Bodin Aurore – Février 2017

TUTORIEL Ajout des GPOs Windows 10 sur Windows 2012

Server R2 et préparation d’un master Windows 10

1 | P a g e Bodin Aurore – Février 2017

Sommaire

Ajout des GPOs Windows 10 sur Windows 2012 Server R2 ……………….…….…p2-4

- Création d’un magasin central………………………………………………………………..p2

- Installation des GPOs Windows 10…………………………………………..………….…p3-4

- Erreur “supported_vista_through_win7”……………………………………………….p4

Création d’un master Windows 10…………………………………………………………….p5-11

- Désinstallation des applications natives et fonctionnalités superflu……………...p5-6

- GPOs mises en place pour restreindre le bureau et l’explorateur de fichiers.…p6-11

o Bloquer les outils d’administration………………………………………….…p6

o Bloquer Paramètres du PC et le panneau de configuration……..…p6

o Menu démarrer et barre des tâches………………………………………….p6-8

o Supprimer icône « Bureaux virtuels »………………………………………..p8

o Supprimer la barre de recherche de la barre des tâches………..…p9

o Masquer le lecteur C……………………………………………………………..…p9

o Supprimer les liens dans l’Explorateur de fichiers…………………....p9

o OneDrive……………………………………………………………………………...…p9-11

2 | P a g e Bodin Aurore – Février 2017

Ajout des GPOs Windows 10 sur Windows 2012

server R2

Création d’un magasin central :

- Sur votre contrôleur de domaine, créez le dossier « PolicyDefinitions » dans le

partage « \\votre_serveur\SYSVOL\votre_nom_de_domaine\Policies » :

- Vous venez de créer un magasin central. Celui-ci vous permettra d’ajouter

aisément les nouvelles GPOs dont vous avez besoin qui ne sont pas de base sur

votre serveur. Ce dossier contiendra donc tous les nouveaux modèles

d’administrations.

3 | P a g e Bodin Aurore – Février 2017

Installation des GPOs Windows 10 :

1) Téléchargez les GPOs Windows 10 à cette adresse : http://www.microsoft.com/fr-

FR/download/details.aspx?id=48257

2) Lancez l’installation -> il est préférable de créer un dossier d’installation pour stocker

les GPOs avant l’intégration au magasin central :

3) Faites un copier-coller de tous les fichiers .admx ainsi que du dossier « en-US » et « fr-

FR » dans « \\votre_serveur\SYSVOL\votre_nom_de_domaine\Policies\

PolicyDefinitions » :

4 | P a g e Bodin Aurore – Février 2017

4) Vérifiez l’ajout des GPOs à partir de l’éditeur de gestion des stratégies de groupe :

Erreur “supported_vista_through_win7” :

Il se peut que ce message d’erreur apparaissent lorsque vous souhaitez modifier votre

GPO : « La ressource “ $(string.supported_vista_through_win7) “ référencée dans l’attribut

displayName est introuvable ! »

Cette erreur est dû au fait qu’il manque une ligne dans le fichier

PreviousVersions.adml dans le dossier :

\\votre_serveur\SYSVOL\votre_nom_de_domaine\Policies\PolicyDefinitions\fr-FR »

Afin de corriger cela, il suffit d’y ajouter cette ligne : <string

id="SUPPORTED_Vista_through_Win7">Supported Windows Vista through Windows

7</string> :

5 | P a g e Bodin Aurore – Février 2017

Création d’un master Windows 10

Désinstallation des applications natives et fonctionnalités superflus :

1) Supprimez toutes les tuiles dans le Menu Démarrer

2) Utilisez les deux scripts disponibles à ces adresses :

o https://gist.github.com/alirobe/7f3b34ad89a159e6daa1

o http://pastebin.com/gQxCUkLP

Ils vont vous permettre de supprimer toutes les applications installées par défaut lors

de l’installation de Windows 10 telles que Windows Store, OneDrive, Twitter, Contact, etc. Ces

scripts vont également désactiver les fonctionnalités indésirables de Windows 10 comme

Cortana, Feedback, le filtre SmartScreen, etc.

3) Certaines applications auront besoin d’être supprimer à la main dans

« C:\Windows\SystemApps\ » (Attribuez-vous le contrôle total sur tout le dossier et

son contenu sinon vous ne pourrez pas le supprimer !) :

o Contact Support : ContactSupport_cw5n1h2txyewy

o Cloud Experience :

Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy

o Xbox : Microsoft.XboxGameCallableUI_cw5n1h2txyewy ;

Microsoft.XboxGameCallableUI_cw5n1h2txyewy

o Feedback : WindowsFeedback_cw5n1h2txyewy

o Microsoft EDGE : Microsoft.MicrosoftEdge_8wekyb3d8bbwe

o Content Delivery Manager :

Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy

o Biometry : Microsoft.BioEnrollment_cw5n1h2txyewy

4) Supprimez Cortana définitivement :

o Rendez-vous dans le dossier « C:\Windows\SystemApps\ » et supprimez

tout ce que vous pouvez dans le dossier

« Microsoft.Windows.Cortana_cw5n1h2txyewy »

o Ouvrez le « Gestionnaire de tâches », fermez Cortana et supprimez

rapidement « searchUI.exe »

6 | P a g e Bodin Aurore – Février 2017

o Supprimez tout le

dossier « Microsoft.Windows.Cortana_cw5n1h2txyewy »

o Attention ! -> Cortana se trouve aussi dans le dossier

« C:\Windows\SystemResources ! Supprimez le dossier

« Windows.UI.Cortana.Persona »

GPOs mises en place pour restreindre le bureau et l’explorateur de

fichiers :

Bloquer les outils d’administration :

- Configuration utilisateur > Stratégies > Modèles d’administration > Système >

Options Ctrl + Alt + Suppr :

o Désactiver la modification du mot de passe [ACTIVER]

o Supprimer le Gestionnaire de tâches [ACTIVER]

- Configuration utilisateur > Stratégies > Modèles d’administration > Système :

o Désactiver l’accès à l’invite de commandes [ACTIVER]

o Empêche l’accès aux outils de modification du registre [ACTIVER]

Bloquer Paramètres du PC et le panneau de configuration :

- Configuration utilisateur > Stratégies > Modèles d’administration > Panneau de

configuration :

o Interdire l’accès au panneau de configuration et à l’application Paramètres

du PC [ACTIVER]

Menu démarrer et barre des tâches :

- Configuration utilisateur > Stratégies > Modèles d’administration > Menu démarrer

et barre des tâches > Notifications :

o Désactiver les appels durant les Heures creuses [ACTIVER]

o Désactiver les notifications toast sur l’écran de verrouillage [ACTIVER]

o Désactiver les heures creuses [ACTIVER]

o Désactiver les notifications par vignette [ACTIVER]

o Désactiver les notifications toast [ACTIVER]

7 | P a g e Bodin Aurore – Février 2017

- Configuration utilisateur > Stratégies > Modèles d’administration > Menu

Démarrer et barre des tâches :

o Effacer l’historique des documents récemment ouverts en quittant

[ACTIVER]

o Effacer la liste des programmes récents pour les nouveaux utilisateurs

[ACTIVER]

o Effacer l’historique des notifications par vignette en quittant [ACTIVER]

o Ajouter l’option Fermeture de session au menu Démarrer [ACTIVER]

o Verrouiller la Barre des tâches [ACTIVER]

o Supprimer les infobulles sur les éléments du menu Démarrer [ACTIVER]

o Empêcher les utilisateurs de personnaliser leur écran de démarrage

[ACTIVER]

o Supprimer le menu Favoris du menu Démarrer [ACTIVER]

o Supprimer le lien Rechercher du menu Démarrer [ACTIVER]

o Supprimer la liste de programmes fréquents du menu Démarrer [ACTIVER]

o Supprimer le lien Jeux du menu Démarrer [ACTIVER]

o Supprimer le menu Aide du menu Démarrer [ACTIVER]

o Désactiver le suivi utilisateur [ACTIVER]

o Supprimer la liste Tous les programmes du menu Démarrer [ACTIVER]

o Supprimer la liste de programmes en attente du menu Démarrer [ACTIVER]

o Supprimer le menu Documents récents du menu Démarrer [ACTIVER]

o Supprimer le menu Exécuter du menu Démarrer [ACTIVER]

o Supprimer le lien Programmes par défaut du menu Démarrer [ACTIVER]

o Supprimer l’icône Réseau du menu Démarrer [ACTIVER]

o Supprimer le lien vers la recherche d’ordinateurs [ACTIVER]

o Ne pas rechercher sur Internet [ACTIVER]

o Ne pas rechercher les programmes et les éléments du Panneau de

configuration [ACTIVER]

o Supprimer les programmes du menu Paramètres [ACTIVER]

o Empêcher la modification des paramètres de la barre des tâches et du menu

Démarrer [ACTIVER]

o Supprimer le lien Groupe résidentiel du menu Démarrer [ACTIVER]

o Supprimer le lien TV enregistrée du menu Démarrer [ACTIVER]

o Supprimer l’accès aux menus contextuels pour la barre des tâches

[ACTIVER]

o Masquer la zone de notifications [ACTIVER]

o Empêcher les utilisateurs de désinstaller les applications à partir de l’écran

de démarrage [ACTIVER]

o Supprimer les liens et l’accès à Windows Update [ACTIVER]

o Changer le bouton d’alimentation du menu Démarrer (Fermeture de

session) [ACTIVER]

o Supprimer le bouton “Retirer” du menu Démarrer [ACTIVER]

o Supprimer les notifications et le centre de maintenance [ACTIVER]

8 | P a g e Bodin Aurore – Février 2017

o Désactiver l’affichage des bulles de notification sous forme de toasts

[ACTIVER]

o Supprimer l’icône Sécurité et maintenance [ACTIVER]

o Désactiver les bulles de notification d’annonce de fonctionnalité [ACTIVER]

o Ne pas autoriser l’épinglage de l’application Windows Store à la barre des

tâches [ACTIVER]

o Ne pas autoriser l’épinglage d’éléments aux listes de raccourcis [ACTIVER]

o Ne pas autoriser l’épinglage de programmes à la barre de tâches [ACTIVER]

o Désactiver la promotion automatique des icônes de notification dans la

barre des tâches [ACTIVER]

o Verrouiller tous les paramètres de la barre des tâches [ACTIVER]

o Empêcher les utilisateurs d’ajouter ou de supprimer des barres d’outils

[ACTIVER]

o Empêcher les utilisateurs de réorganiser les barres d’outils [ACTIVER]

o Ne pas autoriser de barre des tâches sur plusieurs affichages [ACTIVER]

o Désactiver toutes les bulles de notification [ACTIVER]

o Empêcher les utilisateurs de déplacer la barre des tâches vers un autre

point d’ancrage à l’écran [ACTIVER]

o Empêcher les utilisateurs de redimensionner la barre des tâches [ACTIVER]

o Désactiver les miniatures de la barre des tâches [ACTIVER]

o Ajouter le lien Rechercher sur Internet au menu Démarrer [DESACTIVER]

o Répertorier les applications de bureau en 1er dans l’affichage Applications

o Rechercher uniquement les applications à partir de l'affichage Applications

[DESACTIVER]

o Afficher la barre d’outils Lancement rapide dans la Barre des tâches

[DESACTIVER]

o Afficher les applications du Windows Store sur la barre des tâches

[DESACTIVER]

Supprimer icône « Bureaux virtuels » :

- Configuration utilisateur > Préférences > Paramètres Windows > Registre :

Propriétés de : ShowTaskViewButton

Action : Mettre à jour

Ruche : HKEY_CURRENT_USER

Chemin d’accès de la clé :

Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Nom de valeur : ShowTaskViewButton

Type de valeur : REG_DWORD

Données de valeur : 0

Base : Hexadécimal

9 | P a g e Bodin Aurore – Février 2017

Supprimer la barre de recherche de la barre des tâches :

- Configuration utilisateur > Préférences > Paramètres Windows > Registre :

Propriétés de : SearchboxTaskbarMode

Action : Mettre à jour

Ruche : HKEY_CURRENT_USER

Chemin d’accès de la clé : Software\Microsoft\Windows\CurrentVersion\Search\

Nom de valeur : SearchboxTaskbarMode

Type de valeur : REG_DWORD

Données de valeur : 0

Base : Hexadécimal

Masquer le lecteur C :

