¶ 💻 Activité 4 – Migration de Windows 10 vers Windows 11 via GPO
¶ 🔧 Partie 1 : Contexte et préparation
¶ 🎯 Introduction
Dans le cadre de la modernisation du parc informatique de l’entreprise, il m’a été demandé de mettre en place une solution de migration progressive et centralisée des postes sous Windows 10 vers Windows 11.
Cette migration s’appuie sur une stratégie de groupe (GPO) déployée via l’Active Directory, couplée au serveur WSUS (Windows Server Update Services) qui permet de contrôler et d’approuver la mise à niveau directement depuis la console de gestion des mises à jour.
Cette activité vise à automatiser la migration des postes via GPO et WSUS, sans intervention manuelle sur chaque poste.
¶ ✅ Objectifs
-
🖥️ Automatiser la migration des postes Windows 10 vers Windows 11
-
📦 Déployer la mise à niveau via le serveur WSUS
-
🔍 Assurer la compatibilité matérielle avant déploiement
-
👤 Préserver les données et la configuration des utilisateurs
-
🏗️ Centraliser et superviser la mise à jour via Active Directory
-
🔗 Lier les machines du domaine au serveur WSUS par GPO
¶ 🖥️ Environnement technique
Prérequis : - Disposer d’un Active Directory fonctionnel - Les postes doivent être sous Windows 10 version 21H2 ou supérieure - Vérifier que les machines sont compatibles Windows 11 (TPM 2.0, Secure Boot, CPU compatible, 4 Go RAM minimum) - Avoir les droits administratifs sur le contrôleur de domaine et la console WSUS
¶ 🎛️ Partie 2 : Configuration du serveur WSUS
¶ 🔹 1. Modification de la méthode d’affectation des ordinateurs
Objectif : Configurer WSUS pour que l’affectation des machines dans les groupes soit gérée automatiquement via les GPO, plutôt que manuellement.
Menu utilisé : Console WSUS → Options → Ordinateurs
Actions réalisées :
J’ai coché l’option « Utiliser les paramètres de stratégie de groupe ou de Registre sur les ordinateurs », puis j’ai validé.
✅ Avec ce mode, chaque machine sera automatiquement placée dans le groupe WSUS défini dans sa GPO, sans intervention manuelle de l’administrateur.
¶ 🔹 2. Création des groupes d’ordinateurs dans WSUS
Objectif : Organiser les machines en groupes distincts pour différencier postes de travail, serveurs et machines de test.
Actions réalisées :
Dans la console WSUS, j’ai effectué un clic droit sur « Tous les ordinateurs » puis « Ajouter un groupe d’ordinateurs » pour créer les trois groupes suivants :
| Groupe | Machines ciblées | Rôle | |---|---|---| | Tests | Poste(s) de test | Valider la mise à niveau avant déploiement général | | PC | Postes de travail | Déploiement en production | | Serveurs | Serveurs du domaine | Déploiement des mises à jour serveurs |
Le groupe « Tests » est essentiel : il permet de valider le bon déroulement de la mise à niveau Windows 11 sur un poste isolé avant de l’approuver pour l’ensemble du parc.
¶ 🔹 3. Approbation de la mise à niveau Windows 11 dans WSUS
Objectif : Autoriser le déploiement de la mise à niveau Windows 11 depuis le serveur WSUS, d’abord sur le groupe de test, puis sur le groupe de production une fois la validation effectuée.
Actions réalisées – Étape 1 : Approbation sur le groupe Tests
-
Dans la console WSUS, j’ai navigué vers Mises à jour → Toutes les mises à jour
-
J’ai localisé la mise à niveau Windows 11 dans la liste
-
Clic droit sur la mise à jour → « Approuver »
-
J’ai sélectionné le groupe « Tests » et défini l’approbation sur « Installer »
-
Validation
J’ai ensuite attendu que le poste de test récupère et installe la mise à niveau, et vérifié que la migration s’est bien déroulée.
Actions réalisées – Étape 2 : Approbation sur le groupe PC (après validation)
Une fois la migration validée sur le groupe Tests, j’ai approuvé la même mise à niveau pour le groupe « PC » en suivant la même procédure.
La mise à niveau Windows 11 doit au préalable avoir été synchronisée et téléchargée par le serveur WSUS. Il faut vérifier que le produit « Windows 11 » et la classification « Upgrades » sont bien cochés dans les options de synchronisation.
