I. Présentation

En environnement Active Directory, les stratégies de groupe jouent un rôle dans l'administration et la sécurisation des postes de travail et des serveurs. Néanmoins, au fil des années, elles sont susceptibles de s'accumuler et l'équipe IT peut finir par perdre le contrôle sur leurs GPO et ne plus avoir une bonne visibilité sur le rôle de chacune d'elle... Au point, de se retrouver avec des GPO en double, des GPO vides, des GPO avec des permissions incorrectes, ou tout simplement des GPO mal configurées. D'ailleurs, tôt ou tard, ceci pourrait être à l'origine d'un problème avec l'une de vos stratégies de groupe...

Nous pouvons dire que l'administration des GPO est un véritable défi, surtout quand elles sont nombreuses et gérées par plusieurs personnes. Dans ce tutoriel, nous allons découvrir l'outil GPOZaurr, qui pourra vous venir en aide puisque ce module PowerShell va analyser l'intégralité de vos GPO et vous générer un joli rapport que vous pourrez ensuite analyser.

Il sera d'une aide précieuse à celles et ceux qui ont la volonté de faire du tri dans leurs GPO, mais également si vous cherchez à investiguer sur un problème de stratégies de groupe. Nous pourrions même dire que GPOZaurr permet de faire un audit des GPO. En complément, vous pouvez lire cet article :

• Cliquez ici pour regarder la vidéo sur YouTube

• Tutoriel - Ma GPO ne fonctionne pas : 14 pistes et conseils pour s'en sortir !

II. Les vérifications effectuées par GPOZaurr

Lorsque nous allons exécuter un audit avec GPOZaurr, l'outil va vérifier près d'une vingtaine de points de configuration et anomalies potentielles. Par exemple :

• Détection des GPO "cassées", c'est-à-dire des GPO qui sont présentes dans l'Active Directory mais qui ne sont plus dans SYSVOL, ou inversement. Ceci crée des GPO orphelines qui ne fonctionneront pas.
• Détection des liens de GPO "cassés, c'est-à-dire que la GPO a été supprimée, mais qu'une ou plusieurs liaisons n'ont pas été correctement supprimés.
• Détection des problèmes et des incohérences sur les permissions de GPO.
• Détection des GPO dupliquées.
• Détection des GPO vides.
• Détection des GPO avec une section désactivée alors qu'il y a des paramètres configurés
• Détection des mots de passe dans les GPO.
• Inventorier tous les fichiers présents dans le SYSVOL, ce qui permettra de faciliter la détection de fichiers inutiles et/ou malveillants.
• Inventorier toutes les unités d'organisation dont l'héritage est bloqué et vérifier le nombre d'utilisateurs ou d'ordinateurs concernés.
• Catégorisation des GPO, en fonction des paramètres configurés.
• Vérification des autorisations sur le partage NetLogon.
• Détection de fichiers ADM (legacy) dans le SYSVOL.

Il fournira aussi un rapport complet sur l'ensemble de vos GPOs permettant d'identifier les GPO vides, non liées, appliquées, désactivées, sans filtrage de sécurité, etc...

Vous pouvez retrouver le projet GPOZaurr sur GitHub :

• GitHub - GPOZaurr

III. Installer GPOZaurr

Tout d'abord, ouvrez une console PowerShell sur votre machine et installez le module GPOZaurr :

Install-Module -Name GPOZaurr

Vous devez savoir que GPOZaurr va également installer les modules PSWriteHTML, ADEssentials, PSSharedGoods, PSWriteColor, car ce sont des prérequis à son fonctionnement. D'ailleurs, c'est le même développeur principal derrière ces différents modules, et vous connaissez peut-être déjà l'excellent module PSWriteHTML.

Si l'installation ne passe pas avec la commande ci-dessus, réessayez avec celle-ci :

Install-Module -Name GPOZaurr -AllowClobber -Force

Par ailleurs, GPOZaurr nécessite l'installation des outils RSAT pour l'Active Directory et la console de "Gestion des stratégies de groupe" pour être en mesure d'effectuer l'analyse de votre environnement. Ces consoles sont présentes sur les serveurs contrôleurs de domaine Active Directory et peuvent être installées sur un serveur ou poste de travail d'administration.

IV. Générer un rapport avec GPOZaurr

Une fois que GPOZaurr est installé, vous pouvez l'exécuter via le cmdlet "Invoke-GPOZaurr" pour qu'il effectue une analyse de vos GPO.

