Désactiver « Search Active Directory » dans l’Explorateur Windows (GPO & Registre)

Vous souhaitez retirer l’option « Search Active Directory » (bouton Rechercher) dans l’Explorateur de fichiers, surtout sous l’onglet Réseau ? Voici une méthode fiable via GPO ou Registre, des alternatives, ainsi qu’un guide de déploiement, de vérification et de retour arrière.

Sommaire

Contexte et objectif

Par défaut, les postes joints à un domaine exposent dans l’Explorateur de fichiers une commande permettant d’ouvrir un dialogue de recherche Active Directory (souvent visible lorsque l’on navigue dans Réseau). Pour des raisons de sécurité, de conformité ou simplement pour éviter des usages inappropriés, un administrateur peut vouloir masquer cette entrée et empêcher les utilisateurs de lancer une recherche AD depuis l’interface graphique.

Ce guide détaille la solution la plus propre — une stratégie de groupe dédiée — et son équivalent par le Registre. Vous y trouverez aussi des alternatives de « contournement », les contrôles à effectuer (RSOP, gpresult), et des conseils de déploiement en production (GPP, script, Intune, SCCM).

Réponse rapide (TL;DR)

Recommandé : activer la stratégie Remove Search Active Directory dans Configuration utilisateur > Modèles d’administration > Composants Windows > Explorateur de fichiers, puis forcer l’actualisation des stratégies (gpupdate /force).
Équivalent Registre : créer la valeur DWORD NoActiveDirectorySearch=1 sous HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.
À défaut : désactiver la Détection du réseau pour griser l’option (impact fonctionnel plus large), ou mesures « bricolage » via AppLocker/GPP UI (dernier recours).

Tableau des approches

Approche	Étapes principales	Remarques importantes
Stratégie de groupe dédiée (« Remove Search Active Directory »)	1) Ouvrir gpedit.msc ou la GPMC (sur contrôleur/RSAT). 2) Aller à Configuration utilisateur → Modèles d’administration → Composants Windows → Explorateur de fichiers. 3) Activer la stratégie Remove Search Active Directory. 4) Exécuter `gpupdate /force` ou redémarrer.	La stratégie n’apparaît que si les modèles ADMX/ADML récents sont présents (FileExplorer.admx). Utiliser le Central Store (`\\<domaine>\SYSVOL\<domaine>\Policies\PolicyDefinitions`) avec les fichiers à jour pour Windows 10/11 ou Windows Server 2022.
Clé de Registre équivalente	Créer/éditer : `HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer` Valeur `DWORD` : `NoActiveDirectorySearch` = `1`.	Fonctionne même en workgroup. Après modification : fermer/ré‑ouvrir l’Explorateur (`taskkill /f /im explorer.exe` puis `start explorer.exe`) ou redémarrer la session.
Contournement par découverte réseau	Panneau de configuration → Réseau et Internet → Centre Réseau → Paramètres de partage avancés → désactiver « Détection du réseau » et « Partage de fichiers/imprimantes ».	L’option devient grisée plutôt que supprimée. Méthode simple mais réductrice : coupe d’autres fonctionnalités réseau (découverte, partages).
AppLocker / GPP UI	Masquer le bouton via préférences Folder Options (GPP) ou bloquer des bibliothèques DS (`dsquery.dll`) avec AppLocker.	Approches « bricolage » : possibles effets de bord et maintenance plus lourde. À n’utiliser qu’en dernier recours si les deux premières méthodes sont impossibles.

Méthode recommandée : stratégie de groupe « Remove Search Active Directory »

La stratégie Remove Search Active Directory supprime (ou masque) la commande qui ouvre le dialogue de recherche AD dans l’Explorateur de fichiers. Elle est disponible côté Configuration utilisateur, ce qui signifie qu’elle cible les comptes utilisateurs (et non les ordinateurs). Pour l’appliquer correctement à tout le monde, liez la GPO à l’OU contenant les utilisateurs ou ajustez le filtrage de sécurité.

Déploiement dans un domaine (GPMC)

Ouvrir la Console de gestion des stratégies de groupe (GPMC) sur un contrôleur de domaine ou une machine avec RSAT.
Créer une nouvelle GPO (ex. Explorer – Remove Search AD) et lier la GPO à l’OU qui contient les comptes utilisateurs ciblés.
Éditer la GPO : Configuration utilisateur → Modèles d’administration → Composants Windows → Explorateur de fichiers → activer Remove Search Active Directory.
Attendre la réplication ou forcer l’application : gpupdate /force
Vérifier avec gpresult ou rsop.msc (voir plus bas).

Déploiement local (poste isolé via gpedit.msc)

Ouvrir gpedit.msc.
Parcourir Configuration utilisateur → Modèles d’administration → Composants Windows → Explorateur de fichiers.
Activer la stratégie Remove Search Active Directory.
Redémarrer l’Explorateur ou la session.

Si la stratégie n’apparaît pas

Il est probable que le poste d’édition ne dispose pas des modèles ADMX/ADML récents. Réalisez les opérations suivantes :

Récupérer les fichiers FileExplorer.admx et FileExplorer.adml depuis un Windows 10/11 à jour (ou les packages ADMX correspondants).
Mettre à jour le Central Store pour le domaine : \\<domaine>\SYSVOL\<domaine>\Policies\PolicyDefinitions (et le sous-dossier fr-FR ou en-US selon la langue).
Refermer et rouvrir la GPMC : la stratégie devient visible.

Vérification et diagnostic

Rapport utilisateur : gpresult /h C:\Temp\gp.html start C:\Temp\gp.html
RSOP : lancer rsop.msc et vérifier la section Explorateur de fichiers.
Contrôle visuel : l’option « Search Active Directory » n’apparaît plus dans l’Explorateur (ou est grisée si vous avez opté pour le contournement réseau).

Alternative sans GPO : modification du Registre

Sur des postes isolés ou lorsque vous ne pouvez pas éditer les stratégies, utilisez la valeur de registre équivalente côté HKCU :

Élément	Détail
Clé	`HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer`
Valeur	`NoActiveDirectorySearch` (DWORD)
Données	`1` = désactivé/masqué • `0` ou absence = autorisé
Portée	Utilisateur (profil courant)
Redémarrage	Requis pour l’Explorateur (`taskkill` / `start`) ou reconnexion de session

Commande en ligne

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" ^
  /v NoActiveDirectorySearch /t REG_DWORD /d 1 /f

Exemple de fichier .reg

Windows Registry Editor Version 5.00

\[HKEY\_CURRENT\_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDirectorySearch"=dword:00000001

Déploiement en masse

GPP (Group Policy Preferences) : Configuration utilisateur > Préférences > Paramètres Windows > Registre → créer un élément Update sur la clé ci‑dessus.
Script d’ouverture de session (GPO) : intégrer la commande reg add ci‑dessus.
Intune : profil Settings Catalog basé ADMX ou Custom OMA-URI pour écrire la valeur HKCU (via OMA-URI ou un script PowerShell user context).
SCCM/ConfigMgr : déployer un package utilisateur exécutant la commande.

Retour arrière (rollback)

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" ^
  /v NoActiveDirectorySearch /f

ou affecter NoActiveDirectorySearch=0 et rafraîchir la GPO.

Contournement par désactivation de la découverte réseau

Si vous ne pouvez ni éditer les GPO ni écrire dans le Registre, couper la Détection du réseau et le Partage de fichiers et d’imprimantes grise la commande de recherche AD dans l’Explorateur. Procédure : Panneau de configuration → Réseau et Internet → Centre Réseau et partage → Paramètres de partage avancés → désactiver ces options.

Limites : vous perdez la découverte d’équipements sur le LAN et certaines fonctionnalités SMB. À utiliser temporairement ou dans des environnements très verrouillés.

Mesures « bricolage » (AppLocker / GPP UI)

Deux pistes existent mais sont déconseillées car non supportées officiellement et potentiellement disruptives :

AppLocker : bloquer le chargement de bibliothèques liées à la recherche AD (dsquery.dll, éventuellement dssearch.dll). Cela peut impacter d’autres composants ou outils d’administration.
GPP pour l’interface : tenter de masquer le bouton via des préférences de Folder Options ou de ruban. Peu fiable selon versions de Windows, et fragile face aux mises à jour.

Privilégiez la GPO dédiée ou l’écriture de la valeur de registre, bien plus stables et auditables.

Bonnes pratiques de déploiement

Préparer un groupe pilote d’utilisateurs représentatifs (bureaux, portables, VDI).
Utiliser des WMI filters si nécessaire pour cibler certaines versions de Windows.
Documenter la GPO : nom, description, propriétaire, date de mise en production et scénario de rollback.
Éviter les conflits : s’assurer qu’aucune autre GPO n’écrit une valeur contradictoire dans Policies\Explorer (ex. paramétrages de recherche).
Réplication SYSVOL : surveiller la réplication avant de valider (surtout après ajout d’ADMX au Central Store).
Informer le support : inciter les équipes helpdesk à reconnaître le symptôme (bouton absent ou grisé) pour éviter des tickets « fonctionnalité manquante ».

Contrôles et audit

Une fois la stratégie déployée, vérifiez l’effectivité et consignez le changement.

Contrôle	Commande / action	Attendu
Rafraîchissement GPO	`gpupdate /force`	La stratégie est appliquée sans erreur
Rapport utilisateur	`gpresult /h C:\Temp\gp.html`	La GPO apparaît dans la section Configuration utilisateur
RSOP	Exécuter `rsop.msc`	Paramètre « Remove Search Active Directory » = Activé
Inspection UI	Ouvrir l’Explorateur > Réseau	Le bouton/option de recherche AD n’est plus accessible

Questions fréquentes (FAQ)

La stratégie n’est pas visible dans la GPMC. Que faire ?

Mettez à jour le Central Store : copiez les fichiers ADMX/ADML récents (FileExplorer.admx + ressources langue) dans \\<domaine>\SYSVOL\<domaine>\Policies\PolicyDefinitions. Fermez/réouvrez la console. Sur un poste standalone, mettez à jour C:\Windows\PolicyDefinitions. L’option reste visible mais grisée. Est‑ce normal ?

Oui si vous avez opté pour la désactivation de la découverte réseau. Avec la stratégie ou la valeur de registre, elle est normalement supprimée (ou rendue inopérante) dans l’UI, selon la version de Windows. Ce paramètre s’applique‑t‑il au niveau ordinateur ?

Non, le paramètre est côté Configuration utilisateur. Pour une application à tous, ciblez l’OU des utilisateurs ou utilisez un filtrage de sécurité. Si vous devez couvrir des comptes de service particuliers, créez des GPO spécifiques. Quid des postes non joints au domaine ?

La clé de registre NoActiveDirectorySearch fonctionne aussi hors domaine. Déployez‑la via un script local ou un outil MDM. Y a‑t‑il un impact sur d’autres outils AD ?

La stratégie cible la commande de recherche AD dans l’Explorateur. Les MMC et outils d’admin (ADUC, etc.) restent fonctionnels. Évitez de bloquer arbitrairement des DLL liées à AD : risques d’effets de bord.

Exemples prêts à l’emploi

GPP : élément Registre (HKCU)

Champ	Valeur
Action	Update
Hive	HKEY_CURRENT_USER
Key Path	`Software\Microsoft\Windows\CurrentVersion\Policies\Explorer`
Value name	`NoActiveDirectorySearch`
Type	REG_DWORD
Data	1

Script PowerShell (ouverture de session)

$key = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
if (-not (Test-Path $key)) { New-Item -Path $key -Force | Out-Null }
New-ItemProperty -Path $key -Name "NoActiveDirectorySearch" -PropertyType DWord -Value 1 -Force | Out-Null
Stop-Process -Name explorer -Force
Start-Process explorer.exe

Script CMD (ouverture de session)

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoActiveDirectorySearch /t REG_DWORD /d 1 /f
taskkill /f /im explorer.exe
start explorer.exe

Check‑list de mise en production

Identifier l’audience : tous les utilisateurs du domaine, ou un sous‑ensemble ?
Mettre à jour les ADMX/ADML et vérifier le Central Store.
Créer une GPO dédiée et documentée (nom, but, propriétaire, date).
Déployer en pilote sur 5‑10 % du parc, observer 48–72 h.
Élargir le déploiement, superviser les tickets support.
Valider et archiver un plan de rollback.

Points d’attention et compatibilité

Versions Windows : cible Windows 10/11 et Windows Server (sessions RemoteApp/VDI incluses).
Langue : selon la langue du poste, le nom affiché de la stratégie peut varier. Le nom logique de la valeur Registre reste identique.
Profils itinérants : la clé HKCU se propage avec le profil. Validez le comportement dans les environnements multi‑sessions.
Conflits : évitez les GPO qui écrivent différemment dans Policies\Explorer. L’ordre de liaison et l’héritage s’appliquent.

Récapitulatif

Pour supprimer l’option « Search Active Directory » dans l’Explorateur de fichiers :

Idéal : activer la stratégie Remove Search Active Directory (GPO utilisateur) après avoir, si nécessaire, mis à jour les modèles ADMX/ADML.
Équivalent : déployer NoActiveDirectorySearch=1 dans HKCU\...\Policies\Explorer via GPP, script, Intune ou SCCM.
Alternatives : griser l’option en désactivant la découverte réseau (impact global), ou dernier recours via AppLocker/GPP UI (non recommandé).

Ces approches sont auditables, réversibles, et compatibles avec de larges environnements d’entreprise. Choisissez la voie GPO pour une gestion centralisée et prévisible ; utilisez l’option Registre pour des cas isolés ou des postes hors domaine.

Annexes utiles

Central Store

Chemin recommandé du Central Store ADMX : \\<domaine>\SYSVOL\<domaine>\Policies\PolicyDefinitions. Copier FileExplorer.admx et son fichier de langue (fr-FR\FileExplorer.adml ou en-US\FileExplorer.adml).

Audit rapide

whoami /user
gpresult /r /scope:user
gpresult /h C:\Temp\gp.html

Retour arrière GPO

Mettre la stratégie sur Non configuré ou Désactivé.
Supprimer la valeur de Registre si elle a été distribuée par GPP (Action : Delete).
Forcer un gpupdate /force et valider avec gpresult.