MENU
  1. Accueil
  2. Windows
  3. Windows Server
  4. Windows Server 2022 : bloquer la recherche du menu Démarrer pour les utilisateurs non‑administrateurs (GPO pas‑à‑pas)

Windows Server 2022 : bloquer la recherche du menu Démarrer pour les utilisateurs non‑administrateurs (GPO pas‑à‑pas)

Windows Server

Besoin d’empêcher vos utilisateurs standard de lancer des recherches depuis le menu Démarrer tout en laissant cette fonction aux administrateurs ? Voici une méthode fiable, basée sur GPO, testée sur Windows Server 2022 et adaptée aux environnements RDS.

Sommaire

Objectif et périmètre

L’objectif est de neutraliser la zone de recherche du menu Démarrer et les raccourcis associés (Win+S, saisie directe dans Démarrer) pour un ensemble d’utilisateurs non‑administrateurs, tout en préservant la recherche pour les comptes d’administration. La solution proposée s’appuie sur les GPO et s’adapte autant aux serveurs hôtes RDS/VDI qu’aux serveurs d’applications classiques.

Pré‑requis

  • Un domaine Active Directory fonctionnel et l’outil Group Policy Management Console (GPMC).
  • Un compte disposant des droits pour créer des OU, des GPO et gérer le filtrage de sécurité.
  • Des postes ou hôtes RDS sous Windows Server 2022. (Optionnel : filtre WMI si vous ciblez strictement cette version.)
  • Idéalement, un Central Store de modèles ADMX à jour afin d’avoir l’ensemble des paramètres de stratégie disponibles.
  • Un groupe AD ou une OU qui regroupe seulement les utilisateurs à restreindre (meilleure pratique).

Méthode recommandée (GPO ciblé sur les utilisateurs non‑admins)

Cette méthode applique une GPO User Configuration aux utilisateurs contenus dans une OU dédiée. Les administrateurs n’étant pas dans cette OU ne sont pas affectés. Résultat : la recherche disparaît pour les comptes visés, elle reste disponible pour les comptes d’admin.

Solution pas‑à‑pas (stratégie de groupe)

ÉtapeActionDétails
1Créer une OU dédiéeDans Active Directory Users & Computers, créez une unité d’organisation (OU) et déplacez‑y les comptes visés.
2Lier un nouvel objet GPO à l’OUOuvrez la Group Policy Management Console (GPMC), clic droit sur l’OU → Create a GPO in this domain, and Link it here….
3Configurer la désactivation de la rechercheÉditez le GPO :
User Configuration → Policies → Administrative Templates → Start Menu and Taskbar
  Activer Remove Search link from Start Menu (retire la zone et l’icône de recherche).
  Activer Remove Search box (si présent).
– (Facultatif) Computer Configuration → Administrative Templates → Windows Components → Search
  Désactiver Allow Cortana.
  Activer Don’t search the web or display web results in Search.
4Mettre à jour les stratégiesSur les postes / sessions RDS concernés : gpupdate /force ou un redémarrage.
5VérifierLe champ de recherche disparaît ; Windows+S ou la saisie directe dans Démarrer ne renvoient plus de résultats pour les utilisateurs ciblés.

Détail des étapes et bonnes pratiques

Créer une OU dédiée et y ranger les bons comptes

  • Ne mélangez pas comptes d’admin et comptes ordinaires : créez deux OU (ex. Users‑Standard et Users‑Admins).
  • Ne liez jamais ce GPO à la racine du domaine. Vous minimiserez ainsi les risques de propagation non désirée.
  • Si vous ne pouvez pas déplacer les utilisateurs, utilisez un filtrage de sécurité (voir plus bas) : créez un groupe AD (SRV2022 – Bloquer recherche Démarrer) et mettez‑y uniquement les utilisateurs concernés.

Paramétrer précisément la GPO

Le paramètre utilisateur Remove Search link from Start Menu masque la zone/entrée de recherche. Dans certains templates ADMX, l’option Remove Search box peut également apparaître ; si elle est disponible, activez‑la pour verrouiller l’interface au maximum.

En complément côté ordinateur :

  • Don’t search the web or display web results in Search : empêche l’affichage de résultats web dans la recherche (utile pour réduire la distraction et l’empreinte réseau).
  • Allow Cortana : désactivez‑la si vous voyez encore le paramètre. Même si Cortana n’est plus d’actualité, certains environnements hérités gardent le setting.

Filtrage de sécurité (indispensable si l’OU contient aussi des admins)

  1. Dans la GPMC, sélectionnez la GPO → zone Security Filtering.
  2. Supprimez « Authenticated Users » de l’application (Apply group policy) mais conservez‑leur le droit Read via l’onglet Delegation (ou ajoutez Domain Computers en lecture). Sans droit de lecture, le client ne peut pas récupérer la GPO.
  3. Ajoutez votre groupe AD cible (ex. SRV2022 – Bloquer recherche Démarrer) avec les droits Read + Apply group policy.
  4. Évitez les entrées « Deny » sur les groupes d’admin : préférez l’isolation via OU dédiée ou via groupe positif (principe de moindre privilège).

Cas RDS / VDI : utiliser le Loopback

Si vous souhaitez forcer ce comportement uniquement sur les hôtes RDS, sans affecter les mêmes utilisateurs sur leurs PC locaux :

  1. Placez les hôtes RDS dans une OU (ex. Servers → RDS).
  2. Créez/lien une GPO sur cette OU et activez Computer Configuration → Policies → Administrative Templates → System → Group Policy → User Group Policy loopback processing mode, en mode Merge (souvent suffisant) ou Replace (si vous voulez ignorer complètement les GPO de l’utilisateur).
  3. Dans la même GPO (ou une GPO séparée liée à la même OU RDS), configurez les paramètres User Configuration ci‑dessus et filtrez la GPO sur le groupe d’utilisateurs standard.

Avec le loopback, la stratégie utilisateur est évaluée en fonction de l’ordinateur (ici, les serveurs RDS), ce qui vous permet de conserver la recherche sur les machines de bureau.

Filtre WMI (optionnel) : cibler Server 2022 uniquement

Pour être sûr de ne toucher que les serveurs, vous pouvez ajouter un filtre WMI simple :

  • Serveurs uniquement : ProductType = 3 (systèmes de type serveur).
  • Version Server 2022 : utilisez une clause sur la version. Exemple : Version >= "10.0.20348" AND Version < "10.0.22000" AND ProductType = 3. (La borne 22000 exclut Windows 11.)

Validez d’abord en pré‑production, car la comparaison de versions WMI est lexicographique : testez sur un échantillon représentatif.

Vérification et diagnostic

  • Demandez à un utilisateur ciblé d’ouvrir le menu Démarrer et de taper un mot‑clé : aucun résultat ne doit s’afficher, et l’icône/zone de recherche doit être absente.
  • Win+S n’ouvre plus l’interface de recherche.
  • Côté administration, exécutez : gpresult /h C:\Temp\rsop.html start C:\Temp\rsop.html Vérifiez que la GPO est bien listée dans la section User Settings pour l’utilisateur ciblé.
  • Consultez le journal Event Viewer → Applications and Services Logs → Microsoft → Windows → GroupPolicy → Operational sur l’hôte pour suivre l’application de la stratégie.

Alternatives / compléments

  • Désactiver le service Windows Search (Computer Configuration → Services). Attention : cela coupe la recherche pour tout le serveur (et peut impacter l’indexation Outlook si utilisée).
  • Clé registre utilisateur :
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    NoFind = 1 (DWORD) — effet équivalent à « Remove Search link ».
  • Gestion moderne (Intune) : profil Settings Catalog → Search avec les mêmes paramètres. Combinez au ciblage des groupes AAD.
  • Scripts PowerShell : New-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies -Name Explorer -Force | Out-Null Set-ItemProperty -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer -Name NoFind -Value 1 -Type DWord Exécutez dans le contexte utilisateur (logon script, tâche planifiée, ou Intune).

Points d’attention

  • La recherche de fichiers dans l’Explorateur reste possible si l’utilisateur navigue manuellement dans un dossier ; pour aller plus loin, combinez avec la désactivation de Windows Search ou des ACL plus restrictives.
  • Vérifiez que la GPO n’est appliquée qu’à l’OU ou au groupe ciblé ; un mauvais filtrage pourrait priver les administrateurs de la recherche.
  • Les changements n’affectent pas les raccourcis clavier tiers ni des outils de lancement rapide (Launchy, etc.). Interdisez‑les via liste d’applications si nécessaire.
  • En RDS, pensez à la charge disque : la désactivation de la recherche peut réduire l’indexation et donc la consommation d’I/O, mais validez l’impact sur les usages (Outlook, recherches locales limitées).
  • Conservez à tout moment un plan de retour arrière (suppression du lien GPO / retrait du groupe de sécurité / désactivation de la GPO).

Modèle de déploiement conseillé

ScénarioOù lier la GPO ?FiltrageRemarques
Serveurs applicatifs (pas RDS)OU des utilisateurs standardGroupe AD « Standard »Les comptes d’admin ne doivent pas être dans cette OU.
RDS / VDIOU des serveurs RDSLoopback Merge + groupe AD « Standard »Empêche la recherche uniquement en session distante.
Mixte (quelques serveurs ciblés)OU dédiée aux serveurs ciblésWMI (ProductType=3) + groupeAjoutez un filtre de version si nécessaire.

Tests fonctionnels rapides

  1. Connectez‑vous avec un utilisateur standard dans l’OU ciblée : la zone de recherche a disparu.
  2. Appuyez sur Win+S : rien ne se passe.
  3. Ouvrez le menu Démarrer et commencez à taper : aucun résultat, pas d’interface de recherche.
  4. Ouvrez une session avec un compte admin (hors OU ou exclu par filtrage) : la recherche reste disponible.

Diagnostic avancé

  • RSOP : rsop.msc permet de visualiser l’état de la stratégie effective pour l’utilisateur connecté.
  • gpresult (en détail) : gpresult /USER <domaine\utilisateur> /SCOPE USER /V gpresult /USER <domaine\utilisateur> /SCOPE USER /Z
  • GPO non appliquée ? Vérifiez l’héritage, le lient GPO → OU, la latence de réplication AD, les permissions (Read vs Apply), et d’éventuels filtres WMI trop restrictifs.
  • Raccourci tiers fonctionne encore ? Interdisez l’exécutable via Applocker/WDAC ou la politique « Run only specified Windows applications » si cela répond à votre politique de sécurité.

FAQ

Est‑ce que cela bloque la recherche dans l’Explorateur ?

Non. Les paramètres ci‑dessus visent la recherche du menu Démarrer. Un utilisateur peut encore lancer une recherche après avoir ouvert un dossier (sauf si vous désactivez Windows Search ou durcissez les ACL).

Quid d’Outlook ou d’autres applications ?

La recherche Outlook en mode cache s’appuie sur Windows Search. Si vous désactivez le service Windows Search, l’indexation sera indisponible ; évaluez l’impact avant d’adopter cette alternative.

Peut‑on tout faire par script ?

Oui, via la clé NoFind côté utilisateur. Toutefois, la GPO offre un contrôle centralisé, un ciblage fin et une meilleure traçabilité.

Comment revenir en arrière rapidement ?

  • Dé‑lien ou désactivez la GPO.
  • Retirez les utilisateurs du groupe de filtrage ou sortez‑les de l’OU.
  • Lancez gpupdate /force et/ou redémarrez la session.

Récapitulatif express

  • Isoler les utilisateurs standard dans une OU ou un groupe AD.
  • Créer une GPO utilisateur : Remove Search link (et Remove Search box si présent).
  • (Optionnel) Durcir côté ordinateur : interdire les résultats web, désactiver Cortana.
  • Mettre à jour les stratégies puis vérifier avec gpresult/rsop.msc.
  • Adapter aux environnements RDS via le loopback processing.

En appliquant ces paramètres, vous neutralisez efficacement la barre de recherche du menu Démarrer pour les utilisateurs non‑administrateurs, sans impacter les administrateurs ou l’ensemble du serveur.

Annexe : paramètres et clés utiles (mémo)

EmplacementParamètreValeurEffet
User Config → Administrative Templates → Start Menu and TaskbarRemove Search link from Start MenuEnabledMasque la zone/entrée de recherche du menu Démarrer.
User Config → Administrative Templates → Start Menu and TaskbarRemove Search boxEnabled (si présent)Supprime la boîte de recherche dans la barre des tâches/Démarrer.
Computer Config → Administrative Templates → Windows Components → SearchDon’t search the web or display web results in SearchEnabledBloque les résultats web dans l’expérience de recherche.
Computer Config → Administrative Templates → Windows Components → SearchAllow CortanaDisabledDésactive Cortana (si disponible dans vos templates).
Registre (HKCU)HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ExplorerNoFind = 1 (DWORD)Équivalent registre de « Remove Search link ».

Annexe : script d’exemple (logon)

À utiliser uniquement si vous ne pouvez pas déployer de GPO ; préférez la stratégie de groupe lorsque c’est possible.

@echo off
REM -- Script de connexion : masquer la recherche Démarrer
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" ^
    /v NoFind /t REG_DWORD /d 1 /f

Ou en PowerShell :

New-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies -Name Explorer -Force | Out-Null
New-ItemProperty -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer -Name NoFind -Value 1 -Type DWord -Force | Out-Null

Bonnes pratiques de sécurité et de gouvernance

  • Principe du moindre privilège : ne mettez dans le groupe de filtrage que les utilisateurs nécessitant la restriction.
  • Contrôles d’accès : la suppression de la recherche n’est pas un contrôle d’accès. Protégez vos partages et applications via des ACL et des groupes.
  • Traçabilité : documentez la GPO (notes dans l’objet GPO, étiquettes) et consignez la liste des OU/groupes ciblés.
  • Cycle de vie : créez un Change avec une date d’expiration/validation afin de re‑certifier périodiquement la pertinence de cette restriction.

Check‑list de mise en œuvre

  • OU dédiée aux utilisateurs standard.
  • GPO créée et liée à la bonne OU (ou OU RDS avec loopback).
  • Paramètres Remove Search link (+ Remove Search box) activés.
  • (Optionnel) Paramètres Search côté ordinateur durcis.
  • Filtrage de sécurité : groupe AD ajouté (Read + Apply), Authenticated Users en lecture uniquement.
  • WMI filter (si besoin) testé.
  • Validation via gpresult/rsop.msc.
  • Plan de rollback documenté.
Windows Server
Active Directory GPO Windows Server 2022 Recherche RDS Start Menu
Sommaire