Redirection de profils utilisateurs avec Windows Server

I. Présentation

Dans un environnement Microsoft, équipé à la fois de postes et de serveurs Windows, la redirection de dossiers et les fichiers hors connexion sont deux sujets à connaître. Bien souvent, la redirection de dossiers pour vos profils utilisateurs s'accompagnent de l'utilisation de la fonctionnalité "fichiers hors connexion" afin d'assurer la disponibilité des données en locales et d'optimiser les temps d'accès.


Comme vous le savez surement déjà, un profil utilisateur est constitué d'un ensemble de dossiers : Bureau, Documents, AppData, Téléchargements, Images, etc. Il est possible de rediriger l'un des dossiers du profil de l'utilisateur ou même tout ses dossiers vers un emplacement réseau. Ainsi, lorsqu'il va déposer un fichier sur son bureau Windows, depuis son PC, le fichier va en fait directement être enregistré sur le serveur.

Ce mode de fonctionne implique d'avoir une connexion réseau stable et rapide car l'utilisateur pourra ressentir les éventuelles lenteurs. Pour optimiser l'accès aux fichiers et surtout lui permettre d'accéder à son profil lorsqu'il n'est pas connecté au réseau de l'entreprise (notamment avec un PC portable) ou lorsqu'il y aurait une coupure de réseau, on va coupler la redirection de profils utilisateurs avec les fichiers hors connexion. Ceci va synchroniser en local une copie du dossier redirigé qui est stocké sur le serveur, il y aura ensuite une synchronisation régulière (plusieurs modes sont disponibles) pour que votre profil soit à jour sur le serveur.

Plusieurs avantages à la redirection de profils :

  • Votre profil utilisateur est stocké sur le serveur, ce qui facilite la sauvegarde de vos données
  • Si vous changez de PC, vous ouvrez votre session et vous retrouvez vos données !
  • Vous pouvez coupler la redirection de profils avec le profil itinérant pour que vos paramètres vous suivent également d'un PC à l'autre

Dans cet article, je vous propose de voir comment configurer la redirection de profils utilisateurs sous Windows à base d'Active Directory et de GPO.

II. Le groupe de sécurité Active Directory

Conformément aux recommandations de Microsoft, nous allons créer un groupe de sécurité sur notre domaine Active Directory. Celui-ci contiendra les utilisateurs pour lesquels vous souhaitez mettre en place la redirection de dossiers (profil).

Je vous invite à ouvrir une console PowerShell en tant qu'administrateur sur votre contrôleur de domaine.

Nous allons créer le groupe de sécurité "GRP-FOLDER-REDIRECTION" avec la commande suivante :

New-ADGroup -Name "GRP-FOLDER-REDIRECTION" -SamAccountName "GRP-FOLDER-REDIRECTION" `
            -GroupCategory Security -GroupScope DomainLocal `
            -Description "Utilisateurs ayant un profil redirigé"

Pour l'ajout des utilisateurs au groupe, soit vous passez par la console AD, soit vous pouvez réaliser l'opération en PowerShell toujours :

Add-ADGroupMember -Identity "GRP-FOLDER-REDIRECTION" -Members Florian, Bob

La commande ci-dessus ajoute les utilisateurs "Florian" et "Bob" au groupe créé précédemment. Nous conserverons ces deux utilisateurs pour la suite des tests.

Maintenant, nous allons créer le partage qui va accueillir nos profils utilisateurs : généralement sur un serveur de fichiers (autre que le contrôleur de domaine).

III. Le partage et attribution des droits

Je vous épargne la console PowerShell pour la création du nouveau partage. Etant donné que je suis sur un lab avec des ressources limitées, je vais utiliser mon contrôleur de domaine "FB-ADDS01" pour héberger les dossiers redirigés.

Dans la console "Gestionnaire de serveur", accédez à "Services de fichiers et de stockage" (vous devez installer la fonctionnalité) et ensuite créez un nouveau partage, comme ceci :

Pour faire de l'hébergement de fichiers comme nous le souhaitons, sélectionnez "Partage SMB - Rapide".