- Configuration utilisateur > Stratégies > Modèles d’administration > Composants

Windows > Explorateur de fichiers :

o Dans Poste de travail, masquer ces lecteurs spécifiés [ACTIVER ->

Restreindre à tous les lecteurs]

Supprimer les liens dans l’Explorateur de fichiers :

- Configuration utilisateur > Stratégies > Modèles d’administration > Composants

Windows > Explorateur de fichiers :

o Démarrer l’Explorateur de fichiers avec le ruban réduit [ACTIVER ->

Toujours ouvrir de nouvelles fenêtres de l’Explorateur de fichiers avec le

ruban réduit]

o Supprimer les options “Connecter un lecteur réseau” et “Déconnecter un

lecteur réseau “ [ACTIVER]

o Activer ou désactiver le volet d’informations [ACTIVER -> Toujours

masquer]

o Désactiver le volet de visualisation [ACTIVER]

o Afficher la barre de menus dans l’Explorateur de fichiers [DESACTIVER]

OneDrive :

- Configuration Ordinateur > Stratégies > Modèles d’administration > Composants

Windows > OneDrive :

o Empêcher l’utilisation de OneDrive pour le stockage de fichiers

NB : le but de cette GPO est uniquement d’empêcher le glisser-déposer de documents dans

le dossier OneDrive accessible depuis l’Explorateur de fichiers et en aucun cas, bloquer la

connexion avec un compte OneDrive à l’application !

10 | P a g e Bodin Aurore – Février 2017

- Si OneDrive se réinstalle quand même après la création des profils utilisateurs :

o Configuration Ordinateur > Stratégies > Paramètres Windows > Scripts

(démarrage / arrêt) > Démarrage > Onglet “Scripts Powershell” > Ajouter

Script uninstallOneDrive.ps1 :

# Disable OneDrive

Write-Host "Disabling OneDrive..."

If (!(Test-Path

"HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive")) {

New-Item -Path

"HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" |

Out-Null

}

Set-ItemProperty -Path

"HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" -

Name "DisableFileSyncNGSC" -Type DWord -Value 1

# Enable OneDrive

# Remove-ItemProperty -Path

"HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" -

Name "DisableFileSyncNGSC"

# Uninstall OneDrive

Write-Host "Uninstalling OneDrive..."

Stop-Process -Name OneDrive -ErrorAction SilentlyContinue

Start-Sleep -s 3

$onedrive = "$env:SYSTEMROOT\SysWOW64\OneDriveSetup.exe"

If (!(Test-Path $onedrive)) {

$onedrive = "$env:SYSTEMROOT\System32\OneDriveSetup.exe"

}

Start-Process $onedrive "/uninstall" -NoNewWindow -Wait

Start-Sleep -s 3

Stop-Process -Name explorer -ErrorAction SilentlyContinue

Start-Sleep -s 3

Remove-Item "$env:USERPROFILE\OneDrive" -Force -Recurse -

ErrorAction SilentlyContinue

Remove-Item "$env:LOCALAPPDATA\Microsoft\OneDrive" -Force -

Recurse -ErrorAction SilentlyContinue

Remove-Item "$env:PROGRAMDATA\Microsoft OneDrive" -Force -

Recurse -ErrorAction SilentlyContinue

If (Test-Path "$env:SYSTEMDRIVE\OneDriveTemp") {

11 | P a g e Bodin Aurore – Février 2017

Remove-Item "$env:SYSTEMDRIVE\OneDriveTemp" -Force -

Recurse -ErrorAction SilentlyContinue

}

If (!(Test-Path "HKCR:")) {

New-PSDrive -Name HKCR -PSProvider Registry -Root

HKEY_CLASSES_ROOT | Out-Null

}

Remove-Item -Path "HKCR:\CLSID\{018D5C66-4533-4307-9B53-

224DE2ED1FE6}" -Recurse -ErrorAction SilentlyContinue

Remove-Item -Path "HKCR:\Wow6432Node\CLSID\{018D5C66-

4533-4307-9B53-224DE2ED1