Il peut être utile de pouvoir modifier un ISO d’install Windows (par exemple pour avoir une install de Win 11 avec compte local activé).
Je n’ai pas trouvé comment créer un iso bootable en partant d’une clé USB d’install.

Mais on peut utiliser Anyburn Free (ici en version 6.6) pour modifier l’ISO, tout en conservant les infos de boot déjà présentes.

Éditer un fichier image -> choisir l’iso officielle de Win 11
Sélectionner tout -> Supprimer
Ajouter -> sélectionner l’ensemble des dossiers de la clé usb d’install modifiée
Créer l’ISO

https://www.elevenforum.com/t/creating-an-iso-from-a-windows11-rufus-install-usb.42507/

Il y’a plusieurs réglages séparés qui contrôlent le comportement de Windows quant à l’inactivité de l’utilisateur.

Récap TL/DR

Par poste

Si on veut s’assurer du verrouillage d’un poste, quel que soit son utilisateur, le + sûr est d’activer la GPO

Config ordi -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
Ouverture de session interactive : limite d'inactivité de l'ordinateur

La valeur définie (en secondes) sera la valeur maximum avant verrouillage de l’écran ; et un mot de passe sera demandé en cas de :

• économiseur d’écran
• veille de l’écran
• veille complète de l’ordi

Par utilisateur

Si on veut appliquer le réglage uniquement à certains utilisateurs, alors il faut activer la GPO :

Config utilisateur -> Stratégies -> Modèles d'admin -> Panneau de config -> Personnalisation
 - Dépassement du délai d’expiration de l’écran de veille
 - Un mot de passe protège l’écran de veille

pour protéger l’économiseur d’écran.

Il faut aussi activer la GPO :

Config ordi -> Stratégies -> Modèles d'administration -> Système -> Gestion de l'alimentation -> Paramètres de la veille
 - Demander un mot de passe lorsqu’un ordinateur sort de la veille (sur batterie / sur secteur)

pour protéger la sortie de veille d’écran et de veille complète.

Intune

Devices -> Configuration -> New Policy -> Win 10 and later -> Settings Catalog
Administrative Templates -> Control Panel -> Personalization -> 
  Password protect the screen saver (User)
  Screen saver timeout (User)

pour l’économiseur d’écran. Appliquer la politique à des utilisateurs.

Gain de temps

Enfin on demande à arriver directement sur le champ de mot de passe avec le paramétrage suivant :

GPO

Config ordi -> Stratégies -> Modèles d'administration -> Panneau de configuration -> Personnalisation
 - Ne pas afficher l’écran de verrouillage

Intune

Devices -> Configuration -> New Policy -> Win 10 and later -> Settings Catalog
Administrative Templates -> Control Panel -> Personalization -> Do not display the lock screen

Extinction (veille) de l’écran / mise en veille

Permet de gérer les économies d’énergie, mais pas vraiment de sécuriser le poste, car les réglages/timing sont changeables par l’utilisateur final.

C’est lorsque l’écran passe complètement en mode veille/éco d’énergie (typiquement voyant orange).
Concerne la gestion de l’énergie, et s’applique à l’échelle du poste. Tous les utilisateurs partagent le même réglage.

Se gère dans le panneau de config, Options d’alimentation -> Modifier les paramètres du mode
ou app Paramètres -> Personnalisation -> Écran de verrouillage -> Paramètres du délai d’expiration de l’écran

Via GPO, on peut pré-définir un profil d’énergie qui contiendra d’autres paramètres, comme le délai d’extinction écran, par
Config ordi -> Préférences -> Paramètres du panneau de conf -> Options d'alimentation
Mais ceci reste modifiable par l’utilisateur final, on ne peut pas le forcer.

On peut par contre utiliser la GPO suivante pour contrôler le délai de mise en veille :

Config ordi -> Stratégies -> Modèles d'administration -> Système -> Gestion de l'alimentation -> Paramètres de la veille
 - Spécifier le délai de veille du système (sur secteur / sur batterie)

qui aura pour effet de régler le délai de veille dans les options d’alimentation.

La GPO “Spécifier le délai de veille si l’ordinateur n’est pas utilisé (sur secteur)” me semble n’avoir aucun effet sur Win 10.

