Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

GPO – Désactiver l’option « Interrompre les mises à jour » de Windows Update

26 janvier 2024 à 17:00

I. Présentation

Dans ce tutoriel, nous allons voir comment créer une stratégie de groupe (GPO) pour désactiver l'option "Interrompre les mises à jour" présente dans Windows Update, sur Windows 10 et Windows 11.

Sans cette action de notre part, un utilisateur peut décider de suspendre les mises à jour pendant 1 semaine ou plusieurs semaines (maximum 5 semaines) sur sa machine Windows. Ce n'est pas souhaitable, car les administrateurs doivent garder le contrôle sur le comportement des appareils. Ainsi, grâce à cette GPO, un utilisateur ne pourra pas prendre la décision de désactiver temporairement les mises à jour.

En fait, je fais référence à cette option :

Windows Update - Désactiver option Interrompre les mises à jour

II. Créer la GPO

Ouvrez la console de gestion des stratégies de groupe et créez une nouvelle GPO. Vous pouvez aussi ajouter à ce paramètre à une GPO existante. Dans cet exemple, la stratégie sera la suivante :

GPO - Windows Update - Désactiver interrompre mise à jour

Ensuite, effectuez un clic droit sur la stratégie de groupe afin de la modifier. Puis, parcourez les paramètres de GPO de cette façon :

  • Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > Windows Update > Gérer l'expérience utilisateur final

Il est possible que vous n'ayez pas le dossier "Gérer l'expérience utilisateur final" : tout dépend quelle version des modèles d'administration vous utilisez. Dans ce cas, ce n'est pas si grave : vous devriez retrouver le paramètre à configurer directement dans "Windows Update".

GPO - Windows Update - Bloquer interruption des updates

En ce qui concerne le paramètre à configurer, il porte le nom suivant : "Supprimer l'accès à la fonctionnalité Interrompre les mises à jour".

Vous devez le configurer de façon à définir son statut "Activé", comme ceci :

GPO - Supprimer l'accès à la fonctionnalité Interrompre les mises à jour

Voilà, validez. La GPO est prête ! Il ne reste plus qu'à l'associer aux bonnes unités d'organisation pour l'appliquer à vos appareils Windows.

III. Tester la GPO

Pour tester, nous devons accéder à une machine Windows concernée par la stratégie de groupe et effectuez la commande habituelle nous permettant de rafraichir les GPO :

gpupdate /force

Ensuite, après redémarrage, nous pourrons constater que l'option est bien désactivée ! Même en tant qu'administrateur, nous n'avons plus la possibilité de suspendre les mises à jour Windows Update :

IV. Conclusion

Voilà, grâce à ce paramètre de GPO très simple à mettre en pratique, vous pouvez verrouiller la fonctionnalité "Interrompre les mises à jour" de Windows Update.

S'il y a des amateurs de Registre Windows, sachez que ce paramètre correspond à la configuration de la valeur "SetDisablePauseUXAccess" (de type DWORD (32-bit") dans le Registre (positionnée à "1" pour désactiver la fonctionnalité) :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

The post GPO – Désactiver l’option « Interrompre les mises à jour » de Windows Update first appeared on IT-Connect.

Configurer les services Windows par GPO : activer, désactiver, démarrer, changer le compte, etc.

5 mars 2024 à 14:00

I. Présentation

Dans ce tutoriel, nous allons apprendre à gérer les services Windows à l'aide d'une stratégie de groupe (GPO). Que ce soit pour réduire la surface d'attaque des postes de travail et serveurs, ou pour les besoins d'une fonctionnalité de Windows ou d'une application, il peut s'avérer nécessaire de gérer les services Windows avec une GPO.

Dans cet exemple, nous allons voir comment arrêter et désactiver le service "Spouleur d'impression" sur les contrôleurs de domaine Active Directory, à l'aide d'une GPO. Pour des raisons de sécurité, il est recommandé de désactiver et d'arrêter ce service sur les DC, à moins que le rôle "Serveur d'impression" soit également installé. Libre à vous d'adapter cet exemple à vos besoins : la logique reste la même.

Pour gérer les services Windows par GPO, nous avons deux possibilités :

  • Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Services système
  • Configuration ordinateur > Préférences > Paramètres du Panneau de configuration > Services

Cette seconde méthode offre plus de contrôle grâce à des options supplémentaires et nous allons l'exploiter dans ce tutoriel. De plus, cette seconde méthode nous permet d'indiquer le nom que l'on souhaite pour le service.

