Comment mapper un lecteur réseau par GPO ?

I. Présentation

Pendant très longtemps, et même encore aujourd'hui, lorsqu'il y avait besoin de connecter un ou plusieurs lecteurs réseaux sur un poste, on passait par un script d'ouverture de session. Bien souvent, un fichier ".bat" hébergé dans le SYSVOL du domaine, avec la fameuse commande "net use". Accessoirement, on pouvait utiliser l'attribut "HomeDir" de chaque utilisateur pour lui monter un dossier personnel dans un lecteur réseau.

Avec les stratégies de groupe, et notamment, les préférences de stratégie de groupe, il est possible de connecter un lecteur réseau très simplement. Pour plus de souplesse, les options de ciblage vont permettre de monter le lecteur réseau en fonction de l'appartenance à un groupe de sécurité, ce qui est plutôt intéressant en matière de flexibilité. Cela tombe bien c'est le sujet de l'article du jour.

Prêt à mapper un lecteur réseau ? Alors allons-y... Si vous préférez, voici un tutoriel vidéo en français :

II. Connecter un lecteur réseau en GPO

A l'aide de la console GPMC, créez une nouvelle GPO avec le nom qui va bien, par exemple "U_Connecter_Lecteur_Reseau". Celle-ci contiendra des paramètres utilisateurs exclusivement (U).

Modifiez la GPO que l'on vient de créer, et parcourez l'arborescence de cette façon : Configuration utilisateur > Préférences > Paramètres Windows > Mappages de lecteur.

Sur la droite, effectuez un clic droit : Nouveau > Lecteur mappé.

Maintenant, "le plus dur" reste à faire : saisir les informations utiles à la connexion du lecteur réseau. Nous avons les champs suivants à notre disposition :

  • Action : créer, mettre à jour, remplacer, supprimer (précisions ci-dessous)
  • Emplacement : il s'agit du chemin UNC vers le partage réseau à connecter sur le poste client
  • Reconnecter : rendre le lecteur réseau persistent si l'option est cochée, c'est-à-dire qu'il va se reconnecter à chaque ouverture de session
  • Libeller en tant que : donner un nom personnalisé au lecteur réseau connecté
  • Lettre de lecteur : lettre à utiliser par ce lecteur, un classique mais attention à un éventuel conflit vis-à-vis des lecteurs locaux

L'option "Se connecter en tant que" est désactivée par Microsoft pour des raisons de sécurité : elle exposait les credentials dans les fichiers de la GPO, accessible via le dossier SYSVOL, ce qui était dangereux.

Revenons plus en détails sur l'option "Action" car elle est très importante et il faut bien la comprendre. Les différentes actions sont :

  • Créer : connecter un nouveau lecteur réseau pour cet utilisateur. Attention, la lettre à utiliser ne doit pas être déjà utilisée sinon il ne pourra pas se connecter
  • Supprimer : déconnecter un lecteur réseau existant. S'il n'existe pas, l'action ne réalisera aucune action
  • Remplacer : le lecteur réseau ciblé va être déconnecté (supprimé) puis reconnecté (créé) pour l'utilisateur
  • Mettre à jour : le lecteur réseau va être connecté s'il ne l'est pas actuellement, et si il est déjà connecté il va être mis à jour pour intégrer les éventuels changements dans sa configuration. Contrairement à l'action "Remplacer", celle-ci ne supprime pas le lecteur réseau pour le recréer. Cette option est la plus souvent utiliser car c'est la plus flexible

 

Note : en phase de migration, il est intéressant d'utiliser l'action "Remplacer" pour être sur que le lecteur réseau va être supprimé puis recréé vers le nouveau partage. Lorsque la migration est finalisée et la situation stable, il est préférable de se satisfaire de l'option "Mettre à jour".

Prenons l'exemple suivant : je souhaite réaliser le mappage du partage "\\SRV-ADDS-01.it-connect.local\Partage$" sur les sessions de mes utilisateurs, de façon persistante, en le nommant "PARTAGE" et utilisant la lettre "P". Ce qui donne :

Après validation, le lecteur réseau va apparaître dans la GPO. Il est possible de configurer plusieurs actions de mappages de lecteurs dans la même GPO.

 

III. Tester la GPO

La GPO étant configurée, il est temps de tester ! Pour cela, il vous suffit de vous connecter sur un poste du domaine avec un compte ciblé par la GPO actuelle et disposant des autorisations nécessaires pour connecter ce partage via un lecteur réseau.

