Sur Windows 10 22H2, l’installation des RSAT – Group Policy Management échoue souvent avec 0x800f0954 ou 0x8024002e lorsque la machine pointe vers WSUS. Voici une méthode fiable (GPO, registre, hors‑ligne) pour installer les Features on Demand sans casser votre gestion des mises à jour.
Contexte et symptômes
Vous tentez d’ajouter la fonctionnalité facultative RSAT: Group Policy Management Tools sur un poste Windows 10 22H2 membre d’un domaine. Deux chemins échouent :
- Paramètres › Fonctionnalités facultatives : “Couldn’t add”.
- PowerShell :
Add‑WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0retourne 0x800f0954, puis après tentative de correction, 0x8024002e (WU_E_WU_DISABLED).
La cause la plus fréquente est l’utilisation d’un serveur WSUS pour les mises à jour. Par défaut, les Features on Demand (FOD) comme RSAT sont téléchargées directement depuis Windows Update (Microsoft). Si la stratégie impose WSUS sans autoriser ce téléchargement direct, l’installation échoue.
Pourquoi ces erreurs ?
- 0x800f0954 : Windows tente de récupérer le composant auprès de WSUS mais ne trouve pas le package RSAT (WSUS ne distribue pas les FOD).
- 0x8024002e (WU_E_WU_DISABLED) : une stratégie active interdit la communication avec Windows Update (Internet) pour ce type de contenu.
Depuis Windows 10 v1809, RSAT est intégré au système (pas de MSI à télécharger). Il faut donc autoriser, ponctuellement, un accès direct à Windows Update pour les FOD ou fournir une source hors‑ligne (ISO FOD / CAB).
Résumé opérationnel : correctifs validés
Appliquez les étapes ci‑dessous (méthode la plus rapide en environnement d’entreprise). Elles ont été testées et permettent un retour propre au mode WSUS après installation.
| Étape | Action | Commande/Paramètre | Commentaires |
|---|---|---|---|
| 1 | Autoriser le téléchargement direct des FOD | Stratégie : Spécifier les paramètres d’installation des composants facultatifs et la réparation des composants → cocher « Télécharger le contenu de réparation et les fonctionnalités facultatives directement depuis Windows Update ». | Paramétrer via GPO (Configuration ordinateur › Modèles d’administration › Système). Appliquer gpupdate /force. |
| 2 | (Méthode rapide) Bypasser WSUS pour cette session | PowerShell (admin) Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" ` -Name "UseWUServer" -Value 0 Restart-Service wuauserv | Désactive l’utilisation de WSUS par l’agent WU juste le temps d’installer RSAT. |
| 3 | Réinitialiser Windows Update (facultatif mais conseillé) | Nettoyage cache/logs (script de réinitialisation WU) | Évite les artefacts (cache corrompu, téléchargements partiels). |
| 4 | Installer RSAT – GPMC | Add‑WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0 | L’installation aboutit si 1/2 sont en place. Vérifier avec Get-WindowsCapability. |
| 5 | Rétablir WSUS | Remettre UseWUServer=1 (ou supprimer la valeur) puis gpupdate /force. | Retour au mode de gestion d’origine, sans impacter le cycle de patch. |
Bon à savoir : beaucoup d’administrateurs confirment que l’étape 2 suffit ; l’installation réussit immédiatement après le redémarrage du service wuauserv.
Procédure détaillée (pas à pas)
Prérequis et vérifications rapides
- Session avec droits administrateur local.
- Version de l’OS : Windows 10 22H2 (Build 19045.x). Vérifiez :
winver # ou Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, OsBuildNumber - Connectivité HTTP/HTTPS sortante vers
*.windowsupdate.cometdelivery.mp.microsoft.com(direct ou via proxy).
Option A – via Stratégie de groupe (recommandé en domaine)
- Ouvrez la Gestion des stratégies de groupe (
gpmc.msc), éditez la GPO appliquée aux postes concernés (ou créez une GPO dédiée temporaire). - Chemin : Configuration ordinateur › Modèles d’administration › Système → Spécifier les paramètres d’installation des composants facultatifs et la réparation des composants.
- Activez la stratégie et cochez : “Télécharger le contenu de réparation et les fonctionnalités facultatives directement depuis Windows Update au lieu de WSUS”.
- Assurez‑vous que “Ne pas se connecter aux emplacements Windows Update sur Internet” est Désactivé ou Non configuré pendant l’opération.
- Forcez l’application :
gpupdate /force.
Cette configuration ne détourne que le flux des FOD/repair content. Les mises à jour cumulatives continueront de passer par WSUS une fois la valeur d’origine rétablie.
