Référence GPO Windows
Une référence complète des stratégies de groupe Microsoft Windows — base de données interrogeable des paramètres GPO avec chemins de registre, versions Windows supportées, étapes de configuration, implications sécurité et cas d'usage concrets. Pensée pour les administrateurs gérant Active Directory, Intune et Windows en autonome.
Qu'est-ce qu'une stratégie de groupe ?
Un objet de stratégie de groupe (GPO) est un paramètre de configuration Windows qui définit le comportement des ordinateurs et des comptes utilisateurs. Chaque stratégie correspond à une ou plusieurs valeurs de registre, s'applique à une portée précise (Ordinateur ou Utilisateur) et est livrée dans un fichier ADMX (modèle administratif). Cette référence indexe le catalogue ADMX de Microsoft avec des explications détaillées, des correspondances de registre et des conseils opérationnels qu'on ne trouve pas sur les pages officielles Microsoft Learn.
Do Not Keep History of Recently Opened Documents
Empêche Windows from tracking recently opened files.
User Configuration > Administrative Templates > Start Menu and Taskbar
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Redirect Desktop Folder
Redirects the Desktop folder to a réseau location for backup and roaming.
User Configuration > Windows Settings > Folder Redirection > Desktop
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Let Apps Access the Microphone
Controls whether apps can accès the microphone.
Computer Configuration > Administrative Templates > Windows Components > App Privacy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Redirect Documents Folder
Redirects My Documents to a réseau location. Ensures utilisateur data is backed up.
User Configuration > Windows Settings > Folder Redirection > Documents
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Grant User Exclusive Rights to Redirected Folders
Ensures only the utilisateur and administrators have accès to their redirected folder.
User Configuration > Windows Settings > Folder Redirection > [any folder] > Settings
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Let Apps Access the Camera
Controls whether apps can accès the camera. 2 bloque all app camera accès.
Computer Configuration > Administrative Templates > Windows Components > App Privacy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Let Apps Access Location
Controls whether apps can accès location data.
Computer Configuration > Administrative Templates > Windows Components > App Privacy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Domain Controller: Allow Server Operators to Schedule Tasks
Empêche Server Operators from scheduling tasks, which could allow privilege escalation.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Zerologon: Full Enforcement Mode (MS-NRPC)
Applique secure RPC for all Netlogon connections. Atténue CVE-2020-1472 (Zerologon). Ensure all domaine devices are patched avant enabling.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Redirect AppData (Roaming) Folder
Redirects application data for roaming profiles.
User Configuration > Windows Settings > Folder Redirection > AppData (Roaming)
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Let Apps Access Contacts
Controls whether apps can accès the contacts list.
Computer Configuration > Administrative Templates > Windows Components > App Privacy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →LDAP Server Signing Requirements
Exige LDAP clients to negotiate data signing. Empêche LDAP relay attaques. Set to 2 to require.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Domain Member: Digitally Encrypt Secure Channel Data (When Possible)
Encrypts secure channel data when possible. Should be paired with RequireSignOrSeal.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Domain Member: Require Strong Session Key
Exige 128-bit session keys for secure channel data. All modern environments should have this enabled.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →DefaultNot configured
Controls whether apps can accès compte name, picture, and other compte info.
Recommended2 (Force Deny)
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Domain Member: Digitally Encrypt or Sign Secure Channel Data (Always)
Exige all secure channel traffic to be signed or encrypted. Empêche plaintext Netlogon traffic.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →DefaultNot configured
Empêche apps from reading diagnostic data about other apps.
Recommended2 (Force Deny)
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →LDAP Server Channel Binding Token Requirements
Exige LDAP channel binding for LDAPS connections. Atténue NTLM relay to LDAP attaques. Apply après auditing.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Domain Controller: Refuse Machine Account Password Changes
If enabled, DCs refuse machine compte mot de passe changes. Keep disabled to allow normal machine compte rotation.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure Security Policy Processing: Process Even if Not Changed
Forces security paramètres to be reapplied every GP refresh cycle. Critical for security baseline l'application.
Computer Configuration > Administrative Templates > System > Group Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Zerologon: Vulnerable Channel Allowlist
Allowlist for devices exempted from Zerologon l'application. Should be empty in fully patched environments.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Active Directory: Use DFSR for SYSVOL Replication
N/A (DFSR configuration) DefaultEnabled (post-2008 domains) RecommendedDFSR (not legacy FRS) DFSR should replace legacy FRS for SYSVOL replication. FRS is deprecated and unsupported on Server 2022+.
Computer Configuration > Administrative Templates > System > DFS Replication
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Domain Member: Digitally Sign Secure Channel Data (When Possible)
Signs secure channel traffic when chiffrement is not available.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Minimum Password Length
Minimum nombre de caractères requis in a mot de passe. NIST recommande 8+, CIS recommande 14+.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →