Léo Le Mounier -- Langlois

Configurer 100 PC à la main est impossible. Les GPO (Group Policy Objects) permettent d'appliquer des configurations (Fonds d'écran, Mappage lecteur réseau, Sécurité, Installation logiciel) de manière centralisée. Mais attention : une mauvaise GPO peut paralyser toute l'entreprise en quelques minutes.

1. Les Règles d'Or de l'Architecture

Avant d'ouvrir l'éditeur, il y a des règles sacrées à respecter pour ne pas créer un "Spaghetti de GPO".

⛔ Règle N°1 : Ne touchez PAS à la "Default Domain Policy"
Cette GPO par défaut ne doit servir qu'à la politique de mot de passe et Kerberos. Pour tout le reste (Fond d'écran, Proxy...), créez des GPO dédiées. Si vous corrompez la Default Policy, vous corrompez tout le domaine.

Une GPO = Une Fonction

Ne faites pas une GPO géante "Tout_le_monde". Créez des GPO modulaires :

GPO_Win10_Wallpaper
GPO_Securite_Defender
GPO_Map_Lecteur_Compta

Cela facilite grandement le débogage.

2. Cas Pratique : Mapper un Lecteur Réseau (P:)

C'est la demande la plus courante. Nous voulons que le service Compta ait automatiquement le lecteur P: qui pointe vers \\SRV-FICHIERS\Compta.

Ouvrez la console Group Policy Management (gpmc.msc).
Créez la GPO GPO_Lecteur_Compta et liez-la à l'OU "Comptabilite".
Modifiez la GPO (Clic droit > Edit).
Allez dans : User Configuration > Preferences > Windows Settings > Drive Maps.
Nouveau > Mapped Drive.

Configuration de l'action :

Action : Choisissez Update (et non Create). "Update" crée le lecteur s'il n'existe pas, et le met à jour s'il a changé. C'est plus résilient.
Location : \\SRV-FICHIERS\Compta
Label : "Dossier Compta"
Drive Letter : P:

3. Computer vs User : Le piège classique

Une GPO a deux sections. Il est vital de comprendre la différence :

Computer Configuration : S'applique au démarrage du PC (avant le login). Cible les objets "Ordinateurs" dans l'AD. (Ex: Installer un logiciel, Firewall, Windows Update).
User Configuration : S'applique à l'ouverture de session. Cible les objets "Utilisateurs". (Ex: Fond d'écran, Raccourcis bureau, Lecteurs réseaux).

Si vous mettez un paramètre "Utilisateur" dans une GPO liée à une OU qui ne contient que des "Ordinateurs", il ne se passera rien !

4. Troubleshooting : "Ma GPO ne s'applique pas !"

C'est la question d'entretien d'embauche par excellence. Voici la procédure de diagnostic.

A. Forcer la mise à jour

Sur le poste client, ouvrez une invite de commande (CMD) :

gpupdate /force

Cela force le PC à redemander ses stratégies au contrôleur de domaine.

B. Analyser le résultat (gpresult)

Si ça ne marche toujours pas, il faut savoir pourquoi. Utilisez cette commande magique :

gpresult /r

Cela affiche un résumé. Regardez la section "Applied Group Policy Objects". Si votre GPO n'est pas là, regardez la section "Denied GPOs".

C. Le rapport HTML (Niveau Pro)

Pour un diagnostic complet lisible, générez un rapport :

gpresult /h C:\temp\rapport.html

Ouvrez ce fichier. Vous verrez exactement quel paramètre a gagné (Winning GPO) et si une erreur WMI ou de droits bloque l'application.

Conclusion

Les GPO sont puissantes mais fragiles. Une bonne pratique consiste à toujours tester vos GPO sur une OU de test (contenant votre PC et votre utilisateur de test) avant de les lier à la racine du domaine.