Option B – méthode rapide par le Registre
Si vous préférez une action locale ponctuelle, exécutez PowerShell en administrateur :
# 1) Basculer vers Windows Update (bypass WSUS)
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" `
-Name "UseWUServer" -Value 0 -Force
# 2) Redémarrer l'agent Windows Update
Restart-Service wuauserv -Force
# 3) Installer RSAT - GPMC
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
# 4) (optionnel) Vérifier l'état
Get-WindowsCapability -Online | Where-Object Name -like "*GroupPolicy*" |
Select-Object Name, State
# 5) Rétablir WSUS après installation
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" `
-Name "UseWUServer" -Value 1 -Force
gpupdate /forceAttention : dans un environnement fortement verrouillé, des GPO de conformité peuvent rebasculer la valeur pendant l’opération. Agissez rapidement après Restart-Service et lancez tout de suite l’installation RSAT.
Réinitialiser Windows Update (facultatif mais utile)
En cas d’échecs répétés, nettoyez les caches WU/BITS :
net stop bits
net stop wuauserv
net stop cryptsvc
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old
ren %systemroot%\System32\catroot2 catroot2.old
net start cryptsvc
net start wuauserv
net start bitsOu générez WindowsUpdate.log pour inspection :
Get-WindowsUpdateLogAlternatives hors‑ligne si l’accès Internet est impossible
ISO “Features on Demand” (FOD)
Téléchargez l’ISO FOD correspondant exactement à votre version (Windows 10 22H2). Montez l’ISO (ex. D:\) puis :
DISM /Online /Add-Capability `
/CapabilityName:Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0 `
/Source:D:\FOD `
/LimitAccessNotes :
/LimitAccessimpose l’utilisation de la source fournie et évite tout contact réseau.- Vérifiez la concordance de build et de langue si vous utilisez des packs linguistiques.
Paquet CAB autonome
Lorsque le package .cab RSAT–GPMC est disponible, installez‑le avec DISM :
dism /online /add-package /packagepath:"C:\Packages\rsat-gpm.cab"
# Vérifier
Get-WindowsCapability -Online | Where-Object Name -like "*GroupPolicy*"En cas de mismatch de version, DISM refusera l’installation ; privilégiez l’ISO FOD adapté à 22H2.
Points d’attention en environnement WSUS / pare‑feu / proxy
- Flux sortants temporaires à ouvrir pour le mode direct :
https://*.windowsupdate.com,https://delivery.mp.microsoft.com. - Les stratégies de type “Ne pas se connecter aux emplacements Windows Update sur Internet” et “Supprimer l’accès à toutes les fonctionnalités de Windows Update” doivent être désactivées pendant l’opération, sinon 0x8024002e persiste.
- La modification « télécharger le contenu de réparation directement depuis WU » ne concerne que les FOD : vos mises à jour de sécurité continueront de remonter sur WSUS une fois l’installation terminée et WSUS rétabli.
- Postes à bande passante limitée : privilégier la méthode hors‑ligne via ISO FOD.
Validation après installation
- Vérifier l’état du composant :
Get-WindowsCapability -Online | Where-Object Name -like "*GroupPolicy*" | Select-Object Name, StateÉtat attendu : Installed. - Ouvrir la console :
gpmc.msc(ou Outils d’administration → Gestion des stratégies de groupe). - Rétablir WSUS et forcer la stratégie :
UseWUServer=1puisgpupdate /force. Contrôler :reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer
Scripts prêts à l’emploi
Script “tout‑en‑un” (bypass WSUS → installer RSAT → retour WSUS)
# Exécuter en PowerShell en tant qu'Administrateur
$cap = "Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0"
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU"
$original = $null
try {
if (Test-Path $regPath) {
$original = (Get-ItemProperty -Path $regPath -Name UseWUServer -ErrorAction SilentlyContinue).UseWUServer
}
New-Item -Path $regPath -Force | Out-Null
Set-ItemProperty -Path $regPath -Name UseWUServer -Value 0 -Force
Restart-Service wuauserv -Force
Write-Host "Installation de $cap ..."
Add-WindowsCapability -Online -Name $cap -ErrorAction Stop | Out-Null
Write-Host "Vérification ..."
$state = (Get-WindowsCapability -Online | Where-Object Name -eq $cap).State
if ($state -ne "Installed") { throw "Le composant n'est pas installé (état: $state)" }
Write-Host "OK. Rétablissement WSUS ..."
}
catch {
Write-Warning $_
}
finally {
if ($null -ne $original) {
Set-ItemProperty -Path $regPath -Name UseWUServer -Value $original -Force
} else {
Remove-ItemProperty -Path $regPath -Name UseWUServer -ErrorAction SilentlyContinue
}
gpupdate /force | Out-Null
Write-Host "Terminé."
}Désinstallation (le cas échéant)
Remove-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0Dépannage avancé (logs, vérifications, pièges)
| Symptôme / Message | Cause probable | Action corrective |
|---|---|---|
| 0x800f0954 | Agent WU cherche sur WSUS un package FOD inexistant | Bypass WSUS (UseWUServer=0, redémarrer wuauserv) ou utiliser ISO FOD |
| 0x8024002e (WU_E_WU_DISABLED) | Stratégies interdisant toute connexion à Windows Update | Désactiver temporairement « Ne pas se connecter aux emplacements WU sur Internet », vérifier proxy/firewall |
| Échec DISM / source non trouvée | Mauvaise source FOD (mismatch version/build/langue) | Monter l’ISO FOD correspondant à 22H2, utiliser /LimitAccess |
| L’installation réussit mais GPMC introuvable | Outil installé mais raccourci non mis en avant | Lancer gpmc.msc, ou vérifier Get-WindowsCapability |
La valeur UseWUServer rebascule | GPO de conformité qui réapplique WSUS | Installer juste après le redémarrage de wuauserv, ou utiliser ISO hors‑ligne |
Collecte et lecture des journaux
- WindowsUpdate.log :
Get-WindowsUpdateLoggénère un fichier sur le Bureau. - CBS.log :
C:\Windows\Logs\CBS\CBS.log– utile pour les erreurs DISM. - DISM.log :
C:\Windows\Logs\DISM\dism.log– détail de l’ajout de capability.
Contrôles de stratégies clés
# Valeurs WSUS
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v WUServer
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v WUStatusServer
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer
# Empêche la connexion à Internet Windows Update ?
# (Désactiver/Non configuré pendant l'opération)
# GPO: Composants Windows › Windows Update › Ne pas se connecter aux emplacements Windows Update sur InternetBonnes pratiques et sécurité
- Principe du moindre changement : ne modifiez que les paramètres nécessaires et rétablissez WSUS immédiatement après.
- Journaliser vos actions (valeurs avant/après) pour passer les audits de changement.
- Automatiser avec un script idempotent (cf. script “tout‑en‑un”).
- Tester d’abord sur un ou deux postes pilotes représentatifs (même build, même proxy/GPO).
FAQ
RSAT nécessite‑t‑il un téléchargement externe ?
Oui, sauf si vous fournissez une source hors‑ligne (ISO FOD/CAB). RSAT est intégré au système depuis 1809, mais son payload doit être matérialisé à partir d’une source (Windows Update ou ISO).
Peut‑on laisser la stratégie « télécharger directement depuis Windows Update » activée en permanence ?
Techniquement oui, mais en entreprise il est préférable de la limiter au strict nécessaire pour ne pas ouvrir davantage de flux que requis. Une fois RSAT installé, remettez le poste dans son mode WSUS normal.
Que faire si la machine est derrière un proxy authentifiant ?
Renseignez le proxy système (netsh winhttp set proxy) ou configurez le proxy dans les paramètres WinINET si la sortie passe par Windows Update standard. À défaut, utilisez l’ISO FOD.
RSAT – GPMC est‑il lié à la langue du système ?
Les outils RSAT sont en général language‑neutral. Toutefois, certains composants FOD dépendent de la langue. Assurez‑vous que l’ISO FOD utilisée correspond à l’édition et à la build de votre OS (22H2).
Comment vérifier rapidement si RSAT – GPMC est présent ?
Get-WindowsCapability -Online | Where-Object Name -like "*GroupPolicy*" |
Select-Object Name, StateFaut‑il redémarrer après l’installation ?
Pas nécessaire dans la plupart des cas. Si la console gpmc.msc ne s’ouvre pas immédiatement, fermez la session et reconnectez‑vous.
Checklist finale (poste piloté par WSUS)
- Débloquer les FOD : stratégie dédiée ou
UseWUServer=0+Restart-Service wuauserv. - Installer :
Add‑WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0. - Contrôler :
Get-WindowsCapabilityaffiche Installed. - Rétablir WSUS :
UseWUServer=1(ou supprimer la clé) +gpupdate /force. - Vérifier la console
gpmc.msc.
Conclusion
Les erreurs 0x800f0954 et 0x8024002e lors de l’installation de RSAT – Group Policy Management sur Windows 10 22H2 proviennent presque toujours d’une incompatibilité entre Features on Demand et une configuration WSUS stricte. La solution efficace consiste à autoriser — temporairement et de manière contrôlée — le téléchargement direct des FOD depuis Windows Update, ou à utiliser une source hors‑ligne adaptée. En suivant la procédure ci‑dessus, vous restaurez l’installation des outils RSAT tout en préservant votre gouvernance de patching.