05/12/2025
IT-Connect » Cours - Tutoriels » Administration Systèmes » Windows Server » Active Directory » Active Directory : comment mettre en place les profils itinérants pour les utilisateurs Windows ?

tuto profils itinérants active directory windows
Active Directory

Active Directory : comment mettre en place les profils itinérants pour les utilisateurs Windows ?

Florian BURNEL 35 commentaires

I. Présentation

Ce tutoriel explique comment mettre en place des profils itinérants dans un domaine Active Directory. Le principe est le suivant : permettre aux utilisateurs de se déplacer d'un ordinateur à un autre sans perdre leurs données puisqu'elles seront stockées sur un serveur.

Dans de nombreuses structures informatiques, les utilisateurs se déplacent d’un poste à l’autre - bureaux fixes ou partagés, télétravail, flex-office - et s’attendent à retrouver leur environnement de travail (bureau, documents, paramètres, applications) quelle que soit la machine Windows utilisée. Le mode par défaut, de type "profil local", ne permet pas cette continuité : chaque machine conserve une copie distincte du profil utilisateur, ce qui entraîne des disparités, des pertes de temps, voire des erreurs de configuration.

Par défaut, lorsqu'un utilisateur ouvre une session sur une machine, son profil est stocké dans "C:/Users" ou "C:/Utilisateurs", avec à chaque fois un sous-dossier par utilisateur.

II. C'est quoi les profils itinérants ?

Lorsqu’un utilisateur ouvre une session sur un poste Windows intégré à un domaine Active Directory, un profil utilisateur est créé localement sur cette machine. Ce profil contient tous les éléments qui définissent son environnement de travail : paramètres Windows, favoris, bureau, fichiers, historique, etc.

Les profils itinérants (appelés aussi roaming profiles) répondent précisément à ce besoin de mobilité. Le principe est simple : au lieu de conserver le profil sur le disque local, Windows le stocke sur un serveur de fichiers. Ainsi, à chaque connexion sur n’importe quel poste du domaine :

  1. Le profil est copié depuis le serveur vers le poste (lors de l'ouverture de session).
  2. L’utilisateur retrouve son bureau, ses préférences et ses fichiers.
  3. Lorsqu’il se déconnecte, le profil est renvoyé sur le serveur (au logoff), pour être mis à jour.

Grâce à ce mécanisme, les utilisateurs peuvent changer de poste sans perdre leur environnement de travail. C’est une solution particulièrement utile dans plusieurs contextes, y compris dans les écoles et les agences.

Sur le serveur, l'arborescence de données pourrait être la suivante : un partage global (Profils$) où il y a un sous-dossier par utilisateur.

\\srv-fichiers.it-connect.local\Profils$
   > florian
      > Bureau
      > Documents
      > Téléchargements
   > guy
      > Bureau
      > Documents
      > Téléchargements

A. Les avantages

La mise en place des profils itinérants Windows en environnement AD apporte plusieurs avantages :

  • Mobilité accrue : l’utilisateur retrouve toujours son environnement personnel, quel que soit le poste utilisé.
  • Centralisation des données : les profils sont sauvegardés sur le serveur, ce qui facilite les sauvegardes et la restauration.
  • Homogénéité des postes : plus besoin de reconfigurer les paramètres ou de copier les fichiers manuellement.
  • Simplification pour l’administrateur : maintenance plus simple, remplacement de machine transparent.

B. Les inconvénients

Malgré leurs bénéfices, les profils itinérants ne sont pas exempts de contraintes. Une mauvaise planification peut vite entraîner des lenteurs et rendre l'expérience des utilisateurs très mauvaise.

  • Charge réseau accrue : à chaque ouverture ou fermeture de session, le profil complet est copié entre le serveur et le poste. Si le profil pèse plusieurs centaines de Go (AppData volumineux, caches, etc.), les temps de connexion / déconnexion explosent.
  • Risque de corruption de profil : une déconnexion brutale ou un serveur indisponible peut corrompre la synchronisation du profil.
  • Stockage serveur à dimensionner : chaque utilisateur ayant une copie complète de son profil, l’espace disque sur le serveur doit être conséquent.
  • Problèmes de compatibilité : certains logiciels (notamment ceux qui stockent beaucoup de données) se comportent mal avec les profils itinérants.
  • Complexité accrue en environnement hétérogène (Windows 10/11) : chaque version de Windows peut utiliser un format de profil différent (v2, v3, v6…), rendant la cohabitation compliquée mais possible justement grâce à ces dossiers numérotés.

III. Configurer les profils itinérants Active Directory

Pour cette démonstration, les profils itinérants seront stockés sur le serveur SRV-ADDS-01 au sein de la partition "C" dans un dossier partagé nommé "Profils". En production, vous ne devez pas procéder de cette façon : utilisez un serveur qui n'est pas contrôleur de domaine et stockez les profils sur un volume distinct. Ce qui ne vous empêche pas d'appliquer la méthode décrite ci-dessous, elle reste la même.

A. Créer le partage pour les profils itinérants

La première étape consiste à créer un groupe de sécurité qui aura les permissions de lecture et d'écriture sur le dossier des profils. Ici, le groupe créé avec l'étendue Domaine local est nommé ainsi : GDL_Profils_RW. À l'intérieur, il faudra ajouter d'autres groupes (ou les utilisateurs) qui doivent pouvoir créer un dossier de profil.

Accédez aux propriétés du dossier afin de le partager. Il est préférable d'utiliser un partage masqué sur le réseau. Ici, le nom suivant est retenu : Profils$. Ce qui donnera le chemin d'accès suivant : \\srv-adds-01.it-connect.local\Profils$.

Cliquez sur le bouton "Autorisations" pour définir les permissions de partage. Supprimez "Tout le monde" et ajoutez "Utilisateurs authentifiés" avec des droits de lecture et d'écriture.

Cliquez ensuite sur l'onglet "Sécurité", puis sur "Avancé" afin de gérer les autorisations NTFS. Désactivez l'héritage en cliquant sur le bouton portant cet intitulé, puis choisissez de convertir les autorisations héritées.

Supprimez les deux lignes faisant référence au groupe "Utilisateurs".

Puis, ajoutez une nouvelle autorisation. Nous allons définir des droits spécifiques pour que les utilisateurs puissent créer leur dossier de profil itinérant lors de la première connexion (c'est automatique) sans pour autant avoir des droits sur les dossiers de profil des autres utilisateurs. Le cloisonnement est important pour assurer la sécurité des données.

  • Sélectionnez le groupe créé précédemment, à savoir GDL_Profils_RW.
  • S'applique à "Ce dossier seulement"
  • Cliquez sur "Afficher les autorisations avancées"

Décochez toutes les autorisations, sauf celles-ci :

  • Liste du dossier/lecture de données
  • Création de dossier/ajout de données

Validez. Vous devriez obtenir un résultat similaire à celui-ci :

Validez. Vous disposez désormais d'un partage pour les profils itinérants Windows.

B. Ajouter les droits administrateur aux profils itinérants

Par défaut, les administrateurs ne pourront pas accéder aux données des profils itinérants. Alors, pour ajouter le groupe de sécurité "Administrateurs" aux profils utilisateur itinérants, vous devez configurer une stratégie de groupe dès maintenant.

Bien que ce soit facultatif, ce paramètre de stratégie permet de donner automatiquement au groupe "Administrateurs" les droits nécessaires sur les profils itinérants des utilisateurs. Concrètement, lorsqu’un profil est créé sur le partage réseau, le dossier et ses permissions sont générés de manière à ce que l’utilisateur dispose d’un accès complet à son propre profil, mais aussi que les administrateurs du domaine puissent y accéder. C'est utile pour la maintenance, la sauvegarde des données ou le dépannage. Sans ce paramètre activé, il peut arriver que l’administrateur n’ait aucun droit d’accès sur le répertoire du profil utilisateur (il est toujours possible de modifier les permissions à la main).

Créez une nouvelle stratégie de groupe avec la console habituelle. Pour ma part, elle s'appelle comme suit : C_Profils_Itinerants_Droits_Admin.

Puis, parcourez l'arborescence des paramètres de cette façon :

  • Configuration ordinateur > Stratégies > Modèles d’administration > Système > Profils utilisateur.

Ici, vous devez activer le paramètre intitulé "Ajouter le groupe de sécurité Administrateurs aux profils utilisateur itinérants".

Vous devez lier la stratégie de groupe à l'unité d'organisation qui contient les ordinateurs qui auront un profil itinérant. Par exemple :

C. Définir un profil itinérant à un utilisateur AD

Pour configurer un profil itinérant pour un utilisateur Active Directory, vous devez accéder aux propriétés de cet utilisateur. Le plus simple étant d'utiliser la console Utilisateurs et ordinateurs Active Directory.

Effectuez un clic droit sur un utilisateur qui doit disposer d'un profil itinérant, cliquez sur "Propriétés". Accédez à l'onglet "Profil" et complétez le "Chemin du profil". Précisez le chemin réseau vers le profil de cet utilisateur :

\\SRV-ADDS-01.it-connect.local\Profils$\%username%

Nous indiquons simplement le chemin UNC vers le serveur, suivi du nom du partage et à la fin %username% qui est une variable qui sera remplacée par la valeur le login de l'utilisateur.

Note : Pour être plus efficace, vous pouvez sélectionner plusieurs utilisateurs et indiquer le chemin avec la variable %username%. Ainsi, le chemin s'adaptera à chaque utilisateur.

Lorsque le chemin est renseigné, validez.

En complément, cet utilisateur est membre du groupe GDL_Profils_RW.

D. Tester le profil itinérant

Depuis une machine cliente, connectez-vous avec un compte pour lequel le profil itinérant est configuré. Sur le serveur, dans le répertoire partagé, vous verrez apparaître un dossier de profil pour cet utilisateur, comme ici : guy.mauve.V6.

À l'intérieur, il y a bien les sous-dossiers du profil, mais ils ne vont pas apparaître immédiatement puisque la synchronisation a lieu lors de la déconnexion. Néanmoins, la racine du profil sera bien créée lors de la première connexion avec cette nouvelle configuration.

Voici un exemple où un profil itinérant V2 a été créé, ce qui correspond à Windows 7. Windows 10 c'est V5 et Windows 11 utilise V6, tout comme Windows 10 à partir de la version 1607. Un utilisateur peut disposer de plusieurs profils correspondant à plusieurs OS Windows.

profil11

Déposez quelques fichiers dans la session de l'utilisateur connecté à Windows et fermez la session, vous devriez voir les fichiers apparaître sur le serveur.

IV. Les paramètres de GPO pour les Profils itinérants

Si vous parcourez les paramètres de stratégie de groupe, vous pourrez localiser des paramètres supplémentaires dédiés aux profils itinérants. Ils sont situés à cet emplacement : Configuration utilisateur > Stratégies > Modèles d'administration > Système > Profils utilisateur

Il y a notamment ces paramètres :

  • Spécifier les répertoires réseau à synchroniser seulement au moment de l'ouverture/fermeture de session
  • Exclure des répertoires dans les profils itinérants

Ce dernier paramètre permet d'exclure des répertoires des profils itinérants, c'est-à-dire des dossiers qui ne seront pas stockés sur le serveur. Cela peut permettre de ne pas synchroniser des dossiers conséquents que les utilisateurs pourraient avoir sur leurs machines, et qui ne contiennent pas de données importantes.

Sachez que, par défaut, les dossiers Appdata\Local et Appdata\LocalLow ainsi que les sous-dossiers de ces deux dossiers sont exclus. Cela comprend notamment les répertoires Temp et Temporary Internet Files. L'objectif étant d'alléger le stockage au niveau du serveur et de stocker les fichiers temporaires uniquement sur la machine dont ils proviennent.

  • Limiter la taille du profil

Ce paramètre permet de déterminer une taille maximale pour le profil d'un utilisateur et comment le système doit se comporter lorsque cette limite est atteinte. Vous pouvez indiquer une taille en Ko, indiquer si les fichiers du Registre sont comptabilisés dans la taille, mais aussi, indiquer si vous souhaitez ou non avertir l'utilisateur lorsque la taille est dépassée.

Attention, ce paramètre s'applique aussi bien pour un profil local que pour un profil itinérant.

profil12

Vous avez les clés en main pour gérer les profils itinérants pour vos utilisateurs !

V. La redirection de dossiers Windows

La redirection de dossiers peut être utilisée en complément des profils itinérants, notamment pour optimiser les performances. Elle permet de rediriger (stocker) sur le serveur uniquement certains dossiers du profil d'un utilisateur, comme par exemple, le Bureau et les Documents, sans systématiquement tout synchroniser comme c'est le cas avec les profils itinérants. Les avantages :

  • Moins d'espace disque utilisé
  • Moins de bande passante nécessaire pour charger le profil
  • Configurable via les stratégies de groupe (et non par les propriétés du compte comme pour un profil itinérant)
  • Couplage possible avec les fichiers hors connexion pour synchroniser uniquement les fichiers modifiés
  • Le chemin de la redirection de dossiers est prioritaire sur le chemin du profil itinérant

Il faut savoir que si vous redirigez le Bureau sur un emplacement réseau, l'utilisateur ne rapatriera pas le contenu en local sur la machine, mais accédera aux données de son Bureau directement par le réseau. Pour obtenir les meilleures performances, il faudra coupler l'utilisation des profils itinérants ainsi que de la redirection des dossiers. Cela veut dire aussi que sans réseau, les données de Bureau ne sont pas accessibles, donc dans ce cas il faut y associer la synchronisation des fichiers hors connexion, ce qui sera indispensable sur les postes nomades.

Pour en savoir plus, consultez ce tutoriel :

VI. Conclusion

En implémentant des profils itinérants via Active Directory, vos utilisateurs pourront changer de machine sans perdre leurs paramètres ou leurs fichiers. En suivant ce tutoriel, vous disposez des informations principales pour configurer les profils itinérants Windows, notamment pour la création du partage avec les bonnes permissions.

Avant d'implémenter cette technologie en production, pensez à bien tester et à mesurer l’impact réseau (chargement et fermeture de session), sans oublier le dimensionnement du stockage serveur. Comme je l'expliquais précédemment, il peut s'avérer judicieux de coupler les profils itinérants avec la redirection de dossiers pour limiter le poids du profil en transit (et donc du débit) tout en conservant la mobilité.

FAQ

Qu’est-ce qu’un profil itinérant Windows ?

Un profil itinérant est un profil utilisateur dont les données sont stockées sur un serveur réseau (et non uniquement sur le poste local). Lors de l’ouverture de session, le profil est téléchargé sur la machine cliente ; à la fermeture, les modifications sont renvoyées au serveur. Cela permet à l’utilisateur de retrouver son environnement sur un autre poste du domaine Active Directory.

Quels sont les prérequis pour configurer des profils itinérants ?

Il faut un domaine Active Directory et un serveur de fichiers. La fonctionnalité repose sur un partage SMB accessible via le réseau et configuré avec des autorisations NTFS spéciales. Les machines Windows utilisées par les utilisateurs doivent être membres du domaine Active Directory.

Comment définir le chemin du profil itinérant dans AD ?

Dans l’objet utilisateur AD, onglet « Profil », champ « Chemin du profil », renseignez un UNC comme \\srv-fichiers.it-connect.local\Profils$\%username%. Le serveur héberge un dossier "Profils", partagé, et la variable %username% permet de créer un sous-dossier spécifique. Ainsi, chaque utilisateur dispose d'un profil personnel et privé.

Que faut-il savoir sur la redirection de dossiers en complément des profils itinérants ?

La redirection de dossiers (Bureau, Documents, etc.) permet de stocker certains dossiers sur le réseau sans synchroniser tout le profil. Ceci réduit le poids lors de l’ouverture/fermeture de session. Elle se configure directement par GPO et pour chaque dossier du profil.

Comment optimiser les performances d’un profil itinérant ?

  • Exclure des répertoires (temp, caches) via GPO.
  • Rediriger des dossiers lourds plutôt que tout le profil (Redirection de dossiers).
  • Mettre le serveur de fichiers sur un réseau rapide.
  • Activer la mise en cache et la synchronisation hors connexion
  • Surveiller la taille des profils et les nettoyer régulièrement.

Quelle est la différence entre les versions de profils itinérants (V2, V5, V6, etc.) ?

Les profils itinérants ont évolué au fil des versions de Windows, car Microsoft peut modifier la structure interne du profil utilisateur (fichiers système, registres, AppData, etc.). Pour éviter les incompatibilités, chaque grande version de Windows crée un profil distinct, identifié par un suffixe. Par exemple, V6 pour Windows 11 (et les dernières versions de Windows 10).

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Active Directory - Comment réparer et restaurer le Sysvol

Active Directory : comment réparer et restaurer le dossier Sysvol ?

Mehdi DAKHAMA 2
comment créer domaine active directory sous windows server

Comment créer un domaine Active Directory avec Windows Server 2016 ?

Florian BURNEL 17
Détecter attaques LLMNR avec Honeypot

Comment détecter une attaque LLMNR poisoning sur votre réseau avec un Honeypot ?

Mickael Dorigny 0

35 commentaires sur “Active Directory : comment mettre en place les profils itinérants pour les utilisateurs Windows ?

  • Super tuto !
    Petite question, comment fait on pour que profil de l’administrateur du domaine soit lui en profil local et non itinérant comme les utilisateurs ?
    Par avance merci.

    Répondre

    • De ce que j’ai compris (car je débute comme toi), il faut créer dans l’AD un « OU » (Organization Unit) qu’il ne faut pas confondre avec un groupe utilisateur du domaine (qui lui sert plutot à spécifier les droits pour un groupe d’utilisateur).

      Avec le OU tu défini une configuration dédié à certains utilisateurs ou postes, c’est dans ce but semble t’il que les « organization unit » ont été créés.

      Autre solution : appliquer un filtre à ton objet de domaine pour qu’il ne s’applique qu’à certains utilisateurs, cherche dans ce cas « filtre WMI »

      Répondre

    • je « révise » l’ad (et je cherche à aller + loin que juste le niveau de base sur active directoy) sous win2012….
      Avez vous trouvé la réponse ?
      je dirais :
      dés que l’un user se connecte sur un pc, ça lui créé un profil local sur la machine sur laquelle il se connecte donc si c’est l’administrateur, il aura aussi son profil admin sur ça machine et sans itinérance si vous avez pas configuré son profil en itinérant…
      donc pas besoin de créer de choses particulieres, il me semble.

      Par contre, je me demande : quel est l’intérêt d’avoir un profil local admin ? à part mettre des fichiers spécifique pour l’ordinateur sur lequel se connecte l’admin ?

      Répondre

  • bonjour,
    comment on fait pour Outlook et le compte messagerie correspondant doit on passer par exchange ou le outlook.pst sera lu a partir du dossier sur le srveur.
    cdt

    Répondre

  • bonjour, peut-on changer un profil local existant connecté au serveur (avec domaine) sans perdre ses données ou liens vers lecteurs réseau ?
    est-ce qu’avec ce profil itinerant on peux migrer un poste vers win 10 et utiliser le profil créé sur un win8?
    merci pour votre aide

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.