Référence GPO Windows
Une référence complète des stratégies de groupe Microsoft Windows — base de données interrogeable des paramètres GPO avec chemins de registre, versions Windows supportées, étapes de configuration, implications sécurité et cas d'usage concrets. Pensée pour les administrateurs gérant Active Directory, Intune et Windows en autonome.
Qu'est-ce qu'une stratégie de groupe ?
Un objet de stratégie de groupe (GPO) est un paramètre de configuration Windows qui définit le comportement des ordinateurs et des comptes utilisateurs. Chaque stratégie correspond à une ou plusieurs valeurs de registre, s'applique à une portée précise (Ordinateur ou Utilisateur) et est livrée dans un fichier ADMX (modèle administratif). Cette référence indexe le catalogue ADMX de Microsoft avec des explications détaillées, des correspondances de registre et des conseils opérationnels qu'on ne trouve pas sur les pages officielles Microsoft Learn.
Disable Task Manager
Désactive Task Manager accès via Ctrl+Alt+Del. Paramètre to 1 hides Task Manager. Critical for MSPs preventing utilisateurs from terminating kiosk applications.
User Configuration > Administrative Templates > System > Ctrl+Alt+Del Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Disable changing desktop wallpaper
Empêche utilisateurs from changing wallpaper. Paramètre to 1 applique verrouillé wallpaper. MSPs use for branding kiosk systems.
User Configuration > Administrative Templates > Desktop
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Hide specific drives in My Computer
Hides specified drives from Windows Explorer. MSPs use this to prevent accès to sensitive partitions on kiosk or shared systems.
User Configuration > Administrative Templates > Windows Components > Windows Explorer
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Restrict anonymous access to Named Pipes
Bloque NULL session connections to named pipes. Paramètre to 1 exige authentification. Critical for MSPs preventing WMIEXEC and admin$ enumeration.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Do not allow anonymous enumeration of computer accounts
Empêche anonymous enumeration of ordinateur comptes. Paramètre to 1 bloque ordinateur discovery. MSPs use this to prevent reconnaissance.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Restrict Run dialog access
Désactive Run dialog (Win+R). Paramètre to 1 hides the dialog. Essential for MSPs preventing command execution on verrouillé-down kiosk systems.
User Configuration > Administrative Templates > System
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Model for local account authentication
Controls guest compte à distance login. Paramètre to 1 empêche blank mot de passe authentification. Critical for MSPs preventing guest compte abuse.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Restrict anonymous access to shares
Bloque anonymous share enumeration and accès. Paramètre to 1 exige authentification. Essential for MSPs protecting file shares.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Named Pipes that can be accessed anonymously
Lists named pipes accessible via NULL sessions. MSPs keep empty to prevent WMI and RPC attaques.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Remotely accessible registry paths
Specifies registry paths remotely accessible. MSPs restrict to only necessary paths to prevent information disclosure.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Slow link mode for offline files
Configure connection speed threshold for offline files slow link detection. Active efficient sync behavior on slow réseau connections.
Computer Configuration > Policies > Administrative Templates > Network > Offline Files
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Remove Settings from Settings App
Controls which Settings pages utilisateurs can accès. MSPs restrict this to prevent système configuration changes on shared devices.
User Configuration > Administrative Templates > Control Panel > Settings
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Remotely accessible registry paths and sub-paths
Specifies registry subtrees remotely accessible. MSPs restrict to prevent à distance registry enumeration attaques.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Remove redirected folders on policy removal
Controls whether redirected folders remain on réseau or are removed when folder redirection stratégie is deleted. Empêche accidental data loss for MSP-managed environments.
User Configuration > Policies > Administrative Templates > System > Folder Redirection
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Restrict anonymous enumeration of SAM accounts
Empêche anonymous utilisateurs from enumerating SAM. Paramètre to 1 exige authentification. Essential for MSPs blocking utilisateur compte discovery attaques.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Let Everyone permissions apply to anonymous users
Controls if Everyone group includes anonymous utilisateurs. Keep at 0 to deny anonymous accès. Critical for preventing NULL session resource accès.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Shares that can be accessed anonymously
Lists shares accessible via NULL sessions. MSPs keep empty to prevent anonymous data accès and discovery.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow execution of startup scripts with partial GPO scope
Controls whether startup scripts execute if Group Stratégie cannot be fully applied. Set to 0 to appliquer complete stratégie l'application.
Computer Configuration > Policies > Administrative Templates > System > Scripts
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Disable IPv6
Désactive IPv6 protocol if not needed in legacy environments. Reduces protocol overhead and attaque surface on IPv4-only networks.
Computer Configuration > Policies > Administrative Templates > Network > TCP/IP
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Restrict anonymous enumeration of SAM accounts and shares
Restreint anonymous SAM and share enumeration. Paramètre to 2 exige authentification for enumeration. Critical for MSPs blocking reconnaissance attaques.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network access: Insecure guest logons
Autorise insecure guest authentification. Paramètre to 0 exige secure auth. Critical for MSPs preventing credential relay attaques.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Disable WebDAV client
Désactive WebDAV client functionality to reduce attaque surface and prevent unauthorized à distance file accès. Recommandé for high-security MSP environments.
Computer Configuration > Policies > Administrative Templates > Network > WebDAV
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Reconnect at logon
Automatically reconnect mapped réseau drives at utilisateur connexion. Critical for MSP clients relying on persistent drive mappings for shared resources and file accès.
User Configuration > Policies > Administrative Templates > Windows Components > File Sharing
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow only SDI applications
Active or désactive offline file caching for réseau shares. Important for laptop utilisateurs and à distance workers requiring offline accès.
Computer Configuration > Policies > Administrative Templates > Network > Offline Files
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →