Sur votre contrôleur de domaine, ouvrez la console de “Gestion de stratégie de groupe”.
Sur "Objets de stratégie de groupe", effectuez un clic droit et cliquez sur "Nouveau".
Dans cet exemple, je vous propose de créer une stratégie de groupe pour bloquer l'utilisation de l'Invite de commande (console cmd) pour les utilisateurs simple. Cette action simple est très répandue en entreprise.
Indiquez un nom pour cette GPO, par exemple "USER - Bloquer_Console_CMD" mais vous pouvez mettre ce que vous voulez. Le "USER" étant là en préfixe pour indiquer qu'il s'agit d'une GPO qui va agir au niveau Utilisateur. Cliquez sur "OK" pour valider.
La GPO va s'afficher dans la liste, effectuez un clic droit dessus pour "Modifier".
Une fenêtre "Éditeur de gestion des stratégies de groupe" va s'ouvrir, cela permet de configurer la GPO. Autrement dit, c'est ici que l'on va activer ou configurer certains paramètres à appliquer sur les utilisateurs (ou les ordinateurs).
L'objectif maintenant va être de trouver le paramètre qui permet de désactiver l'accès à l'invite de commandes. Pour cela, il n'y a pas d'autres solutions que de chercher... Mais une recherche rapide sur Internet est souvent efficace pour trouver le nom du paramètre au sein d'un tuto ou sur un forum...
Voici le chemin vers notre fameux paramètre : Configuration utilisateur > Stratégies > Modèles d'administration > Système > Désactiver l'accès à l'invite de commandes. Double-cliquez dessus.
Les fenêtres de configuration sont présentées de la même façon pour la majorité des paramètres. Nous retrouvons tout d'abord dans le haut, deux boutons : "Paramètre précédent" et "Paramètre suivant" pour naviguer entre les paramètres sans fermer et rouvrir une nouvelle fenêtre.
Juste à gauche, nous avons trois boutons, que vous retrouverez sur tous les paramètres que l'on pourrait qualifié de "booléen" : soit on active, soit on désactive, ou alors on ne configure pas et dans ce cas c'est le paramétrage par défaut de Windows qui s'appliquera (à moins que ce paramètre soit géré dans une autre GPO).
Enfin, certains paramètres proposent des options. C'est le cas de celui-ci. Si vous activez ce paramètre, il ne sera pas possible d'utiliser la console CMD avec les comptes utilisateurs ciblés. Néanmoins, l'option "Désactiver également le traitement des scripts d'invite de commande" est intéressante puisqu'elle permet (lorsqu'elle est définie sur "Non") d'autoriser l'exécution des scripts CMD.
Par exemple : si vos utilisateurs doivent exécuter un script de connexion qui va monter des lecteurs réseau, il ne faudra pas désactiver cette option.
Concernant, notre configuration, activez ce paramètre et validez.
Vous pouvez fermer ensuite la console de modification de cette GPO.