Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

Configurer les services Windows par GPO : activer, désactiver, démarrer, changer le compte, etc.

I. Présentation

Dans ce tutoriel, nous allons apprendre à gérer les services Windows à l'aide d'une stratégie de groupe (GPO). Que ce soit pour réduire la surface d'attaque des postes de travail et serveurs, ou pour les besoins d'une fonctionnalité de Windows ou d'une application, il peut s'avérer nécessaire de gérer les services Windows avec une GPO.

Dans cet exemple, nous allons voir comment arrêter et désactiver le service "Spouleur d'impression" sur les contrôleurs de domaine Active Directory, à l'aide d'une GPO. Pour des raisons de sécurité, il est recommandé de désactiver et d'arrêter ce service sur les DC, à moins que le rôle "Serveur d'impression" soit également installé. Libre à vous d'adapter cet exemple à vos besoins : la logique reste la même.

Pour gérer les services Windows par GPO, nous avons deux possibilités :

  • Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Services système
  • Configuration ordinateur > Préférences > Paramètres du Panneau de configuration > Services

Cette seconde méthode offre plus de contrôle grâce à des options supplémentaires et nous allons l'exploiter dans ce tutoriel. De plus, cette seconde méthode nous permet d'indiquer le nom que l'on souhaite pour le service.

II. Désactiver un service par GPO

Ouvrez la console "Gestion des stratégies de groupe" et créez une nouvelle GPO, à moins que vous préfériez utiliser une GPO existante. Pour ma part, ce sera la GPO "Sécurité - DC - Désactiver Spouleur d'impression".

Modifiez la GPO et naviguez jusqu'à l'emplacement suivant :

  • Configuration ordinateur > Préférences > Paramètres du Panneau de configuration > Services

Effectuez un clic droit puis sous "Nouveau", choisissez "Service".

GPO - Préférences - Services - Nouvelle configuration

Vous avez besoin de connaître le "nom technique" du service afin de pouvoir le gérer par GPO. Vous pouvez obtenir cette information à partir de la console "Services" en regardant dans les propriétés du service que vous souhaitez cibler. Sinon, avec PowerShell vous pouvez rechercher votre service et repérer son nom. Par exemple, le service "Spouleur d'impression" est représenté par le nom "Spooler".

Récupérer nom service avec PowerShell

Ensuite, vous devez compléter le formulaire. Nous avons 3 options à modifier.

1 - Démarrage : le type de démarrage du service, ici, nous allons le désactiver

2 - Nom du service : vous pouvez saisir le nom vous-même (attention à l'orthographe) ou rechercher à partir de la liste de la machine locale en cliquant sur "..."

3 - Action du service : pour agir sur l'état du service, ici, nous allons l'arrêter. Ainsi, il sera désactivé et arrêter.

D'autres options sont également à votre disposition, notamment le choix d'un compte spécifique pour exécuter un service, ce qui peut être utile pour durcir la configuration de certains services. Vous avez également accès à l'onglet "Récupération" comme avec la console "Services" habituelle.

Configurer un service par GPO sous Windows Server

Cliquez sur "OK". Voilà, le service Spooler va être configuré par GPO. Il est possible de configurer d'autres services si besoin : répétez l'ajout d'un service via un clic droit.

Aperçu GPO pour gérer un service Windows avec les préférences

III. Tester la GPO

Pour finir, testez votre GPO. Connectez-vous sur une machine concernée par la GPO et effectuez un "gpupdate /force". L'exemple ci-dessous montre bien que le service a été arrêté et désactivé, sans avoir besoin de redémarrer la machine.

Service Windows arrêté et désactivé avec GPO

Nous pouvons faire le même constat avec la console "Services" de Windows :

Si, par mégarde, un administrateur venait à changer la configuration de ce service et à le démarrer, notre GPO l'arrêtera de nouveau (et le désactivera) à la prochaine application.

IV. Conclusion

En quelques minutes et quelques clics, vous pouvez gérer les services Windows d'un ensemble de machines à l'aide d'une GPO, que ce soit pour activer ou désactiver un service, ou simplement ajuster la configuration. Si vous souhaitez forcer l'état d'un service, c'est une bonne façon de procéder. N'oubliez pas que vous pouvez gérer n'importe quel service, à condition de connaitre son nom et qu'il soit présent sur les machines cibles.

The post Configurer les services Windows par GPO : activer, désactiver, démarrer, changer le compte, etc. first appeared on IT-Connect.

GPO – Désactiver l’option « Interrompre les mises à jour » de Windows Update

I. Présentation

Dans ce tutoriel, nous allons voir comment créer une stratégie de groupe (GPO) pour désactiver l'option "Interrompre les mises à jour" présente dans Windows Update, sur Windows 10 et Windows 11.

Sans cette action de notre part, un utilisateur peut décider de suspendre les mises à jour pendant 1 semaine ou plusieurs semaines (maximum 5 semaines) sur sa machine Windows. Ce n'est pas souhaitable, car les administrateurs doivent garder le contrôle sur le comportement des appareils. Ainsi, grâce à cette GPO, un utilisateur ne pourra pas prendre la décision de désactiver temporairement les mises à jour.

En fait, je fais référence à cette option :

Windows Update - Désactiver option Interrompre les mises à jour

II. Créer la GPO

Ouvrez la console de gestion des stratégies de groupe et créez une nouvelle GPO. Vous pouvez aussi ajouter à ce paramètre à une GPO existante. Dans cet exemple, la stratégie sera la suivante :

GPO - Windows Update - Désactiver interrompre mise à jour

Ensuite, effectuez un clic droit sur la stratégie de groupe afin de la modifier. Puis, parcourez les paramètres de GPO de cette façon :

  • Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > Windows Update > Gérer l'expérience utilisateur final

Il est possible que vous n'ayez pas le dossier "Gérer l'expérience utilisateur final" : tout dépend quelle version des modèles d'administration vous utilisez. Dans ce cas, ce n'est pas si grave : vous devriez retrouver le paramètre à configurer directement dans "Windows Update".

GPO - Windows Update - Bloquer interruption des updates

En ce qui concerne le paramètre à configurer, il porte le nom suivant : "Supprimer l'accès à la fonctionnalité Interrompre les mises à jour".

Vous devez le configurer de façon à définir son statut "Activé", comme ceci :

GPO - Supprimer l'accès à la fonctionnalité Interrompre les mises à jour

Voilà, validez. La GPO est prête ! Il ne reste plus qu'à l'associer aux bonnes unités d'organisation pour l'appliquer à vos appareils Windows.

III. Tester la GPO

Pour tester, nous devons accéder à une machine Windows concernée par la stratégie de groupe et effectuez la commande habituelle nous permettant de rafraichir les GPO :

gpupdate /force

Ensuite, après redémarrage, nous pourrons constater que l'option est bien désactivée ! Même en tant qu'administrateur, nous n'avons plus la possibilité de suspendre les mises à jour Windows Update :

IV. Conclusion

Voilà, grâce à ce paramètre de GPO très simple à mettre en pratique, vous pouvez verrouiller la fonctionnalité "Interrompre les mises à jour" de Windows Update.

S'il y a des amateurs de Registre Windows, sachez que ce paramètre correspond à la configuration de la valeur "SetDisablePauseUXAccess" (de type DWORD (32-bit") dans le Registre (positionnée à "1" pour désactiver la fonctionnalité) :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

The post GPO – Désactiver l’option « Interrompre les mises à jour » de Windows Update first appeared on IT-Connect.

❌