Comment personnaliser l'écran de connexion et de verrouillage de Windows à l'aide de la stratégie de groupe (GPO)

Tout d'abord, assurez-vous d'avoir la Console de gestion des stratégies de groupe disponible sur votre contrôleur de domaine ou votre station de travail administrative. Sur Windows Server 2022+, installez les outils RSAT si ce n'est pas déjà fait.

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

Alternativement, installez via le Gestionnaire de serveur en naviguant vers Ajouter des rôles et fonctionnalités > Fonctionnalités > Outils d'administration de serveur distant > Outils d'administration des rôles > Outils de gestion des stratégies de groupe.

Vérification : Ouvrez la boîte de dialogue Exécuter (Windows + R), tapez gpmc.msc, et appuyez sur Entrée. La Console de gestion des stratégies de groupe devrait s'ouvrir sans erreurs.

Créez un nouvel objet de stratégie de groupe spécifiquement pour la personnalisation de l'écran de connexion et de verrouillage. Cela garde vos personnalisations organisées et faciles à gérer.

Ouvrez la console de gestion des stratégies de groupe et accédez à votre unité organisationnelle cible. Faites un clic droit sur l'UO et sélectionnez Créer un objet de stratégie de groupe dans ce domaine, et le lier ici...

Nommer le GPO quelque chose de descriptif comme "Politique d'écran de verrouillage de connexion d'entreprise" et cliquez sur OK. Faites un clic droit sur le GPO nouvellement créé et sélectionnez Modifier.

Accédez à : Configuration de l'ordinateur > Stratégies > Modèles d'administration > Système > Ouverture de session

Trouvez et double-cliquez sur Toujours utiliser un arrière-plan de connexion personnalisé. Réglez-le sur Activé et cliquez sur OK.

Vérification : La politique devrait apparaître comme "Activé" dans l'éditeur de stratégie de groupe. Vous pouvez également exécuter gpresult /h C:\temp\gpo-report.html sur une machine cible après avoir appliqué la politique pour vérifier qu'elle est bien reçue.

Créez la structure de répertoires requise et déployez votre image de fond de connexion personnalisée. L'image doit répondre à des exigences spécifiques pour un affichage correct.

Sur chaque machine cible (ou via le déploiement de fichiers GPO), créez le répertoire suivant :

mkdir "C:\Windows\System32\oobe\info\backgrounds"

Copiez votre image de fond personnalisée à cet emplacement et renommez-la en backgroundDefault.jpg. Les spécifications de l'image sont cruciales :

• Format : JPG uniquement
• Résolution : 1920x1080 pixels
• Taille du fichier : Moins de 256KB
• Ratio d'aspect : 16:9

Vous pouvez automatiser ce déploiement à l'aide d'un script de démarrage dans votre GPO. Accédez à Configuration de l'ordinateur > Stratégies > Paramètres Windows > Scripts > Démarrage et ajoutez un script batch :

@echo off
if not exist "C:\Windows\System32\oobe\info\backgrounds" mkdir "C:\Windows\System32\oobe\info\backgrounds"
copy "\\domain.com\sysvol\domain.com\scripts\backgroundDefault.jpg" "C:\Windows\System32\oobe\info\backgrounds\backgroundDefault.jpg" /Y

Vérification : Vérifiez que le fichier existe à C:\Windows\System32\oobe\info\backgrounds\backgroundDefault.jpg et vérifiez que la taille du fichier est inférieure à 256KB en utilisant la commande dir.

Configurez une image d'écran de verrouillage personnalisée qui sera appliquée sur tous les ordinateurs du domaine. Ceci est distinct de l'arrière-plan de l'écran de connexion.

Dans l'Éditeur de stratégie de groupe, accédez à : Configuration de l'ordinateur > Stratégies > Modèles d'administration > Panneau de configuration > Personnalisation

Trouvez et activez Forcer une image d'écran de verrouillage et de connexion par défaut spécifique. Dans la section des options, spécifiez le chemin de votre image d'écran de verrouillage :

C:\Windows\Web\Screen\corporate-lock.jpg

Créez un script de démarrage pour déployer l'image d'écran de verrouillage :

copy "\\domain.com\sysvol\domain.com\scripts\corporate-lock.jpg" "C:\Windows\Web\Screen\corporate-lock.jpg" /Y

L'image d'écran de verrouillage doit également respecter les mêmes spécifications que l'arrière-plan de connexion : format JPG, résolution 1920x1080, moins de 256 Ko.

Vérification : Après avoir appliqué la stratégie et redémarré, verrouillez la station de travail (Windows + L) pour voir si l'écran de verrouillage personnalisé apparaît. Vous pouvez également vérifier la valeur du registre :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "LockScreenImage"

Configurez les avis légaux qui apparaissent avant que les utilisateurs puissent se connecter. Ceci est crucial pour la conformité d'entreprise et les politiques de sécurité.

