Réparer l’erreur “Your organization manages updates on this PC” dans PC Health Check (WSUS, Windows Update)

PC Health Check peut afficher à tort l’alerte “Your organization manages updates on this PC” (FR : « Votre organisation gère les mises à jour sur ce PC »). Voici une procédure éprouvée pour supprimer les traces WSUS restantes et rétablir Windows Update.

Sommaire

Vue d’ensemble du problème

PC Health Check s’appuie sur des indicateurs de gestion (stratégies locales, GPO, MDM, valeurs de Registre) pour déterminer si les mises à jour Windows proviennent d’un serveur WSUS ou du service public Windows Update. Après une sortie de domaine, une réinstallation incomplète ou l’utilisation d’une image de référence, il reste parfois des clés de stratégie ou des caches de stratégie en local. Ces reliquats suffisent à faire croire à l’outil que l’appareil est encore piloté par une organisation, alors qu’il ne l’est plus.

Symptômes typiques

PC Health Check affiche l’alerte “Your organization manages updates on this PC” alors que le PC n’est plus joint au domaine.
Dans Paramètres → Windows Update, certains réglages sont grisés avec la mention « Votre organisation gère certains paramètres ».
La page Options avancées → Optimisation de la distribution peut afficher un message similaire.
La clé de Registre HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate contient encore des valeurs telles que WUServer ou UseWUServer.

Pourquoi cette alerte apparaît-elle à tort ?

Deux mécanismes expliquent la persistance de l’alerte :

Stratégies WSUS actives : les valeurs WUServer / WUStatusServer (URL du WSUS) et UseWUServer (activation WSUS) sous HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate et ...\WindowsUpdate\AU indiquent à Windows de contacter un serveur interne.
Caches de stratégie : les clés sous HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache\CacheSet001 et CacheSet002 mémorisent l’état des stratégies appliquées. Même supprimées côté « Policies », certaines traces en cache continuent d’exposer l’appareil comme « géré ».

La solution consiste donc à supprimer proprement ces entrées, puis à relancer l’évaluation.

Avant de commencer : prérequis et sauvegarde

Ouvrez l’Invite de commandes ou PowerShell en tant qu’administrateur.
Sauvegardez les clés concernées (recommandé). Par exemple :

reg export "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" "%USERPROFILE%\Desktop\WindowsUpdate-Policies.reg"
reg export "HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache" "%USERPROFILE%\Desktop\WindowsUpdate-GPCache.reg"

Si la protection système est activée, vous pouvez aussi créer un point de restauration :

powershell -Command "Checkpoint-Computer -Description 'Avant-nettoyage-WSUS' -RestorePointType 'MODIFY_SETTINGS'"

Solution pas‑à‑pas

Exécutez les commandes suivantes dans une Invite de commandes (admin) sur le poste concerné :

Étape	Action (invite de commandes admin)	Effet recherché
1	`reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /f`	Supprime la stratégie WSUS active.
2	`reg delete HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache\CacheSet001\WindowsUpdate /f`	Efface le 1^er cache des stratégies.
3	`reg delete HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache\CacheSet002\WindowsUpdate /f`	Efface le 2^e cache des stratégies.
4	Relancer PCHealthCheck.exe et refaire l’analyse	L’avertissement doit disparaître.

Astuce : si vous souhaitez vérifier avant suppression, interrogez les valeurs existantes :

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v WUServer
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v WUStatusServer
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer

Équivalent PowerShell

Vous préférez PowerShell ? Lancez-le en administrateur et exécutez :

Remove-Item -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate' -Recurse -Force
Remove-Item -Path 'HKLM:\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache\CacheSet001\WindowsUpdate' -Recurse -Force
Remove-Item -Path 'HKLM:\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache\CacheSet002\WindowsUpdate' -Recurse -Force

Contrôles post‑opération

Forcer la mise à jour des stratégies : gpupdate /force
Redémarrer le PC (recommandé), puis relancer PC Health Check.
Paramètres Windows : ouvrez Paramètres → Windows Update → Options avancées → Optimisation de la distribution. Si un message « Votre organisation gère certains paramètres » subsiste, redémarrez puis réessayez gpupdate /force.
Vérifier que l’URL WSUS n’est plus définie : reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU Les valeurs WUServer, WUStatusServer et UseWUServer ne doivent plus exister.

Comprendre la cause (détaillée)

Dans un environnement d’entreprise, Windows applique des stratégies indiquant au client de contacter un serveur WSUS interne pour rechercher et approuver les mises à jour. Les indicateurs principaux sont :

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer et WUStatusServer (chaînes, URL du WSUS)
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer (DWORD : 1 = utiliser WSUS)
HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache\CacheSet00x\WindowsUpdate (caches locaux de l’état des GPO)

Une fois ces entrées supprimées, l’appareil revient au service Windows Update public et cesse d’être signalé comme « géré » par PC Health Check.

Cas où l’alerte est légitime

Si votre PC est vraiment géré (joint à un domaine, inscrit à Intune/MDM ou connecté à un compte Azure AD avec stratégies), l’alerte est correcte. Indices à vérifier :

Appareil joint à un domaine : sysdm.cpl → Nom de l’ordinateur ou whoami /fqdn.
État d’inscription Azure AD/MDM : dsregcmd /status Dans la section Device State, la présence de AzureAdJoined : YES et/ou MDMURL est un signe de gestion.
GPO encore appliquées : gpresult /h "%USERPROFILE%\Desktop\gpresult.html" && start "" "%USERPROFILE%\Desktop\gpresult.html"

Dans ces scénarios, ne supprimez pas les clés : rapprochez‑vous de votre service IT.

Scénarios et solutions complémentaires

Les clés réapparaissent après redémarrage

Une stratégie (locale ou MDM) les réapplique. Vérifiez les Stratégies locales (gpedit.msc si disponible) : Configuration ordinateur → Modèles d’administration → Composants Windows → Windows Update. Positionnez les entrées liées à WSUS sur Non configuré.

PC Health Check affiche encore l’alerte

Videz aussi la clé HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU (si elle existe) : reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /f
Assurez‑vous qu’aucun outil tiers (optimiseur de mise à jour, solution de sécurité) ne verrouille Windows Update.
Créez un compte local test, redémarrez, puis relancez l’outil pour écarter un profil utilisateur corrompu.

Optionnel : réinitialiser les composants Windows Update

Si Windows Update a été fortement modifié, une remise à zéro « douce » peut aider. Exécutez en Invite (admin) :

net stop wuauserv
net stop bits
net stop cryptsvc
net stop trustedinstaller
ren "%SystemRoot%\SoftwareDistribution" "SoftwareDistribution.old"
ren "%SystemRoot%\System32\catroot2" "catroot2.old"
net start trustedinstaller
net start cryptsvc
net start bits
net start wuauserv

Puis recherchez des mises à jour dans Paramètres. Cette opération ne supprime pas vos correctifs déjà installés ; elle oblige Windows à reconstruire ses caches.

Bonnes pratiques et sécurité

Interventions minimales : limitez‑vous aux clés listées. Évitez toute suppression hors périmètre.
Journaliser : notez ce que vous modifiez (captures, exports .reg). En cas de besoin, une restauration est immédiate par double‑clic sur le .reg exporté.
Redémarrage : certaines pages Paramètres et services ne reflètent les changements qu’après redémarrage.
Version de Windows : la méthode fonctionne sur Windows 10 et Windows 11, où PC Health Check est couramment utilisé pour l’éligibilité à Windows 11.

FAQ

Q : L’alerte impacte‑t‑elle l’éligibilité à Windows 11 ?
R : Non, elle n’affecte pas l’évaluation matérielle (CPU, TPM, RAM…). Elle signale uniquement que les mises à jour semblent gérées. Corriger les clés suffit pour éliminer le faux positif.

Q : Puis‑je simplement désinstaller PC Health Check ?
R : Vous pouvez, mais cela ne corrige pas la cause. La suppression des traces WSUS est préférable pour rétablir un état sain de Windows Update.

Q : Je suis sur une édition Home sans gpedit.msc. Est‑ce un problème ?
R : Non. Les commandes reg et PowerShell ci‑dessus suffisent.

Q : Comment savoir si je pointe bien vers Windows Update public ?
R : L’absence des valeurs WUServer/WUStatusServer et UseWUServer dans ...\Policies\...\WindowsUpdate et ...\AU indique que le client utilisera le service Microsoft public.

Résumé opérationnel

Sauvegardez les clés WSUS (reg export).
Supprimez la clé politique WSUS et les caches GPCache (commandes ci‑dessus).
Exécutez gpupdate /force et redémarrez.
Vérifiez l’absence de WUServer, WUStatusServer et UseWUServer.
Relancez PCHealthCheck.exe : l’alerte doit avoir disparu.
Si l’alerte persiste, confirmez l’absence de gestion par domaine/MDM (dsregcmd /status, gpresult) et, si nécessaire, réinitialisez Windows Update (optionnel).

Annexe : scripts prêts à l’emploi

Nettoyage WSUS (Invite de commandes)

@echo off
echo [Sauvegarde facultative]
reg export "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" "%USERPROFILE%\Desktop\WindowsUpdate-Policies.reg"
reg export "HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache" "%USERPROFILE%\Desktop\WindowsUpdate-GPCache.reg"

echo [Suppression des politiques WSUS]
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /f

echo [Nettoyage des caches de strategie]
reg delete HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache\CacheSet001\WindowsUpdate /f
reg delete HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache\CacheSet002\WindowsUpdate /f

echo [Forcer raffraichissement des GPO]
gpupdate /force

echo [Termine] Redemarrez le PC puis relancez PCHealthCheck.exe

Nettoyage WSUS (PowerShell)

Set-StrictMode -Version Latest
$ErrorActionPreference = 'Stop'

# Sauvegardes (facultatives)

reg export "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" "$env:USERPROFILE\Desktop\WindowsUpdate-Policies.reg" | Out-Null
reg export "HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache" "$env:USERPROFILE\Desktop\WindowsUpdate-GPCache.reg" | Out-Null

# Suppression des politiques et caches

Remove-Item -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate' -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path 'HKLM:\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache\CacheSet001\WindowsUpdate' -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path 'HKLM:\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\GPCache\CacheSet002\WindowsUpdate' -Recurse -Force -ErrorAction SilentlyContinue

# Rafraîchissement et rappel utilisateur

gpupdate /force | Out-Null
Write-Host "Redemarrez le PC puis relancez PCHealthCheck.exe."

Conclusion

Dans la majorité des cas, l’alerte “Your organization manages updates on this PC” dans PC Health Check provient de traces WSUS laissées dans le Registre ou ses caches. En supprimant ces clés, en purgeant les caches GPO et en redémarrant, vous restaurez un état non géré conforme à la réalité d’un poste personnel. Si l’appareil est réellement administré (domaine, Intune/MDM), respectez votre politique d’entreprise et consultez l’équipe IT.