Réappliquer un même GPO pour bloquer Windows Update et les mises à jour Chrome/Edge/Firefox (Windows Server 2012/2019)

Vous devez désactiver Windows Update et stopper les mises à jour Chrome/Edge/Firefox sur tous vos serveurs Windows Server 2012/2019 ? Voici une méthode sûre : relier le même GPO partout, sans duplications inutiles, avec vérifications, scripts PowerShell, filtres WMI et contrôle d’impact.

Sommaire

Contexte et objectif

Dans de nombreux environnements, un GPO « Désactiver les mises à jour » existe déjà pour certaines unités d’organisation (OU). La question est simple : peut‑on relier à nouveau ce même GPO à d’autres OU/domaines pour étendre la portée, sans créer de conflits ni de comportements indésirables ? La réponse est oui, à condition d’appliquer quelques règles de priorité et de vérifier l’absence de GPO concurrents.

En bref : ce qui se passe quand vous réappliquez le même GPO

Point clé	Explications
Aucun conflit fonctionnel	Relier le même objet GPO (même GUID) avec exactement les mêmes paramètres n’introduit ni doublon ni erreur : la configuration reste identique sur les machines déjà ciblées et s’applique aux nouvelles cibles.
Ordre de traitement LSDOU	Les stratégies se combinent dans l’ordre Local → Site → Domaine → OU. Si deux GPO portent la même valeur, le résultat ne change pas. En cas de valeurs différentes, la dernière appliquée (selon la priorité) l’emporte.
Effet pratique	Les serveurs déjà couverts restent inchangés ; les nouveaux héritent de la configuration. Seul l’horodatage/version du GPO peut évoluer, déclenchant une actualisation de stratégie (gpupdate) sans redémarrage obligatoire.
Quand un « conflit » existe‑t‑il ?	Uniquement si un autre GPO différent écrit la même clé Registre avec une valeur opposée et qu’il a une priorité supérieure (ordre de lien, Enforced, OU plus basse, héritage bloqué).
Vérifications rapides	`gpresult /h rapport.html`, `Get-GPResultantSetOfPolicy`, RSOP.msc et GPMC (colonnes Status, Enforced, Links). Activez les journaux Microsoft‑Windows‑GroupPolicy/Operational pour l’audit.
Bonnes pratiques	Conservez un seul GPO par domaine, évitez les clones, centralisez les modèles ADMX, documentez le GUID de l’objet, utilisez des filtres WMI ou un Security Filtering précis.

Comprendre la priorité des GPO (LSDOU, Enforced, héritage)

Pour savoir si la ré‑liaison du GPO changera quelque chose, rappelez‑vous ces règles de base :

Ordre LSDOU : Local → Site → Domaine → OU (de la plus large à la plus spécifique). À chaque niveau, l’ordre de lien (Link Order) fixe la priorité : Link Order 1 a la priorité la plus haute.
Enforced (Forcer) : si un lien est marqué Enforced, ses paramètres ne peuvent pas être remplacés par des GPO situés plus bas.
Block Inheritance : sur une OU, bloque les GPO hérités des niveaux supérieurs (sauf ceux en Enforced).
Dernière écriture gagne : si deux GPO ciblent la même clé Registre avec des valeurs différentes, celui avec la plus haute priorité prévaut.

Scénarios de ré‑liaison

Même domaine Active Directory

Cas le plus simple. Reliez le même GPO à d’autres OU (ou au Domaine) ; ne créez pas de doublons. La réplication AD/SYSVOL assurera la propagation.

Plusieurs domaines d’une même forêt

Un GPO est propre à un domaine. On ne peut pas lier un GPO du domaine A à une OU du domaine B. Procédez par copie/import :

Dans GPMC : Backup du GPO dans le domaine source.
Dans le domaine cible : Import Settings dans un nouveau GPO (ou Copy via GPMC) avec une table de migration pour traduire groupes/comptes si nécessaire.
Reliez ce GPO « répliqué » aux OU voulues du domaine cible.

Liens au niveau des Sites AD

Les liens de GPO au niveau Sites affectent toutes les machines présentes dans ces sites (déterminés par la topologie IP). Cette méthode est rarement nécessaire pour un blocage d’updates ciblé « serveurs », mais peut compléter un design OU.

Paramétrage Windows Update : ce qu’il faut (vraiment) configurer

Sur Windows Server 2012/2012 R2/2019, l’option la plus directe pour empêcher le téléchargement/installation automatique est de désactiver la fonctionnalité d’updates automatiques et de neutraliser toute source Windows Update Internet.

