Comment exécuter des scripts PowerShell au démarrage de Windows à l'aide de la stratégie de groupe

Tout d'abord, créez votre script PowerShell et placez-le dans un emplacement accessible à tous les ordinateurs du domaine. Le partage SYSVOL est l'emplacement standard pour les scripts de stratégie de groupe.

Créez un script de test pour vérifier que le processus fonctionne :

# Créer le contenu du script de test
$scriptContent = @'
# Test de script de démarrage
$timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
$computerName = $env:COMPUTERNAME
$logMessage = "$timestamp - Script de démarrage exécuté sur $computerName"

# Écrire dans le journal des événements
Write-EventLog -LogName Application -Source "Application" -EventId 1001 -EntryType Information -Message $logMessage

# Créer un fichier journal
$logPath = "C:\Windows\Temp\startup_script.log"
Add-Content -Path $logPath -Value $logMessage
'@

# Enregistrer le script dans un fichier local
$scriptContent | Out-File -FilePath "C:\temp\startup-test.ps1" -Encoding UTF8

Copiez le script dans l'emplacement SYSVOL sur votre contrôleur de domaine :

copy "C:\temp\startup-test.ps1" "C:\Windows\SYSVOL\sysvol\yourdomain.com\scripts\startup-test.ps1"

Définissez les autorisations appropriées pour le fichier script :

icacls "C:\Windows\SYSVOL\sysvol\yourdomain.com\scripts\startup-test.ps1" /grant "Domain Computers:(RX)"

Vérification : Confirmez que le script existe et est accessible en exécutant dir \\yourdomain.com\NETLOGON\startup-test.ps1 depuis un ordinateur du domaine.

Lancez la console de gestion des stratégies de groupe pour créer un nouvel objet de stratégie de groupe pour votre script de démarrage.

Ouvrez GPMC en tant qu'administrateur de domaine :

gpmc.msc

Accédez à votre domaine dans l'arborescence de la console et créez un nouveau GPO :

1. Développez votre domaine (par exemple, votredomaine.com)
2. Cliquez avec le bouton droit sur Objets de stratégie de groupe
3. Sélectionnez Nouveau
4. Entrez un nom descriptif : Scripts de démarrage PowerShell
5. Cliquez sur OK

Le nouveau GPO apparaîtra dans le conteneur Objets de stratégie de groupe. Ce GPO est créé mais pas encore lié à une unité organisationnelle, il n'affectera donc encore aucun ordinateur.

Vérification : Confirmez que le nouveau GPO apparaît dans la liste des objets de stratégie de groupe avec le nom que vous avez spécifié.

Modifiez le GPO nouvellement créé pour ajouter la configuration de votre script de démarrage PowerShell.

Cliquez avec le bouton droit sur votre nouveau GPO et sélectionnez Modifier. Cela ouvre l'Éditeur de gestion des stratégies de groupe. Accédez à la section des scripts de démarrage :

1. Développez Configuration de l'ordinateur
2. Développez Stratégies
3. Développez Paramètres Windows
4. Cliquez sur Scripts (Démarrage/Arrêt)
5. Double-cliquez sur Démarrage

Dans la boîte de dialogue Propriétés de démarrage, cliquez sur l'onglet Scripts PowerShell (pas l'onglet Scripts). Ceci est spécifiquement pour les scripts PowerShell et offre un meilleur contrôle d'exécution.

Ajoutez votre script :

1. Cliquez sur Ajouter...
2. Dans le champ Nom du script, entrez le chemin UNC : %LogonServer%\NETLOGON\startup-test.ps1
3. Laissez les paramètres du script vides sauf si votre script nécessite des paramètres spécifiques
4. Cliquez sur OK

Votre script apparaît maintenant dans la liste des scripts PowerShell. Vous pouvez utiliser les boutons Haut et Bas pour contrôler l'ordre d'exécution si vous avez plusieurs scripts.

Vérification : Le script doit apparaître dans la liste des scripts PowerShell avec le chemin correct. Cliquez sur OK pour enregistrer la configuration.

Windows 11 a une politique d'exécution PowerShell par défaut de Restricted, qui bloque l'exécution des scripts. Configurez la politique d'exécution via la stratégie de groupe pour permettre l'exécution de vos scripts de démarrage.

Dans le même éditeur de gestion des stratégies de groupe, accédez aux paramètres de la politique d'exécution PowerShell :

1. Allez dans Configuration de l'ordinateur
2. Développez Stratégies
3. Développez Modèles d'administration
4. Développez Composants Windows
5. Cliquez sur Windows PowerShell
6. Double-cliquez sur Activer l'exécution des scripts

Configurez la politique d'exécution :

1. Sélectionnez Activé
2. Dans le menu déroulant Politique d'exécution, choisissez Autoriser les scripts locaux et les scripts signés à distance (RemoteSigned)
3. Cliquez sur OK

Cette politique permet aux scripts stockés localement de s'exécuter tout en exigeant que les scripts distants soient signés numériquement, offrant un bon équilibre entre sécurité et fonctionnalité.

Méthode alternative : Si vous préférez ne pas modifier la politique d'exécution globalement, vous pouvez modifier la configuration de votre script à l'étape 3 pour utiliser l'onglet Scripts au lieu de l'onglet Scripts PowerShell, avec ces paramètres :

Nom du script : %windir%\System32\WindowsPowerShell\v1.0\powershell.exe
Paramètres du script : -ExecutionPolicy Bypass -File "%LogonServer%\NETLOGON\startup-test.ps1"

Vérification : La politique devrait apparaître comme Activée avec RemoteSigned sélectionné dans l'éditeur de stratégie de groupe.

Configurez les paramètres de synchronisation pour vous assurer que le réseau est prêt avant que votre script PowerShell ne s'exécute. Cela évite les échecs courants dus à l'indisponibilité des services réseau au démarrage.

Dans l'éditeur de gestion des stratégies de groupe, accédez aux politiques de synchronisation de démarrage :

1. Allez dans Configuration de l'ordinateur
2. Développez Stratégies
3. Développez Modèles d'administration
4. Développez Système
5. Cliquez sur Stratégie de groupe

Configurez le temps d'attente du traitement de la politique de démarrage :

1. Double-cliquez sur Spécifier le temps d'attente du traitement de la politique de démarrage
2. Sélectionnez Activé
3. Réglez le temps d'attente à 60 secondes (ou 120 pour les réseaux plus lents)
4. Cliquez sur OK

Configurez le délai du script de connexion :

1. Double-cliquez sur Configurer le délai du script de connexion
2. Sélectionnez Activé
3. Réglez le délai à 1 minute (60 secondes)
4. Cliquez sur OK

Ces paramètres garantissent que :

• Le système attend la connectivité réseau avant de traiter la stratégie de groupe
• Les scripts ont suffisamment de temps pour s'exécuter avant le début de la connexion utilisateur
• Les ressources réseau sont disponibles lorsque votre script s'exécute

Vérification : Les deux politiques doivent apparaître comme Activées avec vos valeurs de temps spécifiées dans l'éditeur de stratégie de groupe.

Associez votre GPO configuré à une unité organisationnelle pour l'appliquer à des ordinateurs spécifiques. Commencez par une UO de test avant de l'appliquer aux systèmes de production.

Dans la console de gestion des stratégies de groupe, accédez à votre UO cible :

1. Développez votre domaine
2. Accédez à l'UO contenant vos ordinateurs de test (par exemple, Ordinateurs de test)
3. Cliquez avec le bouton droit sur l'UO
4. Sélectionnez Lier une GPO existante...
5. Sélectionnez votre GPO Scripts de démarrage PowerShell
6. Cliquez sur OK

Vérifiez le lien et la priorité de la GPO :

1. Cliquez sur l'UO dans le volet de gauche
2. Vérifiez l'onglet Objets de stratégie de groupe liés
3. Assurez-vous que votre GPO apparaît dans la liste
4. Notez l'Ordre de lien - les numéros inférieurs ont une priorité plus élevée

Si vous devez ajuster l'ordre des liens (lorsque plusieurs GPO affectent les mêmes ordinateurs) :

1. Sélectionnez votre GPO dans la liste des Objets de stratégie de groupe liés
2. Utilisez les boutons fléchés pour le déplacer vers le haut ou vers le bas
3. Les GPO de priorité plus élevée (numéros d'ordre de lien inférieurs) remplacent les paramètres conflictuels

Vérification : La GPO devrait apparaître dans l'onglet Objets de stratégie de groupe liés pour votre UO cible avec le bon ordre de lien.

Appliquez les nouveaux paramètres de stratégie de groupe à un ordinateur de test et vérifiez que votre script de démarrage PowerShell s'exécute correctement.

Sur un ordinateur de test dans l'UO cible, forcez une mise à jour de la stratégie de groupe :

gpupdate /force

Vérifiez que la nouvelle stratégie est appliquée :

gpresult /r

Cherchez le nom de votre GPO dans la sortie sous "Objets de stratégie de groupe appliqués". S'il n'apparaît pas, vérifiez le lien GPO et assurez-vous que l'ordinateur est dans la bonne UO.

Redémarrez l'ordinateur de test pour déclencher le script de démarrage :

shutdown /r /t 0

Après le redémarrage de l'ordinateur, vérifiez l'exécution du script en consultant le journal des événements :

Get-EventLog -LogName Application -Source Application -Newest 10 | Where-Object {$_.EventID -eq 1001}

Vérifiez également le fichier journal créé par le script :

type C:\Windows\Temp\startup_script.log

Si le script ne s'est pas exécuté, vérifiez les journaux d'événements de la stratégie de groupe pour les erreurs :

Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" -MaxEvents 20 | Where-Object {$_.LevelDisplayName -eq "Error"}

Vérification : Vous devriez voir des preuves de l'exécution du script à la fois dans le journal des événements (ID d'événement 1001) et dans le fichier journal avec l'horodatage actuel et le nom de l'ordinateur.

Implémentez des procédures de surveillance et de dépannage pour garantir que vos scripts de démarrage continuent de fonctionner de manière fiable dans votre environnement.

Créez un script de surveillance pour vérifier l'exécution des scripts de démarrage sur plusieurs ordinateurs :

# Surveiller l'exécution des scripts de démarrage sur les ordinateurs du domaine
$computers = Get-ADComputer -Filter "OperatingSystem -like '*Windows 11*'" -Properties Name

foreach ($computer in $computers) {
    $computerName = $computer.Name
    try {
        $lastEvent = Get-WinEvent -ComputerName $computerName -LogName Application -MaxEvents 1 -FilterXPath "*[System[EventID=1001]]"
        if ($lastEvent) {
            Write-Host "$computerName - Dernière exécution : $($lastEvent.TimeCreated)" -ForegroundColor Green
        } else {
            Write-Host "$computerName - Aucune exécution de script de démarrage trouvée" -ForegroundColor Red
        }
    } catch {
        Write-Host "$computerName - Impossible de se connecter ou de vérifier les journaux" -ForegroundColor Yellow
    }
}

Étapes courantes de dépannage pour les échecs d'exécution de script :

Vérifiez l'application de la stratégie de groupe :

gpresult /scope computer /v

Vérifiez les autorisations du fichier script :

icacls "\\yourdomain.com\NETLOGON\startup-test.ps1"

Testez l'exécution du script manuellement :

powershell.exe -ExecutionPolicy RemoteSigned -File "\\yourdomain.com\NETLOGON\startup-test.ps1"

Vérifiez les blocages de la politique d'exécution :

Get-ExecutionPolicy -List

Problèmes courants et solutions :

• ID d'événement 1055/1130 : Réseau non prêt - augmentez le temps d'attente de démarrage à 120 secondes
• Erreurs d'accès refusé : Vérifiez que le groupe Domain Computers a les autorisations Lire & Exécuter sur le fichier script
• Script introuvable : Vérifiez l'état de réplication SYSVOL et la syntaxe du chemin UNC
• Erreurs de politique d'exécution : Vérifiez que la GPO de politique d'exécution PowerShell est appliquée correctement

Vérification : Votre script de surveillance devrait afficher des horodatages d'exécution réussie pour tous les ordinateurs cibles. Tout échec doit être investigué en utilisant les étapes de dépannage ci-dessus.