Remarque : vous devez l'exécuter avec un compte Administrateur pour que l'ensemble des points puissent être vérifiés. A partir d'un compte utilisateur standard, certaines informations pourront être récupérées, mais l'analyse sera partielle.

Invoke-GPOZaurr

Sans aucun paramètre, GPOZaurr va effectuer une analyse complète des stratégies de groupe de votre domaine Active Directory. Ainsi, sur un domaine avec plusieurs milliers de GPO, l'analyse peut durer plusieurs heures. Sur mon Lab, où il y a un peu moins de 100 GPO, l'analyse est relativement rapide puisqu'elle nécessite environ 2 minutes.

Si vous souhaitez effectuer une analyse uniquement sur certaines catégories ou certaines anomalies, sachez que ce cmdlet intègre un paramètre nommé "-Type" qui vous permettra de spécifier le périmètre de l'analyse.

Invoke-GPOZaurr -Type <Nom du rapport>
# Exemple n°1 :
Invoke-GPOZaurr -Type GPOBroken
# Exemple n°2 :
Invoke-GPOZaurr -Type GPOBroken,GPOPermissions

Voici la liste des valeurs disponibles :

Par ailleurs, le paramètre "-FilePath" vous offre la possibilité de nommer le rapport comme vous le souhaitez et de le stocker dans le répertoire de votre choix. Sinon, par défaut, ce sera dans le répertoire temporaire de l'utilisateur utilisé pour lancer l'analyse. L'exemple ci-dessous vous permettra d'intégrer la date et l'heure dans le nom du rapport.

Invoke-GPOZaurr -FilePath "C:\TEMP\GPOZaurr_$(Get-Date -Format yyyyMMdd-hhmm).html"

V. Découverte du rapport de GPOZaurr

Le rapport s'ouvrir sur votre machine dès lors que l'analyse est terminée. La partie supérieure du rapport contient un ensemble d'onglets, ce qui permet de naviguer dans les différentes catégories. Chaque onglet contient une zone qui décrit ce qui a été analysé, un graphique, ainsi qu'un tableau récapitulatif avec le statut de vos GPO.

Chaque sous-rapport peut être exporté au format Excel, CSV ou PDF. De plus, vous pouvez effectuer des recherches sur chaque colonne d'un tableau afin de filtrer les résultats rapidement.

Pour avoir une vue d'ensemble de vos GPO, cliquez sur l'onglet "Group Policy Summary". Il offre un aperçu global sur l'ensemble de vos GPO avec quelques indicateurs clés (oui/non) : GPO vide, GPO activée, GPO optimisée, GPO avec un problème, GPO liée, etc.

En complément, si vous basculez sur l'onglet "Group Policy Content", vous pourrez constater que GPOZaurr a organisé vos GPO par catégorie. Par exemple, la catégorie "Audit" permet de voir toutes les GPO qui permettent de configurer des paramètres de stratégies d'audit.

Chaque onglet contient des informations intéressantes et qui pourront s'avérer plus ou moins utiles et pertinentes selon le contexte dans lequel vous utilisez GPOZaurr. Si vous passez sur l'onglet "SYSVOL (NetLogon) Files List", vous pourrez visualiser l'ensemble des fichiers détectés dans le partage SYSVOL. Ce sera aussi l'occasion de voir si ces fichiers sont liés à une GPO, ou pas.

GPOZaurr est également capable de corriger les problèmes à votre place, grâce à un processus étape par étape où l'outil vous fournit les commandes PowerShell à exécuter pour faire le nécessaire. À chaque fois que vous changez d'onglet, les étapes de remédiation sont adaptées en fonction du contexte. Néanmoins, je vous recommande de corriger les problèmes vous-même et d'utiliser GPOZaurr uniquement pour vous faciliter le travail d'analyse. Même rien ne vous empêche de vous inspirer de la solution proposée, mais l'objectif étant de limiter les effets indésirables...

VI. Conclusion

J'ai découvert GPOZaurr récemment, et c'est bien dommage.... Il aurait pu me rendre bien des services pour investiguer sur des problèmes de GPO, générer un rapport complet sur les GPO pour un audit ou encore pour effectuer du tri dans les GPO. J'espère que cet article vous donnera envie de l'utiliser et de l'ajouter à votre boite à outils !

En complément de cet article, vous pouvez lire celui rédigé par l'auteur de ce module (en anglais) :

• Evotec.xyz - GPOZaurr

The post GPOZaurr, l’outil ultime pour analyser vos stratégies de groupe first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment personnaliser le menu Démarrer de Windows 11 à l'aide d'une stratégie Intune, afin de définir une liste des applications à épingler dans le menu Démarrer. L'objectif étant d'avoir une configuration uniforme sur son parc informatique.

• Cliquez ici pour regarder la vidéo sur YouTube

Au sein du système d'exploitation Windows, le menu Démarrer joue un rôle clé, car il offre un accès direct aux applications installées sur l'ordinateur. Le menu Démarrer de Windows 11 permet d'épingler certaines applications afin de pouvoir les trouver facilement, juste en ouvrant le menu Démarrer. C'est précisément sur la liste des applications épinglées que nous allons agir aujourd'hui, en définissant une liste personnalisée d'applications à l'aide d'un fichier de configuration au format JSON.

En entreprise, cette configuration est utile pour avoir une disposition du menu Démarrer identique sur l'ensemble des sessions de vos utilisateurs. Ceci peut éviter qu'un utilisateur vous appelle pour vous dire qu'il ne trouve pas telle ou telle application dans le menu Démarrer. Néanmoins, sachez que cette configuration va venir écraser la liste des applications épinglées de l'utilisateur, et il ne pourra pas modifier cette liste (ses éventuels changements seront écrasés).

• Découverte des profils de configuration Intune

II. Préparer un modèle de menu Démarrer

La première étape consiste à préparer un modèle de menu Démarrer. Pour cela, vous devez utiliser une machine Windows 11 et ajouter au menu Démarrer les applications que vous souhaitez épingler. Ne créez pas de dossiers d'applications, car ce ne sera pas conservé.

Voici un exemple :

Une fois que c'est fait, vous devez exporter cette configuration dans un fichier au format JSON. Cette action doit être effectuée avec PowerShell.

Ouvrez une console PowerShell et exécutez la commande suivante :

Export-StartLayout -Path "<Chemin/vers/fichier/JSON>"
# Par exemple :
Export-StartLayout -Path "StartMenuLayout.json"

Ceci va créer un fichier JSON qui contiendra la liste de toutes les applications épinglées dans votre menu Démarrer type.

Si vous ouvrez le fichier JSON, vous verrez les applications sous "pinnedList". Si vous ouvrez le fichier avec Visual Studio Code, utilisez le raccourci clavier "Shift+Alt+F" pour que le fichier soit formaté, ce sera plus lisible.

Par la suite, vous devrez copier-coller le contenu de ce fichier dans la stratégie Intune.

III. Créer la stratégie Intune

La suite de la configuration se passe sur le Centre d'administration Microsoft Intune.

• intune.microsoft.com

Cliquez sur "Appareils", puis "Configuration", afin de cliquer sur "Créer" puis "Nouvelle stratégie".

Un panneau latéral va s'ouvrir sur la droite, faites les choix suivants :

• Plateforme : Windows 10 et ultérieur
• Type de profil : Modèles
• Nom du modèle : Personnalisé

Cliquez sur "Créer".

Ensuite, vous devez suivre l'assistant de création de la stratégie, en 5 étapes.

Commencez par nommer cette stratégie :

Puis, à l'étape "Paramètres de configuration", ajoutez un paramètre et configurez-le de cette façon :

• Nom : "Menu Démarrer - Applications épinglées" (vous pouvez utiliser un autre nom)
• OMA-URI : ./Vendor/MSFT/Policy/Config/Start/ConfigureStartPins
• Type de données : Chaine (ou "String" en anglais)
• Valeur : collez ici le contenu de votre fichier JSON

Cliquez sur "Enregistrer" quand c'est fait.

Il n'y a que ce paramètre à configurer pour gérer les applications épinglées.

Passez à l'étape suivante dans le but d'assigner cette stratégie à des appareils : sélectionnez un ou plusieurs groupes, selon vos besoins. Dans cet exemple, je me permets de sélectionner "Tous les appareils" car c'est un lab.

Poursuivez jusqu'à la fin et créez la stratégie. Voilà, elle est prête à l'emploi !

Désormais, il ne reste plus qu'à tester sur un appareil Windows !

IV. Tester la configuration

Après avoir effectué une synchronisation Intune sur la machine, vous verrez que le menu Démarrer va être modifié : la section "Epinglé" sera identique à votre modèle initial. La section "Nos recommandations" quant à elle, n'est pas impactée.

V. Conclusion

En suivant ce tutoriel, vous êtes en mesure de personnaliser le menu Démarrer de Windows 11 grâce à la création d'une liste d'applications épinglées ! Pour aller plus loin dans la personnalisation du menu Démarrer avec Intune, vous pouvez consulter cette page de la documentation Microsoft :

• Microsoft Learn - Intune - CSP pour le menu Démarrer

The post Intune – Comment personnaliser le menu Démarrer de Windows 11 ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à gérer les services Windows à l'aide d'une stratégie de groupe (GPO). Que ce soit pour réduire la surface d'attaque des postes de travail et serveurs, ou pour les besoins d'une fonctionnalité de Windows ou d'une application, il peut s'avérer nécessaire de gérer les services Windows avec une GPO.

Dans cet exemple, nous allons voir comment arrêter et désactiver le service "Spouleur d'impression" sur les contrôleurs de domaine Active Directory, à l'aide d'une GPO. Pour des raisons de sécurité, il est recommandé de désactiver et d'arrêter ce service sur les DC, à moins que le rôle "Serveur d'impression" soit également installé. Libre à vous d'adapter cet exemple à vos besoins : la logique reste la même.

Pour gérer les services Windows par GPO, nous avons deux possibilités :

• Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Services système
• Configuration ordinateur > Préférences > Paramètres du Panneau de configuration > Services

Cette seconde méthode offre plus de contrôle grâce à des options supplémentaires et nous allons l'exploiter dans ce tutoriel. De plus, cette seconde méthode nous permet d'indiquer le nom que l'on souhaite pour le service.

II. Désactiver un service par GPO

Ouvrez la console "Gestion des stratégies de groupe" et créez une nouvelle GPO, à moins que vous préfériez utiliser une GPO existante. Pour ma part, ce sera la GPO "Sécurité - DC - Désactiver Spouleur d'impression".

Modifiez la GPO et naviguez jusqu'à l'emplacement suivant :

• Configuration ordinateur > Préférences > Paramètres du Panneau de configuration > Services

Effectuez un clic droit puis sous "Nouveau", choisissez "Service".

Vous avez besoin de connaître le "nom technique" du service afin de pouvoir le gérer par GPO. Vous pouvez obtenir cette information à partir de la console "Services" en regardant dans les propriétés du service que vous souhaitez cibler. Sinon, avec PowerShell vous pouvez rechercher votre service et repérer son nom. Par exemple, le service "Spouleur d'impression" est représenté par le nom "Spooler".

Ensuite, vous devez compléter le formulaire. Nous avons 3 options à modifier.

1 - Démarrage : le type de démarrage du service, ici, nous allons le désactiver

2 - Nom du service : vous pouvez saisir le nom vous-même (attention à l'orthographe) ou rechercher à partir de la liste de la machine locale en cliquant sur "..."

3 - Action du service : pour agir sur l'état du service, ici, nous allons l'arrêter. Ainsi, il sera désactivé et arrêter.

D'autres options sont également à votre disposition, notamment le choix d'un compte spécifique pour exécuter un service, ce qui peut être utile pour durcir la configuration de certains services. Vous avez également accès à l'onglet "Récupération" comme avec la console "Services" habituelle.

Cliquez sur "OK". Voilà, le service Spooler va être configuré par GPO. Il est possible de configurer d'autres services si besoin : répétez l'ajout d'un service via un clic droit.

III. Tester la GPO

Pour finir, testez votre GPO. Connectez-vous sur une machine concernée par la GPO et effectuez un "gpupdate /force". L'exemple ci-dessous montre bien que le service a été arrêté et désactivé, sans avoir besoin de redémarrer la machine.

Nous pouvons faire le même constat avec la console "Services" de Windows :

Si, par mégarde, un administrateur venait à changer la configuration de ce service et à le démarrer, notre GPO l'arrêtera de nouveau (et le désactivera) à la prochaine application.

IV. Conclusion

En quelques minutes et quelques clics, vous pouvez gérer les services Windows d'un ensemble de machines à l'aide d'une GPO, que ce soit pour activer ou désactiver un service, ou simplement ajuster la configuration. Si vous souhaitez forcer l'état d'un service, c'est une bonne façon de procéder. N'oubliez pas que vous pouvez gérer n'importe quel service, à condition de connaitre son nom et qu'il soit présent sur les machines cibles.

The post Configurer les services Windows par GPO : activer, désactiver, démarrer, changer le compte, etc. first appeared on IT-Connect.