Paramètres GPO recommandés (modèles ADMX)

Configuration ordinateur → Modèles d’administration → Composants Windows → Windows Update
- Configurer les mises à jour automatiques : Désactivé (ou Activé avec l’option 2 – Notifier pour le téléchargement et l’installation si vous voulez conserver la notification sans téléchargement).
- Ne pas se connecter à des emplacements Windows Update sur Internet : Activé.
- Si WSUS est utilisé et doit être neutralisé : laissez Utiliser un serveur de mises à jour Microsoft sur l’intranet Non configuré (ou veillez à ce qu’aucun paramètre WSUS actif ne force un comportement).

Équivalents Registre (pour GPP : Préférences Registre)

Clé	Valeur	Type	Effet
`HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate`	`1`	`REG_DWORD`	Désactive les mises à jour automatiques.
`HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations`	`1`	`REG_DWORD`	Empêche tout accès aux services Windows Update Internet.
`HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions`	`2` (optionnel)	`REG_DWORD`	Mode « Notifier » si vous préférez l’affichage d’alertes plutôt que la désactivation pure et simple.

Remarque : évitez de désactiver les services wuauserv, UsoSvc, WaaSMedicSvc ou BITS ; Windows peut tenter de les réactiver, et certains composants en dépendent. Les stratégies sont le moyen supporté et durable.

Bloquer les mises à jour des navigateurs (Chrome, Edge, Firefox)

Sur des serveurs, l’objectif est souvent d’éviter tout changement applicatif non maîtrisé. Voici les paramètres usuels côté entreprise.

Google Chrome

Chrome est mis à jour par « Google Update » (Omaha). Vous pouvez piloter son comportement via les ADMX Google Update ou des clés Registre.

Clé	Valeur	Type	Effet
`HKLM\SOFTWARE\Policies\Google\Update\AutoUpdateCheckPeriodMinutes`	`0`	`REG_DWORD`	Désactive les contrôles de mise à jour planifiés.
`HKLM\SOFTWARE\Policies\Google\Update\UpdateDefault`	`0`	`REG_DWORD`	Désactive les mises à jour pour toutes les applications gérées par Google Update (dont Chrome).
`HKLM\SOFTWARE\Policies\Google\Update\TargetVersionPrefix`	(facultatif, ex : `124.`)	`REG_SZ`	Épingle une version majeure si vous devez rester sur une branche donnée.

Microsoft Edge (Chromium)

Edge (Chromium) utilise « Edge Updater » côté entreprise.

Clé	Valeur	Type	Effet
`HKLM\SOFTWARE\Policies\Microsoft\EdgeUpdate\UpdateDefault`	`0`	`REG_DWORD`	Désactive les mises à jour Edge gérées par Edge Updater.
`HKLM\SOFTWARE\Policies\Microsoft\EdgeUpdate\TargetVersionPrefix`	(facultatif)	`REG_SZ`	Épingle une version cible si nécessaire.

Mozilla Firefox

Deux approches adaptées aux serveurs :

ADMX Firefox (Enterprise Policies) : définissez la politique DisableAppUpdate.
Fichier mozilla.cfg : verrouillez la préférence app.update.enabled à false.

Exemple de mozilla.cfg :

// Verrouillage des mises à jour côté serveur
lockPref("app.update.enabled", false);
lockPref("app.update.auto", false);
lockPref("app.update.background.scheduling.enabled", false);

Déploiement par GPO : Configuration ordinateur → Préférences → Fichiers pour copier mozilla.cfg à la racine du dossier d’installation de Firefox, et un local-settings.js dans defaults\pref contenant :

pref("general.config.obscure_value", 0);
pref("general.config.filename", "mozilla.cfg");

Procédure de ré‑liaison propre et industrialisée

Via la console GPMC

Ouvrez GPMC et localisez le GPO existant (vérifiez son GUID, son Status et ses Links).
Sur la OU (ou le domaine) cible, clic droit → Link an Existing GPO… → sélectionnez le même GPO.
Ajustez l’ordre de lien (Link Order) et, si nécessaire, cochez Enforced (avec parcimonie).
Si des OU bloquent l’héritage, validez que le lien Enforced couvre bien le besoin (ou réorganisez la hiérarchie).

Via PowerShell (module GroupPolicy)

Relier un GPO existant à une OU :

# Variables
$GpoName = "GPO - Désactiver Mises à jour"
$TargetOu = "OU=Servers,OU=Prod,DC=contoso,DC=com"

# Lier le GPO (lien activé, non forcé)

New-GPLink -Name $GpoName -Target $TargetOu -LinkEnabled Yes -Enforced No

# Vérifier l'héritage et la priorité

Get-GPInheritance -Target $TargetOu | Format-List

Relier en masse plusieurs OU :

$GpoName   = "GPO - Désactiver Mises à jour"
$OuList    = @(
  "OU=Servers,OU=Prod,DC=contoso,DC=com",
  "OU=SQL,OU=Prod,DC=contoso,DC=com",
  "OU=DMZ,DC=contoso,DC=com"
)

foreach ($ou in $OuList) {
try {
New-GPLink -Name $GpoName -Target $ou -LinkEnabled Yes -Enforced No -ErrorAction Stop
Write-Host "Lien créé sur $ou"
} catch {
Write-Warning "Échec sur $ou : $($_.Exception.Message)"
}
}

Forcez une application ciblée (optionnel) :

# Déclencher un rafraîchissement à distance (depuis 2012 R2+)
Invoke-GPUpdate -Computer "SRV-WEB-01" -RandomDelayInMinutes 0 -Target Computer

Rappel : en temps normal, les serveurs actualisent les stratégies toutes les ~90 minutes (aléatoire ±30 min). Les contrôleurs de domaine le font plus fréquemment.

Filtres WMI : cibler précisément 2012/2019

Si certaines OU contiennent des postes clients ou d’autres versions serveur, utilisez un WMI Filter pour appliquer le GPO uniquement aux OS visés.

Cible	Requête WMI (root\CIMV2)	Commentaire
Windows Server 2012/2012 R2	`SELECT * FROM Win32_OperatingSystem WHERE (Version LIKE "6.2%" OR Version LIKE "6.3%") AND ProductType >= 2`	6.2 = 2012, 6.3 = 2012 R2. `ProductType >= 2` limite aux éditions serveur.
Windows Server 2019	`SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.%" AND ProductType >= 2`	Valide aussi pour 2016/2022 ; complétez avec `BuildNumber` si vous devez distinguer.

Vérifications « avant/après » et audit

Rapport RSoP : gpresult /h C:\Temp\RSoP.html puis ouvrez le fichier pour voir les GPO et paramètres gagnants.
PowerShell : Get-GPResultantSetOfPolicy -ReportType Html -Path C:\Temp\rsop.html.
Observateur d’événements : Microsoft‑Windows‑GroupPolicy/Operational pour les cycles d’application, et Microsoft‑Windows‑WindowsUpdateClient/Operational pour s’assurer qu’aucune recherche/téléchargement n’a lieu.
Inspection Registre (lecture seule) : Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" | Select-Object NoAutoUpdate, AUOptions Get-ItemProperty "HKLM:\SOFTWARE\Policies\Google\Update" | Select-Object AutoUpdateCheckPeriodMinutes, UpdateDefault Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\EdgeUpdate" | Select-Object UpdateDefault

Où un conflit peut‑il se produire ?

Quelques cas typiques :

Un GPO « Optimisation WSUS » fixe AUOptions=4 (installation planifiée) alors que votre GPO « Blocage » pose NoAutoUpdate=1. Le gagnant dépendra de la priorité.
Une Préférence Registre (GPP) en Replace réécrit vos clés à chaque cycle ; elle peut outrepasser vos paramètres si elle s’exécute après.
Une cible de sécurité (Security Filtering) restreint le GPO à un groupe auquel la machine n’appartient pas (ou héritage bloqué).
Des scripts tiers (SCCM/ConfigMgr, Puppet/Ansible) remettent des valeurs à l’opposé.

Design recommandé pour éviter les clones

Un GPO unique par domaine : « GPO – Désactiver Mises à jour Serveurs » (documentez son GUID).
Liens sur les OU serveurs uniquement, avec filtres WMI si les OU sont mixtes.
Aucun lien au niveau Domaine si des OU « Dérogation » doivent continuer à recevoir des mises à jour.
Pas de duplication du GPO : les clones complexifient l’audit et la maintenance.

Gestion des exceptions (Security Filtering & GPP Item‑Level Targeting)

Si certaines machines doivent continuer à être mises à jour (ex : pré‑prod, lab), deux options :

Security Filtering : autorisez l’application du GPO à un groupe AD spécifique (ex : SRV‑MAJ‑BLOQUEES) et ajoutez uniquement les ordinateurs concernés dans ce groupe.
GPP : ajoutez une Préférence Registre « NoAutoUpdate=1 » avec un Item‑Level Targeting basé sur l’appartenance à un groupe, un nom d’hôte, un site AD, etc.

Scripts utiles (modèles)

Créer un GPO standard « blocage updates »

# 1) Créer le GPO s'il n'existe pas
$GpoName = "GPO - Désactiver Mises à jour Serveurs"
if (-not (Get-GPO -Name $GpoName -ErrorAction SilentlyContinue)) {
  New-GPO -Name $GpoName | Out-Null
}

# 2) Appliquer les paramètres via GPP Registre (exemple simplifié)

# Note : pour un pilotage 100% ADMX, préférez Set-GPRegistryValue avec les chemins de policy.

Set-GPRegistryValue -Name $GpoName -Key "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -ValueName "DoNotConnectToWindowsUpdateInternetLocations" -Type DWord -Value 1
Set-GPRegistryValue -Name $GpoName -Key "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -ValueName "NoAutoUpdate" -Type DWord -Value 1

Exporter/Importer d’un domaine à l’autre

# Export
Backup-GPO -Name "GPO - Désactiver Mises à jour Serveurs" -Path "\\fileserver\gpo-backups\maj-block"

# Import dans le domaine cible (crée un GPO vide au préalable)

New-GPO -Name "GPO - Désactiver Mises à jour Serveurs" | Out-Null
Import-GPO -BackupGpoName "GPO - Désactiver Mises à jour Serveurs" `           -Path "\\fileserver\gpo-backups\maj-block"`
-TargetName "GPO - Désactiver Mises à jour Serveurs"

Plan de rollback (réactiver temporairement)

Basculer NoAutoUpdate à 0 ou mettre « Configurer les mises à jour automatiques » en Non configuré/Activé avec l’option souhaitée.
Pour Chrome/Edge, remettre UpdateDefault à 1 ou supprimer la clé (retour au comportement par défaut).
Pour Firefox, annuler DisableAppUpdate ou retirer/adapter mozilla.cfg.
Déclencher Invoke-GPUpdate puis exécuter une fenêtre de test contrôlée.

Points de sécurité à garder à l’esprit

Surface d’attaque : désactiver les mises à jour réduit le changement mais augmente l’exposition. Assurez un patching contrôlé (fenêtre de maintenance) et des compensations (segmentation réseau, EDR, durcissement).
Conformité : tenez compte des exigences internes (audit, PCI‑DSS, ISO 27001, etc.).
Obsolescence : Windows Server 2012/2012 R2 est hors support depuis 2023 ; si vous le maintenez en production, doublez la surveillance de vulnérabilités.

Checklist opérationnelle

Identifier le GPO « blocage updates » existant (GUID, paramètres, propriétaires).
Vérifier l’absence de clones ; s’il y en a, choisir un GPO « référence » et supprimer/archiver les doublons.
Déterminer la portée (OU/domaine) et, si nécessaire, créer un WMI Filter.
Relier le même GPO aux nouvelles OU (GPMC/PowerShell), ajuster l’ordre, éventuellement Enforced.
Contrôler Security Filtering et Delegation (lecture/appliquer la GPO).
Lancer un gpupdate ciblé sur un échantillon, puis gpresult.
Auditer les journaux GPO et Windows Update, confirmer l’absence de téléchargement/installation.
Documenter (GUID, OU liées, filtre WMI, date, approbation CAB/Change).

FAQ express

Q : Re‑lier le même GPO « double » les paramètres ?
R : Non. C’est le même objet (même GUID). Les paramètres ne se dupliquent pas ; ils restent identiques.

Q : Faut‑il redémarrer les serveurs ?
R : Non, pas pour ces paramètres. Un cycle de stratégie suffit (gpupdate).

Q : Et si un autre GPO force AUOptions=4 ?
R : C’est une collision. Réglez la priorité (ordre de lien ou Enforced) ou supprimez ce paramètre du GPO en conflit.

Q : Puis‑je bloquer uniquement les serveurs DMZ ?
R : Oui : liez le GPO à l’OU « DMZ » et ajoutez un WMI Filter ProductType ≥ 2 pour exclure tout poste client.

Conclusion

Vous pouvez relier en toute sécurité le même GPO de désactivation des mises à jour à l’ensemble de vos serveurs Windows Server 2012/2019. Les serveurs déjà couverts restent inchangés, les autres héritent simplement de la configuration. La seule vigilance consiste à contrôler la priorité et l’éventuelle présence de GPO concurrents. Avec un design « un GPO par domaine », des filtres WMI précis, et un audit gpresult/Event Logs, vous obtenez un blocage prévisible, traçable et réversible.

Annexe : paramètres résumés

Produit	Chemin/Clé	Valeur	But
Windows Update	`HKLM\...\WindowsUpdate\AU\NoAutoUpdate`	`1`	Désactiver les MAJ automatiques
Windows Update	`HKLM\...\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations`	`1`	Interdire Windows Update Internet
Chrome	`HKLM\...\Google\Update\AutoUpdateCheckPeriodMinutes`	`0`	Stopper les checks d’update
Chrome	`HKLM\...\Google\Update\UpdateDefault`	`0`	Désactiver les MAJ via Google Update
Edge	`HKLM\...\Microsoft\EdgeUpdate\UpdateDefault`	`0`	Désactiver les MAJ via Edge Updater
Firefox	`mozilla.cfg` / `policies.json`	`app.update.enabled=false`	Bloquer les mises à jour Firefox

Astuces finales : centralisez les ADMX dans le Central Store, notez l’UUID du GPO dans sa description, évitez Enforced inutile, et consignez toute modification (CAB/Change) pour auditer facilement la conformité.