Configuration de WinRM via la stratégie de groupe sur les machines Windows

Windows Remote Management, communément appelé WinRM, est un protocole développé par Microsoft qui facilite la gestion à distance des ordinateurs. Il utilise le protocole WS-Management, conçu spécifiquement pour la gestion à distance des postes de travail et des serveurs Windows. Cet article vous explique comment configurer efficacement WinRM via des objets de stratégie de groupe (GPO) sur des machines Windows.

Comment configurer WinRM via GPO sur les machines Windows

Pour configurer WinRM à l’aide de GPO, veuillez suivre les étapes décrites ci-dessous :

1. Modifiez votre connexion réseau en Privé ou Domaine
2. Vérifiez si WinRM est activé sur votre appareil
3. Utilisez la console de gestion des stratégies de groupe pour configurer WinRM
4. Forcer une actualisation des paramètres GPO sous Windows

Examinons chaque étape en détail.

1] Modifiez votre connexion en Privée ou en Domaine

Pour activer WinRM, vous devez être connecté à un réseau privé ou à un réseau de domaine. Si vous êtes actuellement sur un réseau public, suivez ces étapes pour passer au type de réseau approprié :

1. Ouvrez les paramètres Windows en utilisant Win + I.
2. Accédez à Réseau et Internet.
3. Sélectionnez Wi-Fi et cliquez sur votre connexion WiFi.
4. Choisissez Réseau privé.

Si vous utilisez Ethernet, veillez à lui appliquer les mêmes modifications. Une fois cette opération terminée, passez à l’étape suivante.

2] Vérifiez si WinRM est activé sur votre appareil

L’étape suivante consiste à déterminer si WinRM est déjà activé sur votre système. En règle générale, cette fonctionnalité est préinstallée sur les systèmes Windows Server, mais ce n’est peut-être pas le cas pour les systèmes clients Windows. Pour vérifier cela, ouvrez PowerShell avec des privilèges d’administrateur et saisissez la commande suivante :

WinRM enumerate winrm/config/listener

Si vous recevez un message d’erreur comme celui ci-dessous, cela signifie que WinRM n’est pas activé :

WSManFaultMessage = Le client ne peut pas se connecter à la destination spécifiée dans la demande. Vérifiez que le service sur la destination est en cours d’exécution et accepte les demandes. Consultez les journaux et la documentation du service WS-Management exécuté sur la destination, le plus souvent IIS ou WinRM. Si la destination est le service WinRM, exécutez la commande suivante sur la destination pour analyser et configurer le service WinRM : « winrm quickconfig » .

Numéro d’erreur : -2144108526 0x80338012

Pour l’activer, exécutez la commande winrm quickconfig. Notez cependant que cela active uniquement la fonctionnalité sur la machine locale, tandis que la configuration via GPO l’applique à tous les utilisateurs du domaine.

3] Configurer WinRM à l’aide de la console de gestion des stratégies de groupe

La console de gestion des stratégies de groupe (GPMC) est votre interface de référence pour gérer les paramètres de stratégie de groupe dans différents domaines et forêts. Les modifications apportées ici auront un impact sur tous les utilisateurs connectés à votre Active Directory. Voici comment configurer le paramètre WinRM :

1. Ouvrez le GPMC en le recherchant dans le menu Démarrer.
2. Sélectionnez votre conteneur Active Directory (unité organisationnelle) et créez un nouvel objet GPO nommé corpEnableWinRM.
3. Ouvrez le nouveau GPO pour le modifier et accédez à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Services système.
4. Recherchez le service à distance Windows (WS-Management) et définissez son mode de démarrage sur Automatique.
5. Accédez à Stratégies informatiques > Préférences.
6. Sélectionnez Paramètres du Panneau de configuration, puis Services.
7. Pour créer un nouveau service, choisissez Nouveau > Service, entrez WinRM comme nom de service et cliquez sur Redémarrer le service dans l’onglet Récupération.
8. Accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Gestion à distance Windows (WinRM) > Service WinRM.
9. Recherchez Autoriser la gestion du serveur à distance via WinRM , double-cliquez dessus pour le modifier.
10. Réglez-le sur Activé et spécifiez les adresses IP ou les sous-réseaux dans la zone de filtre IPv4/IPv6. Pour autoriser toutes les adresses IP, laissez-le sur *.
11. Créez une règle de pare-feu Windows Defender pour les connexions WinRM sur les ports par défaut TCP/5985 et TCP/5986 en accédant à Ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows avec sécurité avancée > Règles entrantes.
12. Sélectionnez les règles prédéfinies pour la gestion à distance de Windows et créez la règle.
13. Enfin, accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Windows Remote Shell, recherchez Autoriser l’accès au shell distant et activez-le.

Vous avez maintenant configuré avec succès une règle GPO pour WinRM.

4] Forcer Windows à actualiser les paramètres GPO

Pour appliquer les nouveaux paramètres GPO sur les appareils clients, exécutez GPUdate.exe. Ouvrez l’invite de commande avec les droits d’administrateur et saisissez la commande suivante :

gpupdate /force

Cette commande force le système à traiter toutes les politiques configurées dans le contrôleur de domaine et à les appliquer.

Si vous souhaitez confirmer que WinRM a été activé, exécutez WinRM enumerate winrm/config/listener. Cela fournira les détails de configuration de l’écouteur.

Et c’est tout !

Comment activer WinRM via GPO ?

Pour activer WinRM via des objets de stratégie de groupe, la stratégie critique à configurer est « Autoriser la gestion du serveur à distance via WinRM ». Assurez-vous de suivre les étapes préalables nécessaires pour appliquer avec succès cette configuration à vos systèmes clients.

Comment activer WinRM depuis la ligne de commande ?

Pour activer WinRM à l’aide de la ligne de commande, ouvrez PowerShell ou l’invite de commande avec des privilèges élevés et exécutez winrm quickconfigou Enable-PSRemoting –Force. Pour vérifier l’état actuel de WinRM, exécutez WinRM enumerate winrm/config/listener.

Source