II. Désactiver un service par GPO

Ouvrez la console "Gestion des stratégies de groupe" et créez une nouvelle GPO, à moins que vous préfériez utiliser une GPO existante. Pour ma part, ce sera la GPO "Sécurité - DC - Désactiver Spouleur d'impression".

Modifiez la GPO et naviguez jusqu'à l'emplacement suivant :

  • Configuration ordinateur > Préférences > Paramètres du Panneau de configuration > Services

Effectuez un clic droit puis sous "Nouveau", choisissez "Service".

GPO - Préférences - Services - Nouvelle configuration

Vous avez besoin de connaître le "nom technique" du service afin de pouvoir le gérer par GPO. Vous pouvez obtenir cette information à partir de la console "Services" en regardant dans les propriétés du service que vous souhaitez cibler. Sinon, avec PowerShell vous pouvez rechercher votre service et repérer son nom. Par exemple, le service "Spouleur d'impression" est représenté par le nom "Spooler".

Récupérer nom service avec PowerShell

Ensuite, vous devez compléter le formulaire. Nous avons 3 options à modifier.

1 - Démarrage : le type de démarrage du service, ici, nous allons le désactiver

2 - Nom du service : vous pouvez saisir le nom vous-même (attention à l'orthographe) ou rechercher à partir de la liste de la machine locale en cliquant sur "..."

3 - Action du service : pour agir sur l'état du service, ici, nous allons l'arrêter. Ainsi, il sera désactivé et arrêter.

D'autres options sont également à votre disposition, notamment le choix d'un compte spécifique pour exécuter un service, ce qui peut être utile pour durcir la configuration de certains services. Vous avez également accès à l'onglet "Récupération" comme avec la console "Services" habituelle.

Configurer un service par GPO sous Windows Server

Cliquez sur "OK". Voilà, le service Spooler va être configuré par GPO. Il est possible de configurer d'autres services si besoin : répétez l'ajout d'un service via un clic droit.

Aperçu GPO pour gérer un service Windows avec les préférences

III. Tester la GPO

Pour finir, testez votre GPO. Connectez-vous sur une machine concernée par la GPO et effectuez un "gpupdate /force". L'exemple ci-dessous montre bien que le service a été arrêté et désactivé, sans avoir besoin de redémarrer la machine.

Service Windows arrêté et désactivé avec GPO

Nous pouvons faire le même constat avec la console "Services" de Windows :

Si, par mégarde, un administrateur venait à changer la configuration de ce service et à le démarrer, notre GPO l'arrêtera de nouveau (et le désactivera) à la prochaine application.

IV. Conclusion

En quelques minutes et quelques clics, vous pouvez gérer les services Windows d'un ensemble de machines à l'aide d'une GPO, que ce soit pour activer ou désactiver un service, ou simplement ajuster la configuration. Si vous souhaitez forcer l'état d'un service, c'est une bonne façon de procéder. N'oubliez pas que vous pouvez gérer n'importe quel service, à condition de connaitre son nom et qu'il soit présent sur les machines cibles.

The post Configurer les services Windows par GPO : activer, désactiver, démarrer, changer le compte, etc. first appeared on IT-Connect.

Intune – Comment personnaliser le menu Démarrer de Windows 11 ?

21 mars 2024 à 17:45

I. Présentation

Dans ce tutoriel, nous allons voir comment personnaliser le menu Démarrer de Windows 11 à l'aide d'une stratégie Intune, afin de définir une liste des applications à épingler dans le menu Démarrer. L'objectif étant d'avoir une configuration uniforme sur son parc informatique.

Au sein du système d'exploitation Windows, le menu Démarrer joue un rôle clé, car il offre un accès direct aux applications installées sur l'ordinateur. Le menu Démarrer de Windows 11 permet d'épingler certaines applications afin de pouvoir les trouver facilement, juste en ouvrant le menu Démarrer. C'est précisément sur la liste des applications épinglées que nous allons agir aujourd'hui, en définissant une liste personnalisée d'applications à l'aide d'un fichier de configuration au format JSON.

En entreprise, cette configuration est utile pour avoir une disposition du menu Démarrer identique sur l'ensemble des sessions de vos utilisateurs. Ceci peut éviter qu'un utilisateur vous appelle pour vous dire qu'il ne trouve pas telle ou telle application dans le menu Démarrer. Néanmoins, sachez que cette configuration va venir écraser la liste des applications épinglées de l'utilisateur, et il ne pourra pas modifier cette liste (ses éventuels changements seront écrasés).

II. Préparer un modèle de menu Démarrer

La première étape consiste à préparer un modèle de menu Démarrer. Pour cela, vous devez utiliser une machine Windows 11 et ajouter au menu Démarrer les applications que vous souhaitez épingler. Ne créez pas de dossiers d'applications, car ce ne sera pas conservé.

Voici un exemple :

Windows 11 - Menu démarrer par défaut - Exemple
Windows 11 - Menu démarrer modèle

Une fois que c'est fait, vous devez exporter cette configuration dans un fichier au format JSON. Cette action doit être effectuée avec PowerShell.

Ouvrez une console PowerShell et exécutez la commande suivante :

Export-StartLayout -Path "<Chemin/vers/fichier/JSON>"
# Par exemple :
Export-StartLayout -Path "StartMenuLayout.json"

Ceci va créer un fichier JSON qui contiendra la liste de toutes les applications épinglées dans votre menu Démarrer type.

Windows 11 - Menu démarrer - Export-StartLayout

Si vous ouvrez le fichier JSON, vous verrez les applications sous "pinnedList". Si vous ouvrez le fichier avec Visual Studio Code, utilisez le raccourci clavier "Shift+Alt+F" pour que le fichier soit formaté, ce sera plus lisible.

Windows 11 - Menu Démarrer - Export JSON - Exemple

Par la suite, vous devrez copier-coller le contenu de ce fichier dans la stratégie Intune.

III. Créer la stratégie Intune

La suite de la configuration se passe sur le Centre d'administration Microsoft Intune.

Cliquez sur "Appareils", puis "Configuration", afin de cliquer sur "Créer" puis "Nouvelle stratégie".

Intune - Personnaliser menu Démarrer Windows 11 - 01

Un panneau latéral va s'ouvrir sur la droite, faites les choix suivants :

  • Plateforme : Windows 10 et ultérieur
  • Type de profil : Modèles
  • Nom du modèle : Personnalisé

Cliquez sur "Créer".

Intune - Personnaliser menu Démarrer Windows 11 - 02

Ensuite, vous devez suivre l'assistant de création de la stratégie, en 5 étapes.

Commencez par nommer cette stratégie :

Intune - Personnaliser menu Démarrer Windows 11 - 03

Puis, à l'étape "Paramètres de configuration", ajoutez un paramètre et configurez-le de cette façon :

  • Nom : "Menu Démarrer - Applications épinglées" (vous pouvez utiliser un autre nom)
  • OMA-URI : ./Vendor/MSFT/Policy/Config/Start/ConfigureStartPins
  • Type de données : Chaine (ou "String" en anglais)
  • Valeur : collez ici le contenu de votre fichier JSON

Cliquez sur "Enregistrer" quand c'est fait.

Intune - Personnaliser menu Démarrer Windows 11 - 04

Il n'y a que ce paramètre à configurer pour gérer les applications épinglées.

Passez à l'étape suivante dans le but d'assigner cette stratégie à des appareils : sélectionnez un ou plusieurs groupes, selon vos besoins. Dans cet exemple, je me permets de sélectionner "Tous les appareils" car c'est un lab.

Intune - Personnaliser menu Démarrer Windows 11 - 05

Poursuivez jusqu'à la fin et créez la stratégie. Voilà, elle est prête à l'emploi !

Intune - Personnaliser menu Démarrer Windows 11 - 06

Désormais, il ne reste plus qu'à tester sur un appareil Windows !

IV. Tester la configuration

Après avoir effectué une synchronisation Intune sur la machine, vous verrez que le menu Démarrer va être modifié : la section "Epinglé" sera identique à votre modèle initial. La section "Nos recommandations" quant à elle, n'est pas impactée.

Personnalisation menu Démarrer Windows avec Intune

V. Conclusion

En suivant ce tutoriel, vous êtes en mesure de personnaliser le menu Démarrer de Windows 11 grâce à la création d'une liste d'applications épinglées ! Pour aller plus loin dans la personnalisation du menu Démarrer avec Intune, vous pouvez consulter cette page de la documentation Microsoft :

The post Intune – Comment personnaliser le menu Démarrer de Windows 11 ? first appeared on IT-Connect.

❌
❌