Demande du mot de passe pour déverrouillage

La nécessité ou non d’entrer un mot de passe lors de la reprise d’activité se gère par l’utilisateur dans les paramètres -> Comptes -> Options de connexion -> Exiger une connexion.
Il y’a le choix entre Jamais et “Lorsque le PC sort du mode veille” ; malgré l’intitulé trompeur, cette 2e option concerne la vraie mise en veille (sleep S3/S0i) du poste, mais aussi la veille de l’écran.
Elle ne concerne PAS la sortie d’économiseur d’écran, qui a son propre réglage (voir paragraphe suivant).
ATTENTION, il semble que si l’extinction de l’écran survient après l’économiseur d’écran, alors le mot de passe n’est pas demandé !

Au même endroit que précédemment :

Config ordi -> Stratégies -> Modèles d'administration -> Système -> Gestion de l'alimentation -> Paramètres de la veille
 - Demander un mot de passe lorsqu’un ordinateur sort de la veille (sur batterie / sur secteur)

qui aura pour effet de griser le choix “Exiger une connexion”.

Économiseur d’écran / Écran de veille

Ce sont les animations qui s’affichent sur l’écran lors d’inactivité (bulles etc).
Ce comportement peut se paramétrer au niveau machine, ou bien au niveau utilisateur.

Niveau poste

Le verrouillage d’un poste peut être forcé, quel que soit l’utilisateur, via la stratégie locale (gpedit.msc) :

Config ordi -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
Ouverture de session interactive : limite d'inactivité de l'ordinateur

Par défaut, la valeur est vide. Il n’est pas possible de valider une valeur vide, mais on peut y mettre 0 pour annuler le paramétrage.

La saisie d’une valeur non-nulle sur cette stratégie va immédiatement obliger la saisie d’un mot de passe pour la sortie de veille, d’économiseur d’écran et d’extinction de l’écran ; non-désactivable par l’utilisateur final.
Le paramétrage “Exiger une connexion” dans l’app Paramètres va aussi être grisé.
La paramétrage “Demander un mot de passe” du réglage utilisateur de l’écran de veille ne sera pas coché ; mais actif quand même.

Il est toutefois nécessaire de redémarrer pour que le timer soit pris en compte.
Ce timer est le délai maximum avant verrouillage session ; un utilisateur peut choisir un délai + court si souhaité.
Le choix de l’économiseur d’écran est laissé libre à l’utilisateur ; si celui-ci choisit “Aucun”, alors il est amené immédiatement sur l’écran de verrouillage.

GPO

On peut forcer cette valeur par GPO :

Config ordi -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
Ouverture de session interactive : limite d'inactivité de l'ordinateur

L’application de cette GPO se répercute sur la valeur visible en local dans gpedit.msc.

ATTENTION, si la GPO est supprimée/désactivée, le paramétrage reste dans gpedit. Pour réinitialiser le comportement par défaut, il faut soit maintenir la GPO, mais avec une valeur de 0, soit passer manuellement la stratégie locale à 0 sur le poste.

Niveau utilisateur

On peut y accéder en cherchant “veille” dans le menu démarrer, on y trouve “Modifier l’écran de veille”.
On peut aussi entrer control desk.cpl,screensaver,@screensaver
Ou encore aller dans l’app Paramètres -> Personnalisation -> Écran de verrouillage -> Paramètres de l’écran de veille

ATTENTION, les paramètres visibles ici dépendent du paramétrage machine, s’il existe. En ce cas, si on définit une durée supérieure à la valeur machine, ce paramétrage ne sera pas pris en compte. On peut toutefois définir une valeur inférieure ou égale à la valeur machine.
Attention aussi, s’il y a paramétrage machine, que que l’on choisit “Aucun”, le timer défini en GUI, bien que grisé, est quand même appliqué ! Si on veut modifier le délai avant économiseur d’écran, il faut en choisir un (ou cocher la case de verrouillage), appliquer le timer souhaité, puis choisir “Aucun” (ou décocher) à nouveau.