¶ 🔗 Partie 3 : Liaison des machines au serveur WSUS par GPO
¶ 🔹 1. Création de la GPO WSUS – Paramètres communs
Objectif : Rediriger toutes les machines du domaine vers le serveur WSUS interne pour la gestion de leurs mises à jour.
GPO créée : WSUS – Paramètres communs liée à la racine du domaine
Chemin dans la GPO :
Configuration ordinateur → Stratégies → Modèles d'administration → Composants Windows → Windows Update → Spécifier l'emplacement intranet du service de mise à jour MicrosoftParamètres configurés :
| Paramètre | Configuration |
|---|---|
| Spécifier l’emplacement intranet du service de mise à jour Microsoft | http://SRV-WSUS:8530 (détection et statistiques) |
| Configuration du service Mises à jour automatiques | Option 4 – Téléchargement automatique et planification des installations à 12h00 |
| Ne pas se connecter à des emplacements Internet Windows Update | Activé |
⚙️ Le port 8530 est le port par défaut de WSUS en HTTP. Pour des raison de sécurité je ne mets pas le port de notre serveur.
¶ 🔹 2. Création de la GPO WSUS – Tests
Objectif : Affecter le poste de test au groupe « Tests » dans WSUS afin de valider la mise à niveau Windows 11 avant tout déploiement sur le parc de production.
GPO créée : WSUS – Tests liée à l'OU contenant le ou les postes de test
Paramètres configurés :
| Paramètre | Configuration |
|---|---|
| Autoriser le ciblage côté client | Activé – Nom du groupe : Tests |
| Désactiver le redémarrage automatique pendant les heures d’activité | Activé – Plage horaire : 07h00 à 19h00 |
L’OU de test doit contenir uniquement les machines dédiées à la validation. Une fois la migration confirmée comme stable, la mise à jour est ensuite approuvée pour le groupe PC.
¶ 🔹 3. Création de la GPO WSUS – Postes de travail
Objectif : Affecter automatiquement les postes de travail au groupe « PC » dans WSUS et définir les heures d’activité pour éviter les redémarrages intempestifs.
GPO créée : WSUS – PC liée à l'OU contenant les postes de travail
Paramètres configurés :
| Paramètre | Configuration |
|---|---|
| Autoriser le ciblage côté client | Activé – Nom du groupe : PC |
| Désactiver le redémarrage automatique pendant les heures d’activité | Activé – Plage horaire : 07h00 à 19h00 |
¶ ✅ Partie 4 : Tests et vérification
¶ 🔹 1. Application des GPO sur un poste client
Objectif : Forcer l’application des nouvelles stratégies de groupe sur un poste de test.
Actions réalisées :
Sur le poste PC-01, j’ai exécuté la commande suivante puis redémarré la machine :
gpupdate /force¶ 🔹 2. Vérification de la remontée dans WSUS
Objectif : Confirmer que le poste apparaît bien dans le groupe WSUS correspondant.
Actions réalisées :
-
Ouverture de la console WSUS
-
Navigation dans le groupe « PC »
-
Basculement du filtre d’état sur « Toutes »
-
Clic sur « Actualiser »
Le poste PC-01 est bien apparu dans le groupe PC, confirmant que la GPO a bien été appliquée et que la machine communique avec le serveur WSUS.
¶ 🔹 3. Vérification de l’application de la GPO Windows Update
Objectif : S’assurer que Windows Update pointe bien vers le serveur WSUS interne.
Sur Windows 11, j’ai navigué dans :
Paramètres → Windows Update → Options avancées → Stratégies de mises à jour configuréesLes stratégies issues de la GPO WSUS y sont bien listées, confirmant leur application correcte.
>La commande gpresult /r en invite de commandes permet également de lister toutes les GPO appliquées à la machine.
¶ 🧾 Partie 5 : Conclusion
Cette activité m’a permis de mettre en place une solution complète de migration de système d’exploitation et de gestion centralisée des mises à jour, entièrement pilotée depuis l’Active Directory et le serveur WSUS.
Compétences développées :
-
Configuration d’un serveur WSUS et gestion des groupes d’ordinateurs (Tests, PC, Serveurs)
-
Approbation progressive d’une mise à niveau OS via WSUS (groupe Tests puis groupe PC)
-
Création et liaison de GPO pour la gestion de Windows Update
-
Vérification de la conformité des stratégies appliquées via
gpresultet la console WSUS -
Organisation logique des machines par groupes dans un environnement Active Directory
>Cette infrastructure permet à l’entreprise de maîtriser entièrement le déploiement des mises à jour et des montées de version OS, en garantissant une continuité de service et une traçabilité complète via la console WSUS.