User Configuration → Administrative Templates → Control Panel : Prohibit access to Control Panel and PC settings = activé (sauf pour groupe IT).
• Computer Configuration → Administrative Templates → System → Removable Storage Access : Removable Disks: Deny write access = activé pour bloquer les copies vers USB. Deny read access ou pas selon le contexte.
• Computer Configuration → Administrative Templates → Windows Components → Windows Update for Business : configurer la politique de mises à jour Quality Updates et Feature Updates pour différer les feature updates de 30 jours minimum.

Le blocage USB en écriture est souvent suffisant : l’utilisateur peut toujours lire une clé USB pour récupérer un document mais ne peut pas extraire des données. Une politique plus stricte bloque aussi la lecture.

Étape 8 — Filtrer l’application par groupes

Lier une GPO à une OU s’applique à tous les objets de l’OU. Pour cibler plus finement, on utilise le Security Filtering : la GPO s’applique uniquement aux membres d’un groupe AD donné. C’est la bonne pratique pour les politiques restrictives qui ne doivent pas s’appliquer aux comptes IT.

Dans GPMC, onglet Scope d’une GPO : retirer Authenticated Users, ajouter GG-Utilisateurs-Standard. Puis dans Delegation → Advanced : rétablir Authenticated Users avec Read uniquement (sans Apply group policy) — c’est nécessaire depuis le patch MS16-072 sinon la GPO ne se lit plus.

Tester sur un poste avec un compte hors du groupe : gpresult /R doit montrer la GPO comme Filtered Out par security filtering.

Étape 9 — Documenter et versionner

Une infrastructure GPO non documentée devient ingérable au bout d’un an. Trois bonnes pratiques :

• Naming convention : préfixe par périmètre (SEC-, USR-, NET-), suivi de la cible (Postes, Commerce), suivi du but (Mappage-Lecteurs).
• Description dans la GPO : utiliser le champ Comment de la GPO pour expliquer le pourquoi, la date de création, le ticket associé. C’est lu à chaque maintenance.
• Backup GPO automatisé : tâche planifiée hebdomadaire qui exporte toutes les GPO :

$d = Get-Date -Format yyyyMMdd
$path = "D:\Backup\GPO\$d"
mkdir $path -Force | Out-Null
Backup-GPO -All -Path $path -Comment "Backup hebdo $d"

L’historique sert à la fois pour le rollback en cas de drift et pour l’audit (traçabilité des modifications).

Étape 10 — Tester le rendu sur un poste pilote

Avant tout déploiement, tester. La commande gpresult /h C:\report.html génère un rapport HTML complet montrant chaque GPO appliquée et chaque réglage effectif :

gpupdate /force
gpresult /h C:\Users\Public\gpresult-PC-MARIE.html /f
notepad C:\Users\Public\gpresult-PC-MARIE.html

Le rapport liste les GPO ordinateur et utilisateur, les heures d’application, les paramètres effectifs et leur GPO source. C’est la référence pour tout diagnostic.

Erreurs fréquentes

Aparté — Préférences GPO vs paramètres : la différence à connaître

Une confusion classique : la distinction entre Settings (paramètres) et Preferences (préférences) dans une GPO. Les paramètres correspondent aux clés stratégiques traditionnelles : ils verrouillent une option et l’utilisateur ne peut plus la modifier, le réglage est rappliqué à chaque rafraîchissement de GPO. Les préférences (apparues avec Server 2008) poussent une valeur par défaut, mais l’utilisateur peut ensuite la changer si l’interface le permet.

Cette distinction guide le choix pratique : pour la politique de mot de passe ou BitLocker, on utilise des paramètres verrouillés. Pour le mappage de lecteur K: ou un raccourci sur le bureau, on utilise des préférences — l’utilisateur conserve la liberté de réorganiser ses raccourcis sans casser la cohérence globale. Les préférences supportent aussi l’Item-Level Targeting, un filtrage très puissant : appliquer une préférence seulement si l’utilisateur est membre d’un groupe, ou si l’OS est Windows 11, ou si l’IP est dans une plage donnée. Ce niveau de granularité fin et expressif évite efficacement de multiplier les GPO pour des cas particuliers.

Vérification finale

Six GPO de référence sont en place : politique de mot de passe domaine, baseline sécurité Postes, mappage de lecteurs Commerce, BitLocker centralisé, AppLocker en audit puis enforce, restrictions panneau de configuration et USB. Les paramètres sont testés sur un poste pilote, les GPO sont nommées et documentées, les backups planifiés. L’entreprise dispose maintenant d’un socle qui durcit chaque poste et garantit une expérience homogène.

Pour aller plus loin sur la sécurité côté postes : Durcissement Windows : GPO, BitLocker, Defender, AppLocker et LAPS. Pour la résilience de l’AD lui-même : Second contrôleur de domaine et FSMO. Panorama : Windows Server 2025 et Active Directory pour PME.

Ressources officielles

• Group Policy overview — Microsoft Learn
• Microsoft Security Compliance Toolkit
• BitLocker overview — Microsoft Learn
• AppLocker overview — Microsoft Learn
• GroupPolicy PowerShell module — Microsoft Learn