Donnez un nom à votre partage, par exemple : Profiles$. Ce partage étant sensible et qu'il n'y a pas lieu d'y accéder en direct, notamment via la découverte réseau, je vous recommande de mettre un "$" à la fin du nom pour qu'il soit masqué un minimum.

Deux options sont à activer sur cette page :

  • Activer l'énumération basée sur l'accès : l'utilisateur ayant les droits que sur son dossier "perso" alors il verra uniquement son dossier s'il parcoure le partage - l'affichage dans l'explorateur se base sur les droits de l'utilisateur.

 

  • Autoriser la mise en cache du partage : cette option permettra à l'utilisateur d'utiliser la synchronisation des fichiers hors connexion sur ce partage pour que ses données soient synchronisées sur son poste. Sans cela, ce sera refusé par le serveur.

Il faut maintenant passer à l'étape la plus délicate : les autorisations NTFS. Nous allons donner les bons droits sur le partage afin que, lorsqu'un utilisateur se connecte, un dossier de profil puisse être généré (le nom sera son identifiant AD) et qu'il puisse écrire dans ce dossier. Il aura les droits exclusifs sur le dossier de son profil (+ l'administrateur) et ne pourra pas accéder aux autres dossiers de profils.

Commencez par cliquer sur "Désactiver l'héritage" et cliquez sur "Convertir les autorisations héritées en autorisations explicites sur cet objet" pour récupérer les droits actuels. Nous allons les faire évoluer.

Maintenant, ajoutez des autorisations pour le groupe "GRP-FOLDER-REDIRECTION" et configurez comme ceci :

Au final, vous devez avoir les droits identiques à ceux ci-dessous (attention au champ "S'applique à") :

Les autorisations étant définies, finalisez la création du partage avant de passer à la suite 🙂

IV. La GPO de redirection de dossiers

Avant de procéder aux tests, nous devons créer la GPO et la configurer. Via la console "Gestion de stratégie de groupe", créez une nouvelle GPO nommée "FOLDER_REDIRECTION" (par exemple) et modifiez le filtrage de sécurité pour qu'il y ait le groupe "GRP-FOLDER-REDIRECTION" seulement, comme ceci :

Suite à une mise à jour publiée par Microsoft (MS16-072),  il y a eu des changements au niveau de la sécurité et pour que la redirection de profils fonctionne, vous devez ajouter le groupe "Utilisateurs authentifiés" en "Lecture" dans l'onglet "Délégation" :

Ensuite, modifiez la GPO pour configurer la redirection de dossiers. Ce paramètre s'applique directement au niveau de l'utilisateur : Configuration utilisateur > Stratégies > Paramètres Windows > Redirection de dossiers

Note : La redirection de dossiers se configure dossier par dossier, c'est-à-dire que vous pouvez seulement rediriger le bureau et les documents si vous le souhaitez.

Pour l'exemple, je vais seulement le faire pour les documents mais la procédure est identique à chaque fois. Cliquez droit sur "Documents" et "Propriétés".

Choisissez l'option "Créer un dossier pour chaque utilisateur le chemin d'accès racine", ce qui rejoins ce que je disais précédemment : à la racine du partage des profils, un dossier va être créé pour l'utilisateur et dans ce dossier, il y aura un dossier "Documents".

Indiquez le chemin complet vers le partage dans le champ "Chemin d'accès à la racine".

Avant de valider, jetez un œil à l'onglet "Paramètres" pour le configurer comme ceci :

Si vous souhaitez empêcher le compte administrateur d'accéder au dossier et qu'il y ait seulement l'utilisateur qui puisse accéder, alors cochez l'option "Accorder à l'utilisateur des droits exclusifs sur Documents".

Vous pouvez valider, fermer l'éditeur de GPO et pensez à lier votre GPO sur votre domaine avant de passer à la phase de tests.

V. Tester la redirection de dossiers

Pour ma part, je passe donc sur un poste client Windows 10 pour tester la redirection de dossiers. Actuellement, on peut voir quand lorsque je regarde les propriétés d'un fichier dans "Documents", il est stocké en local comme le confirme l'emplacement.

Maintenant, vous allez ouvrir une invite de commandes en tant qu'administrateur sur le poste (ou PowerShell) et actualiser les GPO :

gpupdate /force

Logiquement, la commande va vous avertir qu'il y a une redirection de dossiers configurée et que pour l'appliquer il faut fermer la session, vous pourrez valider avec "O" puis la touchée Entrée.

Reconnectez-vous avec le même utilisateur. On peut voir que dans "Documents" les fichiers sont toujours là sauf qu'ils sont maintenant stockés sur le serveur directement !

L'icône de synchronisation sur la gauche dans l'explorateur montre aussi que Windows a automatiquement configuré un partenariat de synchronisation sur ce PC pour le dossier redirigé de l'utilisateur.

Voilà, l'utilisateur bénéficie d'une redirection de son profil pour le dossier "Documents" : il retrouvera ses documents à l'identique d'un PC à un autre, et surtout cela vous offre la possibilité de lui sécuriser ses données plus facilement. Lorsque c'est stocké en local c'est beaucoup plus complexe à gérer.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian has 1909 posts and counting.See all posts by florian

5 pensées sur “Redirection de profils utilisateurs avec Windows Server

  • et pour la haute dispo on met un petit DFS-R ?
    est ce que 2 racines DFS-Autonome synchronisées et présentées avec un Load Balander fonctionne ? (qd on ne peut pas utiliser de racine DFS-Domaine)

    yosh

    Répondre
  • Yosh, malheureusement la Haute Dispo avec DFR est impossible ici, je suis bien placé pour le savoir je l’ai testé et MS refuse qu’on utilise cette solution pour stocker les profils.
    Seule solution (=usine à gaz) c’est le SOFS. J’ai abandonné car étant sous environnement VMWARE, refaire un cluster HyperV sur un cluster VMWare ça devient n’importe quoi…

    Répondre
  • bonjour,
    sympa l’article mais je ne pige pas qql chose :
    en fait, je comprends pas pkoi on utilise une GPO ?
    quand on créer un utilisateur, on va dans l’onglet profil de ‘lobjet utilisateur et on y colle le chemin du dossier partagé sur le serveur (avec des droits en lecture / ecriture) et l’utilisateur peut ouvrir sur n’importe quel pc ça session, il retrouvera ses fichiers.
    Quel est alors l’interet de faire plus compliqué ici svp (GPO + droits plus poussés) ?

    autre chose : en tant qu’admin, si on prend le controle du dossier du profil de l’utilisateur, ce dossier devient « périmé » et il ne fonctionne plus pour l’utilisateur. est ce qu’il y moyen de le remettre comme neuf svp ?

    Merci

    Répondre
    • je me reponds (en partie) à moi-meme :
      la redirection servirait pour les gros dossiers pour eviter d’encombre le profil utilisateur afin qu’il ne soit pas trop long à charger au démarrage !

      Répondre
      • Bonjour Olivier,

        Dans les propriétés de l’utilisateur (onglet « profil ») c’est pour indiquer le profil itinérant : lorsqu’un utilisateur ouvre sa session sur un nouveau PC le profil est téléchargé depuis le serveur vers le PC en local, lorsque l’utilisateur se déconnecte, la synchronisation s’effectue. En effet, avec des dossiers conséquents et en fonction de la performance du réseau, le temps d’ouverture de session peut être fortement impacté. Avec la redirection de dossiers, le profil n’est pas téléchargé sur le PC en local, il reste sur le serveur et l’accès s’effectue au travers du réseau de façon transparente pour l’utilisateur : ce qui implique la mise en place de la synchronisation hors connexion pour accéder sans réseau aux données.

        Cordialement,
        Florian

        Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.