On peut y choisir l’écran de veille en question, le délai d’activation, et le fait de protéger la reprise de session par un mot de passe.
Ces paramètres sont définis au niveau utilisateur, et se traduisent par les entrées de registre suivantes sous la clé HKCU\Control Panel\Desktop :

• ScreenSaveTimeOut : délai en secondes de l’économiseur d’écran
• ScreenSaverIsSecure (1 si le mot de passe est demandé à la reprise)
• SCRNSAVE.EXE : choix de l’éco d’écran (absent si écran de veille désactivé)

À noter que l’écran de veille “Vierge” affiche un écran noir, mais ne déclenche pas la veille du moniteur.

GPO

Il est également possible de forcer les paramètres utilisateurs.
Pour ceci :

Config utilisateur -> Stratégies -> Modèles d'admin -> Panneau de config -> Personnalisation
 - Dépassement du délai d’expiration de l’écran de veille
 - Un mot de passe protège l’écran de veille

Ceci permet de forcer le verrouillage de certaines sessions sensibles uniquement.

Éviter l’écran de verrouillage

Ce que MS appelle l’écran de verrouillage, c’est l’écran avec l’heure et une image, mais sans champ de mot de passe ; lorsqu’on fait un clic de souris ou frappe clavier, la demande de mot de passe apparaît.

On peut éviter cet écran et arriver directement sur la demande de mot de passe en activant la GPO suivante :

Config ordi -> Stratégies -> Modèles d'administration -> Panneau de configuration -> Personnalisation
 - Ne pas afficher l’écran de verrouillage

Langue système de Windows

Il m’est arrivé que je n’arrive pas à conserver les applications lors d’une mise-à-jour in-place upgrade de W11 23H2 vers 24H2.
Le message était “Vous ne pouvez pas conserver vos fichiers, applications et paramètres car vous avez choisi d’installer Windows 11 qui utilise une langue différente de celle que vous utilisez actuellement”.

L’OS était préinstallé par Dell. L’interface était bien en français, mais des traces de l’anglais étaient présentes.

Poste Reddit :
https://www.reddit.com/r/techsupport/comments/a69buf/need_help_with_changing_default_system_language/

On commence par vérifier l’état actuel des langues :
en admin :
dism /online /get-intl
On a notamment la ligne “Langue par défaut de l’interface utilisateur du système : en-US”
(en anglais c’est “Default system UI language”).

De même, si je lance la commande
lpksetup /u
la langue “Anglais (English)” n’est pas supprimable, car c’est la “langue système”.

Attention, à ne tenter que sur Windows Pro ou + ! La version Core/Famille ne gère pas plusieurs langues, ça pourrait casser !

regedit
HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language
Passer Default et InstallLanguage à la valeur souhaitée (pour fr-FR c’est 0x040c ; les valeurs sont dispo sur cette page )

On redémarre le poste, et on revérifie avec les mêmes commandes :
dism /online /get-intl me renvoie “fr-FR” en “Langue par défaut de l’interface utilisateur du système”
lpksetup /u propose de désinstaller l’anglais, mais pas le français

En relançant la mise à jour vers W11 24H2, il a alors été possible de faire la mise à jour en conservant tout.

Paramètres par défaut utilisateur

Paramètres -> Heure et langue -> Langue et région
Il y a plein de paramètres ici ; notamment
Administration des paramètres de la langue -> Copier les paramètres
qui permet de dupliquer nos paramètres personnels vers les futurs nouveaux comptes utilisateurs, et vers les paramètres de l’cran d’accueil.

Update 10 years anniversary de ce post

Il faut avoir l’iso de la version de Windows que l’on souhaite installer.

Principe

UEFI:NTFS, du créateur de Rufus, est un petit bootloader efi qui arrive à chainloader un exécutable efi sur une partition NTFS.
On va l’utiliser pour avoir une partition principale en NTFS, et pouvoir mettre les install.wim qui dépassent les 4Go.

En cas de boot en mode EFI, c’est UEFI:NTFS qui est lancé et qui lance aussitôt l’installeur Windows depuis la partition NTFS.
(certaines cartes-mères peuvent être capables de booter directement la partition NTFS, mais ce n’est pas toujours le cas)

En cas de boot en mode BIOS, le secteur de démarrage de l’installeur Windows aura été écrit sur le MBR de la clé USB ; il est capable de lancer directement l’installeur Windows depuis la partition NTFS. UEFI-NTFS n’intervient pas du tout.

Préparation de la clé

Il faut télécharger UEFI-NTFS sur le github du projet
Prendre “uefi-ntfs.img” et extraire le contenu pour plus tard.

