Comment exécuter un script PowerShell non signé au démarrage avec les stratégies de groupe

Mise à jour le 10 nov. 2024

Dans un environnement Active Directory il peut être utile de pouvoir exécuter au démarrage un script non signé PowerShell via les stratégies de groupe.

Nous allons voir ici comment exécuter un script PowerShell sur les postes présents dans l'OU Workstations. Ici notre script PowerShell se chargera de supprimer les Built-In Applications, mais on pourra utiliser n'importe quel script PowerShell. La GPO étant associée à l'ordinateur, elle fonctionnera même si la session est ouverte en simple tilisateur, (c'est à dire si l'utilisateur n'a pas les Droits Administrateur).

Création d'un fichier .bat

Créer un fichier remove_appx.bat dans le répertoire partagé netlogon.

Capture d'écran du dossier des scripts de NETLOGON montrant un fichier batch nommé remove_appx.bat.

@echo off
REM Delete the PowerShell script
del c:\windows\temp\remove_appx.ps1
REM Copy the PowerShell script to the Temp folder
copy \\shebangthedolphins.net\netlogon\SCRIPTS\remove_appx.ps1 c:\windows\temp\ /Z /Y
REM Run the PowerShell script
%windir%\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Bypass -File c:\windows\temp\remove_appx.ps1
REM Delete the PowerShell script
del c:\windows\temp\remove_appx.ps1

Que va faire le fichier .bat?
- Copier le script PowerShell dans le dossier Temp
- Exécuter le script PowerShell
- Supprimer le script PowerShell

Création du script PowerShell

Créer un fichier remove_appx.ps1 dans le répertoire partagé netlogon.

Set-Content -Path 'C:\remove_app.txt' -Value 'OK'	#permet de vérifier que le script s'est bien exécuté sur la machine
Get-AppxPackage -AllUsers | ? { $_.Name -match "3dbuilder" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "windowsalarms" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "windowscommunicationsapps" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "windowscamera" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "officehub" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "skypeapp" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "getstarted" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "zunemusic" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "windowsmaps" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "solitairecollection" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "bingfinance" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "zunevideo" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "bingnews" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "people" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "Microsoft.People" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "windowsphone" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "bingsports" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "soundrecorder" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "bingweather" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "xboxapp" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "MixedReality" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "hub" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "YourPhone" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "Microsoft.OneConnect" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "Microsoft.XboxGamingOverlay" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "twitter" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "candycrush" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "gethelp" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "messaging" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "3Dviewer" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "LinkedInforWindows" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "Microsoft.RemoteDesktop" } | Remove-AppxPackage -AllUsers
#XBOX
Get-AppxPackage -AllUsers | ? { $_.Name -match "Microsoft.Xbox.TCUI" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "Microsoft.XboxGameOverlay" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "Microsoft.XboxIdentityProvider" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "Microsoft.XboxSpeechToTextOverlay" } | Remove-AppxPackage -AllUsers
Get-AppxPackage -AllUsers | ? { $_.Name -match "xbox" } | Remove-AppxPackage -AllUsers
foreach ($app in $(Get-AppxPackage -AllUsers | ? { $_.Name -match "xbox" })) { $app | Remove-AppxPackage -AllUsers }

Création de l'Objet de stratégie de groupe

Ouvrir la console Utilisateurs et ordinateurs Active Directory :

Capture d'écran de la boîte de dialogue Exécuter de Windows avec la commande dsa.msc saisie, montrant des privilèges administratifs.

Déplacer ses Ordinateurs dans la bonne OU (Unité d'organisation) :

Capture d'écran d'Active Directory Users and Computers avec le dossier Workstations sélectionné, montrant un ordinateur nommé PC01.

Ouvrir la console Gestion de stratégie de groupe :

Capture d'écran de la boîte de dialogue Exécuter de Windows avec la commande gpmc.msc saisie, prête à ouvrir la console de gestion des stratégies de groupe.

Créer l'Objet de stratégie de groupe :

Capture d'écran de la gestion des stratégies de groupe montrant l'option de création et de liaison d'une nouvelle GPO dans le domaine.

Donner un nom à la GPO :

Capture d'écran de la boîte de dialogue Nouvelle GPO avec « Exécuter - Script PowerShell » comme nom et aucune GPO Source Starter sélectionnée.

Modifier la GPO :

Capture d'écran du menu contextuel de la gestion des stratégies de groupe avec l'option « Modifier » en surbrillance pour la GPO « Exécuter - Script PowerShell ».

Aller dans Configuration ordinateur > Stratégies > Paramètres Windows > Scripts > Démarrage > Clic Droit > Propriétés :

Capture d'écran de l'éditeur de gestion de stratégie de groupe montrant le script « Démarrage » avec l'option « Propriétés » en surbrillance.

Rester sur l'onglet Scripts et cliquer sur Ajouter… :

Capture d'écran de la boîte de dialogue Propriétés du démarrage avec une flèche pointant vers le bouton « Ajouter » permettant d'ajouter un nouveau script.

Cliquer sur Parcourir… :

Parcourir le dossier de partage NETLOGON et sélectionner le script .bat :

Capture d'écran de la boîte de dialogue du navigateur de fichiers montrant le dossier des scripts NETLOGON avec remove_appx.bat sélectionné et le bouton Ouvrir en surbrillance.

On cliquer sur OK

Depuis l'ordinateur de l'utilisateur

Vérifions que la stratégie a bien été appliquée.

Redémarrer d'abord l'ordinateur client, puis ouvrir une console administrateur et exécuter la commande suivante :

C:\WINDOWS\system32>gpresult /z /scope computer

On vérifiera dans la partie Scripts de démarrage que le nom de la stratégie est bien visible :

Capture d'écran de l'ensemble de règles résultant pour l'ordinateur, montrant les détails du script de démarrage exécuté remove_appx.bat.

On pourra aussi vérifier la présence du fichier c:\std_rocks.txt. (Pour rappel, c'est ce que fait la première ligne du script PowerShell : Set-Content -Path 'C:\std_rocks.txt' -Value 'OK')

Capture d'écran du répertoire Local Disk (C :) montrant un document texte nommé std_rocks.txt mis en évidence