Il est vrai que nous n'avons pas abordé la partie "création du partage" et la gestion des droits, que ce soit au niveau du partage ou des droits du système de fichiers (NTFS...), je vous laisse le soin de réaliser ces actions en amont.

Grâce à la GPO définie précédemment, le lecteur réseau se connecte, avec le bon nom et la lettre associée ??

IV. Lecteur réseau et ciblage

Comme je le disais, il est possible de connecter plusieurs lecteurs réseaux dans la même GPO. Cela est d'autant plus intéressant lorsque l'on associe cette possibilité au fait de pouvoir réaliser un ciblage particulier au niveau de chaque lecteur réseau. Pour finir ce tutoriel, nous allons aborder cette notion, ce qui peut permettre d'avoir une seule GPO pour connecter vos lecteurs réseaux, même si tous les utilisateurs ne doivent pas avoir les mêmes lecteurs.

Pour rappel, l'accès aux options de ciblage s'effectue au niveau de chaque élément créé, c'est-à-dire pour chaque lecteur réseau déclaré dans la GPO, en cliquant sur l'onglet "Commun". Ensuite, il faut cocher l'option "Ciblage au niveau de l'élément" et cliquer sur le bouton "Ciblage".

L'éditeur de cible va s'ouvrir, ensuite libre à vous de monter le lecteur réseau en fonction d'un critère spécifique en fonction de vos règles de gestion habituelles : basée sur l'appartenance à un groupe de sécurité ou sur une unité d'organisation, par exemple.

Grâce à cette méthode vous allez pouvoir centraliser la gestion des lecteurs réseaux dans une GPO unique, même si vos utilisateurs ne doivent pas avoir les mêmes lecteurs réseaux. Pour que le lecteur réseau soit supprimé si l'utilisateur n'est plus membre du groupe de sécurité en question, il faut ajouter un second lecteur réseau avec l'action "Supprimer" et créer un ciblage inverse : l'utilisateur n'est pas membre du groupe de sécurité XXX. C'est le ciblage qui fera la différence.

Ce qui donne :

Astuce : pour gagner du temps, dans l'éditeur de stratégie de groupe, vous pouvez faire un copier-coller d'un lecteur réseau ?

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3369 posts and counting.See all posts by florian

13 thoughts on “Comment mapper un lecteur réseau par GPO ?

  • Bonjour, sujet très intéressant que j’ai testé. Cependant le mappage fonctionne seuleument pour les utilisateurs du groupe ciblé qui sont admin de leur poste. J’imagine que c’est une histoire de droits mais que dois je faire pour autoriser le mappage sur les postes sans mettre tout le monde admin bien entendu.
    Merci

    Répondre
    • Bonjour Fred,
      A ma connaissance il n’est pas nécessaire d’être administrateur. Ce n’est pas une histoire de droit sur le partage ?
      Cordialement,
      Florian

      Répondre
  • bonjour,
    Il ne faut pas simplement activer la case « exécuter dans le contexte de sécurités utilisateur connecté » pour que cela soit bien mappé avec les SID du user ?

    Répondre
    • Bonjour Methy,
      Il n’est pas nécessaire de cocher cette option. Sans qu’elle soit cochée, le lecteur réseau va se connecter avec les droits de l’utilisateur courant : s’il n’a pas les droits sur le partage ciblé par le lecteur réseau, ça ne fonctionnera pas.
      Cordialement,
      Florian

      Répondre
  • Bonjour,

    merci pour ce tutoriel et pour votre site en général 😉

    Répondre
  • bonjour monsieur,

    avez vous une solution pour que les lecteurs réseaux remontent lorsque l’utilisateur se connecte en télétravail (via VPN) ?

    en effet, dans ma boite, sans le « direct access » les utilisateurs se connectent en VPN après l’ouverture de session utilisateur, du coup les GPOs ne peuvent pas remonter car l’utilisateur n’a pas accès au domaine

    merci
    cdt

    Répondre
    • Il faut établir la connexion vpn à l’ouverture de session.

      Répondre
  • Bonjour Monsieur,

    Après avoir monter mes lecteurs réseaux, j’ai des pertes de connexion.
    L’utilisateur qui se connecte au lecteur réseau partagé voit son dossier se fermer tout seul.
    Les fichier son stocké dans un synology Nas.
    Le Synology nas est intégré au domaine.

    Merci.
    Cordialement.

    Répondre
    • Bonjour,
      Je te conseille de regarder les logs de ton NAS. La « perte de connexion » se caractérise t’elle par d’autres symptômes (perte de connexion avec le NAS, demande de mot de passe lorsqu’elle se reconnecte, ….) ?

      Si certains ont des problèmes de mappage des lecteurs, je leur conseille de faire un gpresult /r sur le poste. Vous aurez ainsi les GPO appliquées et non appliquées et la cause.

      Répondre
  • Bonjour,

    La perte de connexion entraine seulement la fermeture du dossier.
    Lorsque l’utilisateur se reconnecte sur son lecteur réseau pour réouvrir son dossier il n’a pas besoin de s’authentifier.
    J’ai fait un gpresult /r sur l’un des postes utilisateurs j’ai ceci comme message « Les objets stratégie de groupe n’ont pas été appliqués car ils ont été refusés »

    Dans l’observateur d’évènement Smbclient du poste d’utilisateur, j’ai ceci :
    ……………………………………………………………………..
    Evénement 30804, SMBClient

    Une connexion réseau a été perdue.
    Nom de l’instance : \xxx\xxxx
    Nom du serveur : \xxxxxxx
    Adresse du serveur : xxxxxxxx
    Type de connexion : Wsk
    InterfaceId : xx

    Aide :

    Ceci indique que la connexion du client au serveur a été perdue.

    Des déconnexions fréquentes et inattendues lors de l’utilisation d’un adaptateur RoCE (RDMA sur Converged Ethernet) peuvent être le signe d’une configuration réseau incorrecte. La carte RoCE requiert le contrôle de flux prioritaire (PFC) pour être configurée sur chaque hôte, commutateur et routeur du réseau RoCE. Une configuration incorrecte du PFC entraîne des pertes de paquets, des déconnexions fréquentes et une diminution des performances.

    La première erreur (L’événement 30804) entraîne plusieurs avertissements :
    ……………………………………………………………………..

    Evénement 30805, SMBClient

    Le client a perdu sa session au serveur.

    Erreur : La connexion de transport est maintenant déconnectée.

    Nom du serveur : \xxxxxxx
    ID de session : xxxxxxx

    Aide :

    Si le serveur est un serveur de fichiers du cluster de basculement Windows, ce message s’affiche lorsque le partage de fichiers passe d’un nœud du cluster à un autre. Un anti-événement 30806 doit également se produire pour indiquer que la session sur le serveur a été rétablie. Si le serveur n’est pas un cluster de basculement, il est probable que le serveur était auparavant en ligne et qu’il est à présent inaccessible sur le réseau.

    ……………………………………………………………………..

    Evénement 30807, SMBClient

    La connexion au partage a été perdue.

    Erreur : La connexion de transport est maintenant déconnectée.

    Nom du partage : \xxxxx\xxxxx
    ID de session : xxxxxxx
    ID d’arborescence : xxxxxx

    Aide :

    Si le serveur est un serveur de fichiers du cluster de basculement Windows, ce message s’affiche lorsque le partage de fichiers passe d’un nœud du cluster à un autre. Un anti-événement 30806 doit également se produire pour indiquer que la session sur le serveur a été rétablie. Si le serveur n’est pas un cluster de basculement, il est probable que le serveur était auparavant en ligne et qu’il est à présent inaccessible sur le réseau.

    Répondre
  • Bonjour,

    Merci pour cette vidéo, je suis actuellement en reconversion professionnelle et je n’ai pas très bien compris les explication de mon formateur.
    Le dossier partage peut être créer n’importe ou sur le serveur ou obligatoirement dans le sysvol?
    Et au niveau des droits ntfs il es préférable d’autoriser les utilisateurs en lecture seul ou tous les droits?

    Répondre
    • Bonjour,

      Pour créer un partage, il ne faut PAS le créer dans le répertoire SYSVOL. Le répertoire SYSVOL est un partage existant réservé à l’Active Directory pour stocker certains éléments, notamment les stratégies de groupe. Pour créer un partage personnalisé, il faut le créer à un autre endroit sur le serveur.
      Pour les droits, tout cela dépend de ce que vous souhaitez faire : s’il y a besoin de créer ou de modifier des fichiers, les droits en lecture seule ne seront pas suffisants. Ce qui est intéressant c’est de créer des groupes de sécurité, par un exemple un groupe pour l’accès en lecture seule et un autre groupe pour l’accès en lecture et écriture. Ensuite, ajouter ces groupes sur le partage avec les bons droits et mettre les utilisateurs dans les groupes en fonction des besoins.

      En espérant t’avoir aidé ! 🙂
      Bonne soirée
      Florian

      Répondre
  • Bonjour,

    Merci pour ce tuto, mais si on veut le faire avec un autre domaine, par exemple un lecteur appartient un domaine1 et l’autre à domaine2. Es que cela est possible ?

    Merci.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.