Profil Itinérant et redirection de dossier

Introduction

La procédure suivante a été mise en place :
Sur un serveur : Windows 2008 R2
Niveau Fonctionnel du domaine et de la forêt : Windows serveur 2008 R2

I. Présentation des profils itinérants

En entreprise, ce n’est pas rare que les utilisateurs changent de bureaux, utilisent l’ordinateur du collègue, changent de service, etc.

Bref, les utilisateurs sont amenés à utiliser différents postes. De ce fait, la disposition d'un poste à l'autre ne sera pas la même (personnalisation de l’espace de travail) et les données ne seront pas les mêmes si l’utilisateur stocke du contenu sur sa machine (ce qui n’est pas recommandé, il vaut mieux centraliser les données sur un serveur).

Par défaut, lorsqu’un utilisateur ouvre une session sur une machine, son profil est stocké dans “C:/Users” ou “C:/Utilisateurs“, avec à chaque fois un sous-dossier par utilisateur.

Dans un environnement VDI il est conseillé de mettre en place des profils itinérants avec redirection de dossier, pour ainsi permettre à vos utilisateurs de retrouver les informations de profil quelque soit le poste utilisé.

Les profils itinérants sont stockés sur un serveur et fonctionnement comme suit:

– Ouverture de session : S’il s’agit de la première connexion de l’utilisateur sur le poste, les données de profil de l’utilisateur sont téléchargées sur le poste où il s’est connecté (Bureau, paramètres, documents, etc.)

– Fermeture de session : Les fichiers modifiés sont envoyés vers le serveur afin d’y être stockés et ainsi permettra à l'utilisateur de retrouver son environnement sur un autre poste.

Les profils itinérants améliorent la mobilité des utilisateurs et permettent la centralisation des données de profils utilisateurs.

La mise en place d'un annuaire Active Directory est nécessaire pour la configuration des profils itinérants.

II. Configurer les profils itinérants

Etape 1: Créer un répertoire que nous allons partager et qui servira à stocker les données des profils. Créer un répertoire nommé “ Profil_et_Redir ” à partager sous le nom “ Profil_et_Redir$” pour que ce partage soit caché.

Pour les "Autorisations" du partage, donner la permission pour le "contrôle total" à "Tout le monde" et "Administrateurs".
Dans la configuration du partage, cliquez sur “Autorisations”

Valider pour finaliser la création du dossier de partage.
Le dossier ainsi paramétré servira à stocker les données des profils

Etape 2 : Configurer l'annuaire Active Directory

S'assurer que les "Utilisateurs authentifiés" disposent de l'autorisation "contrôle totale", pour s'approprier des objets au sein de leurs dossiers de profil. Sur le répertoire précédemment créé
Propriétés > Sécurité > Utilisateurs authentifiés cocher "Contrôle total"

Indiquer le dossier de sauvegarde relatif à un utilisateur disposant d'un profil itinérant.

Users > "Nom d'utilisateur" > Propriétés > Profil > Chemin du profil

Doit être positionné à la valeur "<ipServeur><répertoirePartagé>%username%

ipserveur: ip du serveur ou se trouvent les dossiers partagés
repertoirePartagé: nom du répertoire partagé précédemment créé (ex: Profil_et_Redir$)
%username% sera le login de l'utilisateur ( remplacé automatiquement par le système)

📘

Note

Pour être plus efficace, vous pouvez sélectionner plusieurs utilisateurs et indiquer le chemin avec la variable %username%. Ainsi, le chemin s’adaptera à chaque utilisateur.

Depuis une VM, connectez-vous avec un compte pour lequel le profil itinérant est configuré. Sur le serveur, dans le répertoire partagé, vous verrez apparaître un dossier de profil pour cet utilisateur (user1.V2) :

Vos utilisateurs stockent désormais leur profil sur votre serveur directement au sein du partage créé précédemment, avec un répertoire par utilisateur.

❗️

Attention

Avec le compte administrateur vous n'avez pas les droits d'accès.

Il est préférable d’appliquer une GPO (Stratégie de groupe) Ordinateur sur le serveur de fichier et sur les ordinateurs qui utiliseront un profil itinérant.

La GPO Suivante :

Configuration Ordinateur > Stratégies > Modèle d’administration > Système > Profil des utilisateurs

Activer le paramètre de stratégie "Ajouter le groupe de sécurité administrateurs aux profils itinérants utilisateurs".
On peut voir le contenu d'un profil utilisateur après être devenu propriétaire du dossier.

❗️

Attention

Veillez à donner le "contrôle total" du dossier à l'utilisateur après en avoir changé le propriétaire.

Nous allons maintenant parler GPO (Stratégie de groupe) et voir les quelques paramètres qui concernent les profils.

III. Profils itinérants et GPO

Ouvrir l’éditeur de stratégie de groupe sur votre contrôleur de domaine (gpedit.msc). Ensuite, éditez la GPO concernée et parcourez-la ainsi :
Configuration utilisateur > Modèles d’administration > Système > Profils utilisateur

Quatre paramètres sont alors disponibles :

• Connecter le répertoire de base à la racine du partage

Permet de restaurer les définitions des variables d’environnement %HOMESHARE% et %HOMEPATH% sur celles utilisées dans Windows NT 4.0. Si vous ne configurez pas ce paramètre ou que vous le désactivez, le système utilisera les définitions introduites depuis Windows 2000.

• Spécifier les répertoires réseau à synchroniser seulement au moment de l’ouverture/fermeture de session

Répertoire à synchroniser dans le cadre d’une stratégie de fichiers hors connexion

• Exclure des répertoires dans les profils itinérants

Permet d’exclure des répertoires des profils itinérants, c’est-à-dire des dossiers qui ne seront pas stockés sur le serveur. Cela peut permettre de ne pas synchroniser des dossiers volumineux que les utilisateurs pourraient avoir sur leurs machines, et qui ne contiennent pas de données importantes.

Par défaut, les dossiers Appdata\Local et Appdata\LocalLow, sont exclus.

• Limiter la taille du profil

Ce paramètre permet de déterminer une taille maximale pour le profil d’un utilisateur et, comment le système doit se comporter lorsque cette limite est atteinte.

Vous pouvez indiquer une taille en Ko, indiquer si les fichiers du Registre sont comptabilisés dans la taille, mais aussi, indiquer si vous souhaitez ou non avertir l’utilisateur lorsque la taille est dépassée.

Ce paramètre s’applique aussi bien pour un profil local que pour un profil itinérant.

Vous avez les clés en main pour gérer les profils itinérants pour vos utilisateurs !

IV. Redirection de dossiers

La redirection de dossiers peut être utilisée en plus des profils itinérants.

Elle permet de rediriger (stocker) sur le serveur uniquement certains dossiers du profil d’un utilisateur, comme par exemple, le Bureau et les Documents, sans systématiquement tout rediriger comme c’est le cas avec les profils itinérants. Les avantages :

– Moins d’espace disque utilisé

– Moins de bande passante nécessaire pour charger le profil

– Configurable via les stratégies de groupe (et non par les propriétés du compte comme pour un profil itinérant)

– Couplage possible avec les fichiers hors connexion pour synchroniser uniquement les fichiers modifiés

– Le chemin de la redirection de dossiers est prioritaire sur le chemin du profil itinérant

Il faut savoir que si vous redirigez le Bureau sur un emplacement réseau, l’utilisateur ne rapatriera pas le contenu en local sur la machine, mais accédera aux données de son Bureau directement par le réseau. Pour obtenir les meilleures performances, il faudra coupler l’utilisation des profils itinérants ainsi que de la redirection des dossiers.

Pour la mise en place de la redirection de dossier créer une GPO par dossier redirigés ou pour l’ensemble de vos redirections.

Configuration utilisateur > Stratégies > Paramètres Windows > Redirection de dossiers

Accéder aux propriétés de l'élément que vous souhaitez rediriger.

Choisir l’emplacement du dossier cible ainsi que le chemin d’accès.

Il est préférable ensuite d’aller dans l’onglet Paramètres et de décocher « Accorder à l’utilisateur des droits exclusifs sur Documents ».

Configuration utilisateur > Stratégies > Modèle d’administration > Système > redirection de dossier

Activer le paramètre de stratégie "Ne pas rendre automatiquement les dossiers redirigés disponibles hors connexion".

La redirection des dossiers est à présent configurée


Did this page help you?