Comment configurer le verrouillage automatique de session via la stratégie de groupe dans Active Directory

Ouvrez la Console de gestion des stratégies de groupe avec des privilèges administrateur. C'est votre centre principal pour gérer toutes les politiques de domaine.

gpmc.msc

Sinon, naviguez via le Menu Démarrer → Outils d'administration → Gestion des stratégies de groupe. La console affichera la structure de votre domaine avec tous les GPO et unités organisationnelles existants.

Vérification : Confirmez que vous pouvez voir la structure de votre domaine et les GPO existants dans le volet de navigation de gauche. Vous devriez avoir un accès en lecture/écriture pour créer de nouvelles politiques.

Créez un GPO dédié pour les politiques de verrouillage de session. Faites un clic droit sur votre unité organisationnelle cible et sélectionnez "Créer un GPO dans ce domaine, et le lier ici." Nommez-le de manière descriptive, comme "Sécurité des postes de travail - Verrouillage de session".

Pour l'automatisation PowerShell, utilisez cette commande :

Import-Module GroupPolicy
New-GPO -Name "Sécurité des postes de travail - Verrouillage de session" -Domain "votredomaine.com"

Remplacez "votredomaine.com" par le nom réel de votre domaine. Cela crée le GPO mais ne le lie pas encore.

Vérification : Le nouveau GPO apparaît dans le conteneur des objets de stratégie de groupe et est lié à votre unité organisationnelle cible. Vérifiez l'onglet "Objets de stratégie de groupe liés" dans les propriétés de l'unité organisationnelle.

Cliquez avec le bouton droit sur votre GPO nouvellement créé et sélectionnez "Modifier" pour ouvrir l'Éditeur de gestion des stratégies de groupe. Accédez aux paramètres de sécurité de la configuration de l'ordinateur :

Chemin : Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Options de sécurité

Ce chemin contient des politiques de sécurité au niveau du système qui s'appliquent quel que soit l'utilisateur qui se connecte. La configuration de l'ordinateur garantit une application cohérente à travers toutes les sessions utilisateur sur le poste de travail.

Faites défiler vers le bas pour localiser la politique "Ouverture de session interactive : Limite d'inactivité de la machine". C'est le paramètre principal pour le verrouillage automatique des sessions dans les environnements Windows modernes.

Vérification : Vous devriez voir une liste d'options de sécurité incluant diverses politiques "Ouverture de session interactive". La politique "Limite d'inactivité de la machine" devrait être visible dans la liste.

Double-cliquez sur "Ouverture de session interactive : Limite d'inactivité de la machine" pour ouvrir les paramètres de la stratégie. Cochez "Définir ce paramètre de stratégie" et entrez la valeur de délai d'attente souhaitée en secondes.

Valeurs de délai d'attente courantes :

• 900 secondes = 15 minutes (recommandé pour la plupart des bureaux)
• 1800 secondes = 30 minutes (pour des environnements moins restrictifs)
• 600 secondes = 10 minutes (pour des environnements à haute sécurité)
• 0 = désactivé (non recommandé pour la sécurité)

Plage de délai d'attente : 1-599940 secondes
Recommandé : 900 secondes (15 minutes)

Entrez la valeur choisie et cliquez sur "OK" pour enregistrer le paramètre. La stratégie apparaîtra maintenant comme "Activée" dans la liste des options de sécurité.

Vérification : Le statut de la stratégie passe de "Non défini" à "Activé" avec la valeur de délai d'attente spécifiée affichée.

Fermez l'éditeur de gestion des stratégies de groupe et revenez à GPMC. Liez votre GPO configuré aux UO appropriées contenant vos stations de travail cibles.

Cliquez avec le bouton droit sur l'UO cible et sélectionnez "Lier un GPO existant", puis choisissez votre politique "Sécurité des stations de travail - Verrouillage de session" dans la liste.

Pour le lien PowerShell :

New-GPLink -Name "Sécurité des stations de travail - Verrouillage de session" -Target "OU=Workstations,DC=yourdomain,DC=com" -LinkEnabled Yes

Remplacez le chemin cible par le nom distinctif réel de votre UO. Vous pouvez lier le même GPO à plusieurs UO si nécessaire.

Ordre de lien : Si plusieurs GPO s'appliquent à la même UO, assurez-vous que votre politique de verrouillage de session a la priorité appropriée. Les nombres inférieurs ont une priorité plus élevée.

Vérification : Vérifiez l'onglet "Objets de stratégie de groupe liés" dans votre UO cible. Votre politique devrait apparaître avec le statut "Activé" et l'ordre de lien approprié.

Appliquez la nouvelle politique immédiatement plutôt que d'attendre le cycle de rafraîchissement par défaut de 90 minutes. Exécutez cette commande sur les stations de travail cibles ou depuis un système de gestion central :

gpupdate /force

Pour les mises à jour à distance sur plusieurs ordinateurs, utilisez PowerShell :

Invoke-GPUpdate -Computer "Workstation01","Workstation02" -Force
Invoke-GPUpdate -RandomDelayInMinutes 0 -Force

Le paramètre RandomDelayInMinutes empêche tous les ordinateurs de se mettre à jour simultanément, réduisant ainsi la charge réseau.

Pour les mises à jour à l'échelle du domaine ciblant des UO spécifiques :

Get-ADComputer -Filter * -SearchBase "OU=Workstations,DC=yourdomain,DC=com" | ForEach-Object { Invoke-GPUpdate -Computer $_.Name -Force }

Vérification : Exécutez gpresult /r sur une station de travail cible pour confirmer que la politique a été appliquée avec succès. Recherchez votre GPO dans la section "Applied Group Policy Objects".

Vérifiez que la politique fonctionne correctement sur les stations de travail cibles. Connectez-vous à une machine de test et laissez-la inactive pendant votre période de temporisation configurée.

Surveillez le comportement de la session :

1. Connectez-vous à une station de travail cible
2. Notez l'heure actuelle
3. Laissez la station de travail complètement inactive (pas de mouvement de souris ou d'entrée clavier)
4. Attendez votre période de temporisation configurée
5. Observez l'activation automatique du verrouillage de session

Vérifiez le journal des événements Windows pour les événements de verrouillage de session :

eventvwr.msc

Accédez à Journaux Windows → Sécurité et recherchez l'ID d'événement 4800 (station de travail verrouillée) et 4801 (station de travail déverrouillée).

Pour la vérification des événements PowerShell :

Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4800} -MaxEvents 10

Vérification : La station de travail se verrouille automatiquement après la période d'inactivité spécifiée, nécessitant une réentrée du mot de passe pour accéder à la session. Les journaux d'événements confirment les activités de verrouillage/déverrouillage.

Certaines stations de travail peuvent nécessiter des paramètres de délai d'attente différents ou une exemption complète du verrouillage automatique. Configurez le filtrage de sécurité pour contrôler la portée de l'application de la stratégie.

Dans GPMC, sélectionnez votre GPO de verrouillage de session et accédez à l'onglet "Portée". Sous "Filtrage de sécurité", vous pouvez ajouter ou supprimer des groupes de sécurité pour contrôler quels ordinateurs reçoivent la stratégie.

Créez un groupe de sécurité pour les ordinateurs exemptés :

New-ADGroup -Name "SessionLock-Exempt" -GroupScope Global -GroupCategory Security -Path "OU=Security Groups,DC=yourdomain,DC=com"

Ajoutez des ordinateurs au groupe exempté :

Add-ADGroupMember -Identity "SessionLock-Exempt" -Members "WORKSTATION01$","WORKSTATION02$"

Dans l'onglet Délégation du GPO, ajoutez le groupe exempté avec l'autorisation "Appliquer la stratégie de groupe" définie sur "Refuser". Cela empêche la stratégie de s'appliquer aux membres du groupe.

Approche alternative : Créez des GPO distincts avec des valeurs de délai d'attente différentes pour différents groupes d'ordinateurs, offrant un contrôle plus granulaire.

Vérification : Testez les ordinateurs exemptés pour confirmer qu'ils ne reçoivent pas la stratégie de verrouillage de session. Utilisez gpresult /r pour vérifier l'exclusion de la stratégie.

Établissez des procédures de surveillance pour garantir une application cohérente des politiques dans votre environnement. Utilisez les outils Résultats et Modélisation des stratégies de groupe pour le dépannage.

Générez des résultats de stratégie de groupe pour des ordinateurs spécifiques :

gpresult /h C:\GPReport.html /f

Cela crée un rapport HTML détaillé montrant toutes les politiques appliquées et leurs sources.

Pour l'analyse d'un ordinateur distant :

Get-GPResultantSetOfPolicy -Computer "Workstation01" -ReportType Html -Path "C:\Reports\Workstation01-GP.html"

Étapes courantes de dépannage :

• Vérifiez l'appartenance à l'OU et le lien GPO
• Vérifiez le filtrage de sécurité et les paramètres de délégation
• Confirmez la connectivité réseau aux contrôleurs de domaine
• Examinez les journaux d'événements Windows pour les erreurs de stratégie de groupe
• Testez avec différents comptes d'utilisateur

Utilisez la modélisation des stratégies de groupe pour prédire l'application des politiques avant le déploiement :

Invoke-GPUpdate -Computer "TestWorkstation" -RandomDelayInMinutes 0

Vérification : Toutes les stations de travail cibles appliquent de manière cohérente la politique de verrouillage de session. Les journaux d'événements montrent un traitement réussi des politiques sans erreurs. Les utilisateurs signalent le comportement attendu de verrouillage de session.