Il faut une clé USB en table de partition MBR. Plus elle a de capacité, plus on pourra stocker de versions Windows dessus.

Faire une 1ère partition qui prend quasiment tout sauf 100 Mo (voire 10 Mo).
On la formate en NTFS et on lui met le drapeau boot (servira pour le boot en mode BIOS).
On y copie tout le contenu de l’iso Windows de la version de notre choix (attention, Win 7 nécessite des bidouilles pour faire fonctionner le boot efi).

Faire une 2e partition en FAT32, avec le drapeau “esp” (pas sûr que ce soit nécessaire).
Copier dessus le contenu de “uefi-ntfs.img”.

Enfin, brancher la clé sur un Windows 8.1 ou + récent, et mettre le secteur du boot sur le MBR de la clé (remplacer X: par la lettre de la partition NTFS) :
X:\boot\bootsect.exe /nt60 X: /mbr

Sélection du Windows à installer

Le mécanisme de démarrage (BIOS ou EFI) des installeurs Windows étant le même pour toutes les versions, il suffit de copier tous les fichiers de la version désirée à la racine de la partition NTFS.

Pour un switch rapide d’une version à l’autre, on peut copier tous les fichiers d’install dans un dossier indiquant les caractéristiques de la version, par exemple “10_22H2_64”.
Il y’a à juste à sortir ces fichiers vers la racine pour installer cette version (après avoir rangé la précédente version installée dans son propre dossier).

Chaque version de Windows pourrait avoir besoin de son ei.cfg (ou de son absence).

https://www.it-connect.fr/chapitres/les-cinq-roles-fsmo/

Les rôles FSMO sont des rôles spéciaux, chacun détenu par un seul DC au sein du domaine (le maître d’opération).

5 rôles

Primary DC
Maitre des noms de domaine
Contrôleur de schema
Gestionnaire RID
Maitre d’infrastructure

Connaître les maîtres d’opération

Pour avoir les 5 d’un coup :
netdom query fsmo

Pour les avoir 1 par 1 :
dsquery server -hasfsmo <role>
avec <role> pouvant valoir “pdc”, “name”, “schema”, “rid” ou “infr”.

Changer les maîtres d’opération

Sur le détenteur du rôle FSMO, lancer la commande ntdsutil
puis
role
connections
connect to server newservername puis touche q
transfer <role> master
avec pouvant valoir “rid”, “schema”, “infr”, “naming” ou “pdc”
(sauf pour pdc, ne pas mettre “master”)
et confirmer le transfert

Si le maître d’opération n’est plus disponible

Il faut alors “seize” le rôle.
Pour ceci, passer par ntdsutil.
https://support.microsoft.com/help/255504

FOR /L %N IN () DO @echo "commande" & timeout 5 & "C:\mysoft.exe"

Il arrive que l’ESP soit visible parmi les lecteurs dans l’explorer Windows.

Pour la cacher même après reboot, si diskpart ne fonctionne pas, essayer :
mountvol X: /d

Il peut arriver que lors d’un double-clic sur un fichier xls/xlsx, Excel s’ouvre mais sans ouvrir le fichier demandé.

Pour corriger ceci, aller dans Fichier -> Options -> Options avancées -> Géneral (vers le bas de la liste)
et décocher
Ignorer les autres applications qui utilisent l'échange dynamique de données

Source

Pour Outlook 2016 et + .

Identifier le nom du profil concerné (ici nom-du-profil ) et du compte mail concerné. Fermer Outlook.
Ouvrir regedit.
Atteindre HKCU\Software\Microsoft\Office\16.0\Outlook\Profiles\nom-du-profil
Rechercher la chaîne 001f6641
Examiner les résultats dans l’ordre ; faire un double-clic sur l’entrée (de type REG_BINARY) pour en voir le contenu, et chercher celle qui contient l’adresse mail à supprimer. Il y en au sûrement plusieurs, la 1e occurence devrait être ok.
Une fois la valeur trouvée, on peut supprimer (ou renommer) l’ensemble de la clé qui la contient.

On devrait alors pouvoir supprimer le compte en question.

Source

shell:::{A8A91A66-3A7D-4424-8D24-04E180695C7A}