Accédez à : Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité

Configurez ces deux stratégies :

1. Ouverture de session interactive : Titre du message pour les utilisateurs tentant de se connecter

Définissez ceci sur quelque chose comme : ACCÈS AUTORISÉ UNIQUEMENT

2. Ouverture de session interactive : Texte du message pour les utilisateurs tentant de se connecter

Définissez ceci sur votre avis légal, par exemple :

Ce système est réservé aux utilisateurs autorisés uniquement. Toutes les activités sont surveillées et enregistrées. L'accès non autorisé est interdit et peut entraîner des poursuites en vertu des lois applicables. En continuant, vous reconnaissez et consentez à la surveillance.

Vérification : Redémarrez une machine cible et observez la boîte de dialogue de l'avis légal avant que l'écran de connexion n'apparaisse. Le message doit s'afficher exactement comme configuré.

Verrouillez les paramètres de personnalisation pour empêcher les utilisateurs de contourner votre image de marque et vos configurations de sécurité d'entreprise.

Configurez ces politiques sous Configuration de l'ordinateur > Politiques > Modèles d'administration > Panneau de configuration > Personnalisation :

1. Activez Empêcher la modification de l'image de l'écran de verrouillage et de connexion

2. Activez Empêcher la modification de l'arrière-plan du bureau

3. Accédez à Configuration utilisateur > Politiques > Modèles d'administration > Système > Profils utilisateur et activez Empêcher la modification de la caméra de l'écran de verrouillage et du diaporama

De plus, vous pouvez masquer entièrement les paramètres de personnalisation en activant Interdire l'accès au Panneau de configuration et aux paramètres du PC sous Configuration utilisateur, bien que cela puisse être trop restrictif pour la plupart des environnements.

Vérification : Connectez-vous en tant qu'utilisateur standard et tentez d'accéder à Paramètres > Personnalisation. Les options d'écran de verrouillage et d'arrière-plan devraient être grisées ou entièrement masquées.

Associez votre GPO aux unités organisationnelles appropriées et forcez l'application immédiate des politiques sur l'ensemble de votre domaine.

Dans la console de gestion des stratégies de groupe, assurez-vous que votre GPO est lié aux UO correctes contenant vos ordinateurs cibles. Vous pouvez également le lier au niveau du domaine si vous souhaitez qu'il s'applique à tous les ordinateurs.

Pour forcer l'application immédiate des politiques sur les machines cibles, exécutez ces commandes :

gpupdate /force
shutdown /r /t 0

Pour des mises à jour de politiques à distance sur plusieurs machines, utilisez PowerShell :

Invoke-GPUpdate -Computer "Computer1","Computer2" -Force -RandomDelayInMinutes 0

Vous pouvez également planifier la mise à jour des politiques pour tous les ordinateurs d'une UO :

Get-ADComputer -Filter * -SearchBase "OU=Workstations,DC=domain,DC=com" | ForEach-Object { Invoke-GPUpdate -Computer $_.Name -Force }

Vérification : Générez un rapport de résultats de stratégie de groupe pour confirmer que toutes les politiques s'appliquent correctement :

gpresult /h C:\temp\gpo-results.html

Ouvrez le rapport HTML et vérifiez que vos politiques d'écran de connexion/verrouillage personnalisées apparaissent sous "Configuration de l'ordinateur" avec "GPO gagnant" affichant le nom de votre politique.

Vérifiez que votre implémentation fonctionne correctement et résolvez les problèmes courants qui peuvent survenir lors du déploiement.

Testez l'expérience de connexion complète :

1. Redémarrez complètement une machine cible

2. Vérifiez que l'avis légal apparaît en premier

3. Confirmez que l'arrière-plan de connexion personnalisé s'affiche

4. Connectez-vous et verrouillez l'écran (Windows + L) pour tester l'image de l'écran de verrouillage

Étapes courantes de dépannage :

Si les images n'apparaissent pas, vérifiez ces valeurs de registre :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System" -Name "UseOEMBackground"
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "LockScreenImage"

Vérifiez les journaux d'événements de la stratégie de groupe pour les erreurs :

Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" | Where-Object {$_.LevelDisplayName -eq "Error"} | Select-Object -First 10

Si les stratégies ne s'appliquent pas, vérifiez que le compte de l'ordinateur dispose des autorisations correctes et que le GPO est correctement lié. Utilisez gpresult /r pour un aperçu rapide des stratégies appliquées.

Vérification : Documentez vos résultats de test et créez un plan de retour en arrière en notant le comportement par défaut de Windows avant de mettre en œuvre ces modifications.