Contexte :

Dans le cadre de mon alternance, j’ai eu l’opportunité d’uniformiser la gestion des mises à jour Windows sur l’ensemble des postes clients du domaine de l’entreprise, afin de garantir un niveau de sécurité homogène et d’éviter les interventions manuelles poste par poste.

Pour répondre à cette problématique, la solution retenue consiste à déployer une stratégie de groupe (GPO) dédiée à Windows Update.

Une GPO (Group Policy Object) est un objet de stratégie qui permet de configurer et d’appliquer automatiquement des paramètres système et de sécurité aux utilisateurs et ordinateurs d’un domaine Active Directory.

Cependant, les paramètres avancés requis (configuration du service de mises à jour automatiques, activation des mises à jour facultatives, installation immédiate) ne sont pas disponibles par défaut dans l’éditeur de stratégie de groupe. Il est donc indispensable, au préalable, d’enrichir le magasin central du domaine avec les fichiers de modèles d’administration (ADMX) fournis par Microsoft.

Objectif :

  • Déploiement des mises à jour Windows automatiquement sur les postes du domaine.

Environnement technologique :

  • Windows Server
  • Active Directory

Compétences mobilisées :

  • Gérer le patrimoine informatique
  • Répondre aux incidents et aux demandes d’assistance et d’évolution

1. Installer des fichiers .admx :

Les fichiers .admx permettent d’inclure de nouveaux paramètres dans les GPO d’un serveur Windows. Pour pouvoir les installer, il est nécessaire de télécharger l’installateur depuis le site suivant :

Lien vers téléchargement Windows Server

Lancer le fichier Administrative Templates (.admx) for Windows 11

L’installation va uniquement se charger de décompresser les fichiers .admx à l’emplacement suivant : C:\Program Files (x86)\Microsoft Group Policy

Il faut ensuite se rendre à l’emplacement C:\Program Files (x86)\Microsoft Group Policy\Windows 11 Sep 2024 Update (24H2)\PolicyDefinitions et copier/coller tous les fichiers ainsi que les dossiers en-US et fr-fr : GPO

Coller l’ensemble des éléments à l’emplacement suivant : C:\Windows\SYSVOL\sysvol\<NomDeDomaine.local>\Policies\PolicyDefinitions

Si le dossier PolicyDefinitions n’existe pas, créez-le pour obtenir le résultat suivant : GPO

Une fois cette étape réalisée, le magasin central est enrichi avec les nouveaux paramètres, qui deviennent disponibles pour la création des GPO sur le domaine.

2. Mise à jour des fichiers .admx :

Même manipulation que pour l’installation, sauf que l’on va écraser les fichiers existants dans C:\Windows\SYSVOL\sysvol\<NomDeDomaine.local>\Policies\PolicyDefinitions par les nouveaux.

Pas besoin de supprimer les fichiers puis de réinstaller de zéro.

3. Création d’une GPO pour gérer les mises à jour Windows

3.1. Création de la GPO :

Ouvrir la gestion de stratégie de groupe. Se rendre dans Objets de stratégie de groupe et créer une nouvelle GPO que nous allons appeler Windows Update : GPO Clic droit > modifier la GPO. Nous allons ensuite lui attribuer les éléments suivants :

  1. Configuration ordinateur
  2. Stratégies
  3. Modèles d’administration : définitions de stratégies (fichiers ADMX)
  4. Composants Windows
  5. Windows Update

3.2. Configurer les mises à jour automatiques :

Gérer l’expérience utilisateur final > Configuration du service Mises à jour automatique : GPO

3.3. Forcer la réception automatique des mises à jour facultatives :

Gérer les mises à jour proposées de Windows Update > Activer les mises à jour facultatives : GPO

3.4. Activer les mises à jour automatiques immédiatement :

Stratégies héritées > Autoriser l’installation immédiate des mises à jour automatiques : GPO

Une fois la GPO configurée, fermer l’éditeur de stratégie de groupe et faire glisser la GPO dans l’OU Ordinateurs.

3.5. Validation et tests :

Une fois la GPO appliquée, il faut vérifier qu’elle fonctionne correctement sur les postes clients. Pour cela, on se connecte à un poste de test et on ouvre un terminal en tant qu’administrateur, puis on lance la commande :

gpupdate /force

Cette commande force l’application des stratégies de groupe sans attendre le cycle de rafraîchissement par défaut (90 minutes). Après redémarrage du poste, on peut vérifier dans Paramètres > Windows Update que les options configurées sont bien actives, comme illustré ci-dessous :

Capture du résultat sur le poste client

4. Conclusion :

Le déploiement de cette GPO a permis d’uniformiser la gestion des mises à jour Windows sur l’ensemble du parc, garantissant un niveau de sécurité homogène et réduisant significativement les interventions manuelles.

Au-delà du gain de temps, cette automatisation limite les incidents liés à des postes en retard de mises à jour (vulnérabilités non corrigées, dysfonctionnements applicatifs).

Cette réalisation m’a permis de monter en compétence sur la gestion centralisée d’un environnement Active Directory et de découvrir le fonctionnement des modèles d’administration ADMX, qui ouvrent la voie à de nombreuses autres configurations centralisées que je pourrai mettre en place par la suite.