Référence GPO Windows
Une référence complète des stratégies de groupe Microsoft Windows — base de données interrogeable des paramètres GPO avec chemins de registre, versions Windows supportées, étapes de configuration, implications sécurité et cas d'usage concrets. Pensée pour les administrateurs gérant Active Directory, Intune et Windows en autonome.
Qu'est-ce qu'une stratégie de groupe ?
Un objet de stratégie de groupe (GPO) est un paramètre de configuration Windows qui définit le comportement des ordinateurs et des comptes utilisateurs. Chaque stratégie correspond à une ou plusieurs valeurs de registre, s'applique à une portée précise (Ordinateur ou Utilisateur) et est livrée dans un fichier ADMX (modèle administratif). Cette référence indexe le catalogue ADMX de Microsoft avec des explications détaillées, des correspondances de registre et des conseils opérationnels qu'on ne trouve pas sur les pages officielles Microsoft Learn.
Set update service to WSUS
Routes updates through internal WSUS server. Active patch management control and reduces internet bandwidth consumption.
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure active hours for updates
Sets when utilisateurs are actively working (9 AM - 5 PM). Updates install outside these heures to minimize utilisateur disruption.
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update for Business
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Exclude specific KB articles from installation
Empêche driver updates through Windows Update. Autorise MSPs to control driver deployment separately.
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Set expedited security update behavior
Autorise emergency security updates to bypass deferral periods. Ensures critical zero-day patches deploy immediately.
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update for Business
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Disable peer updates over metered connections
Empêche update downloads over metered networks. Protects mobile utilisateurs from unexpected data charges.
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update for Business
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Disable automatic restart after updates
Empêche automatic reboot while utilisateurs are logged in. Autorise scheduling restarts during maintenance windows.
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Force updates through Group Policy
Sets Windows Update to auto-download and schedule installation. Value 4 autorise admin to choose install time.
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure deadline grace period
Provides 2-day grace period après deadline avant forced restart. Balances compliance with utilisateur scheduling flexibility.
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update for Business
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Enable DNS registration for Always On VPN
Automatically registers VPN connection IP with DNS. Active proper name resolution for MSP-managed à distance clients.
Computer Configuration > Administrative Templates > Network > VPN
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure trusted networks for Always On VPN
Specifies networks where VPN disconnection is allowed. Autorise MSPs to exempt company networks from VPN requirement.
Computer Configuration > Administrative Templates > Network > VPN
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Disable automatic VPN trigger on untrusted networks
Empêche automatic VPN connection on réseau changes. Gives MSPs explicit control over when VPN activates.
Computer Configuration > Administrative Templates > Network > VPN
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure VPN reconnection behavior on connection loss
Automatically reconnects VPN après connection loss. Ensures continuous secure connectivity for MSP clients.
Computer Configuration > Administrative Templates > Network > VPN
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Enable VPN reconnect on network change
Reconnects VPN when réseau topology changes. Maintains continuous security for mobile MSP clients.
Computer Configuration > Administrative Templates > Network > VPN
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Force device tunnel for Always On VPN
Applique système-level VPN tunnel avant utilisateur connexion. Critical for MSPs requiring zero-trust réseau accès.
Computer Configuration > Administrative Templates > Network > RAS > Connection Manager
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Require authentication on VPN connection
Forces utilisateur authentification for VPN connections. Strengthens accès control in MSP-managed environments.
Computer Configuration > Administrative Templates > Network > VPN
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prevent dial-up connections outside of VPN
Bloque direct dial-up bypassing VPN. Ensures all à distance connections use MSP-approved secure channels.
Computer Configuration > Administrative Templates > Network > RAS > Connection Manager
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Enable split tunneling for Always On VPN
Controls whether non-VPN traffic can bypass tunnel. MSPs typically disable to force all traffic through VPN.
Computer Configuration > Administrative Templates > Network > VPN
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure VPN encapsulation type
Applique maximum chiffrement for IPSec tunnels. Critical for MSP security compliance requirements.
Computer Configuration > Administrative Templates > Network > RAS > IPSec
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure VPN idle disconnect timeout
Automatically disconnects idle VPN sessions après timeout. Reduces security exposure for MSP-managed systems.
Computer Configuration > Administrative Templates > Network > RAS
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Enable Windows NTP Client
Active the Windows NTP client service. Essential for maintaining accurate système time across MSP-managed infrastructure.
Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure NTP client maximum poll interval
Sets maximum poll interval to 1024 secondes. Reduces NTP traffic while maintaining time accuracy for MSP systems.
Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Named Pipes that can be accessed anonymously
Lists named pipes accessible via NULL sessions. MSPs keep this empty to prevent attaque tools from enumerating the réseau.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure WER queue behavior
Queues reports instead of sending immediately. Reduces réseau impact for MSP-managed systems.
Computer Configuration > Administrative Templates > Windows Components > Windows Error Reporting
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure NTP server
Specifies NTP server(s) for time synchronization. MSPs should configure reliable, redundant NTP sources.
Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →