Windows Server 2008 R2 - Profils itinérants, redirection de dossiers et quotas de disques

Page 1 / 3
  • Publié le : 20 juin 2016 à 21:48
  • Par Lionel Eppe

Dans les locaux informatiques des écoles et des centres de formation notamment, il est important que chaque élève ou stagiaire puisse se connecter avec ses identifiants et travailler sur ses fichiers depuis n'importe quel ordinateur.
Pour que cela soit possible, il faudra mettre en place :

  1. un Active Directory qui permet notamment de centraliser tous les comptes utilisateurs pour pouvoir se connecter avec les mêmes identifiants sur n'importe quel PC lié à votre domaine Active Directory.
  2. les profils itinérants et/ou la redirection de dossiers qui permettent de rendre disponibles les documents de l'utilisateur depuis un partage réseau du serveur. En résumé, l'utilisateur pourra accéder à ses documents uniquement avec ses identifiants, mais depuis n'importe quel ordinateur lié à votre Active Directory.

Configuration utilisée :

  • 1 serveur Windows Server 2008 R2 avec le rôle Active Directory déjà installé
  • 2 ordinateurs clients sous Windows 7 (la version de Windows est importante, car nous utiliserons la fonctionnalité "fichiers hors connexion" de Windows7)
  1. Mise en place des profils itinérants
  2. Mise en place de la redirection de dossiers
  3. Mise en place des quotas de disques
  4. Conclusion

1. Mise en place des profils itinérants

Pour mettre en place le système de profils itinérants, nous devrons :

  1. Prendre certaines précautions pour éviter que les profils itinérants ne posent problème dans le futur.
  2. Créer les utilisateurs qui auront des profils itinérants.
  3. Partager un dossier sur le serveur dans lequel seront stockés les fichiers personnels des utilisateurs itinérants.
  4. Activer et/ou configurer les stratégies de groupe (GPO) liées aux profils itinérants.
  5. Tester que les profils itinérants fonctionnent correctement.

1.1. Précautions à prendre pour l'utilisation de profils itinérants

Etant donné que tous les paramètres de Windows et des programmes utilisés par l'utilisateur seront enregistrés dans son profil itinérant, vous devez vous assurez que chaque PC client aura exactement la même configuration :

  • mêmes programmes et mêmes versions
  • les mêmes mises à jour Windows
  • et pour finir, tout programme ou document devra se trouver au même endroit pour éviter qu'un problème survienne dans le futur.

Dans ce tutoriel, nous stockerons uniquement les paramètres, l'historique des recherches, ... dans le profil itinérant de chaque utilisateur. Pour les documents et les téléchargements des utilisateurs, ils seront accessibles via la redirection de dossiers.

Ceci vous permettra d'avoir une certaine souplesse.
En effet, si certains PC clients possèdent une configuration différente des autres, vous pourrez ignorer le profil itinérant pour ces PC et laissez l'utilisateur accéder à ses documents et ses téléchargements via la redirection de dossiers et/ou un lecteur réseau configuré via une GPO.

1.2. Création des utilisateurs

Pour faciliter la gestion des stratégies de groupes (GPO), nous vous conseillons de créer cette structure à l'aide des unités d'organisation :

  • Utilisateurs itinérants
    • Ordinateurs
    • Utilisateurs

Pour ce faire, faites un clic droit sur votre domaine et cliquez sur "Nouveau -> Unité d'organisation".

Ensuite, déplacez les ordinateurs (qui seront utilisés par les utilisateurs ayant des profils itinérants) dans le dossier : Utilisateurs itinérants -> Ordinateurs.

Le service de domaine Active Directory vous affichera un avertissement en vous indiquant que le déplacement d'objets dans l'Active Directory peut empêcher le bon fonctionnement du système existant.
C'est tout à fait normal, mais dans notre cas, aucune stratégie spécifique n'est actuellement appliquée à ces ordinateurs. Donc, ignorez cet avertissement en cliquant sur Oui.

Maintenant, les ordinateurs se trouvent dans notre nouveau dossier.
Ce qui permettra d'y appliquer des stratégies de sécurité étant appliquées aux ordinateurs et non aux utilisateurs.

Dans notre dossier "Utilisateurs", créez 2 utilisateurs pour tester notamment les sécurités qui seront appliquées sur les dossiers contenant les profils itinérants.

1.3. Création du partage réseau

Pour qu'un utilisateur puisse utiliser un profil itinérant (qui sera donc stocké sur le serveur), il faut que vos utilisateurs puissent y accéder depuis le réseau.

Ensuite, pour des raisons de sécurité, il est conseillé (mais pas obligatoire) de stocker les données utilisateurs sur un autre disque dur qui sera régulièrement sauvegardé au moyen de sauvegardes automatiques par exemple.
De plus, cela facilitera la restauration des données en cas de formatage forcé du serveur.

Par contre, si vous souhaitez utiliser les quotas de disques (que nous verrons à la fin du tutoriel), les données devront être stockées sur une partition dédiée.

Bref, pour info, sachez que lorsque vous ajoutez un disque dur dans un serveur, ce disque dur sera par défaut en "Hors connexion". Pour l'utiliser, il suffit de faire un clic droit -> "En ligne" sur ce statut.

Si vous souhaitez utiliser les profils itinérants + la redirection de dossiers pour allier expérience utilisateur et performances, vous devrez utiliser 2 partitions pour éviter le problème de synchronisation qui aurait pu survenir en utilisant une seule partition.
En effet, si vous stockez tout sur la même partition et que l'utilisateur atteint son quota de disques, le profil itinérant ne pourra plus être synchronisé, car l'utilisateur ne pourra plus stocker de données sur le serveur.
A moins de décocher la case "Refuser de l'espace disque ..." que vous verrez lors de la mise en place des quotas de disques.

Dans notre cas, nous utiliserons un nouveau disque dur avec ces 2 partitions :

  • Users data : cette partition contiendra les dossiers "Mes documents" (ainsi que les images, vidéos, ...) et "Téléchargements" de chaque utilisateur, qui seront accessibles via la redirection de dossiers.
  • Users profiles : cette partition contiendra uniquement les profils itinérants des utilisateurs (excepté les dossiers cités ci-dessus). Ces dossiers auront donc une petite taille et contiendront uniquement les paramètres de Windows, d'Internet Explorer, les personnalisations de l'utilisateur, ...

Notez que les partitions devront utiliser le système de fichiers NTFS pour que vous puissiez utiliser le système de quotas de disques.

Une fois le disque dur partitionné, vos nouvelles partitions s'afficheront.

Dans la partition "Users profiles", créez un nouveau dossier "users-profiles" où Windows Server créera automatiquement les dossiers des profils itinérants de vos utilisateurs.
Ensuite, faites un clic droit sur ce dossier et cliquer sur "Propriétés".

Allez dans l'onglet "Partage" et cliquez sur "Partage avancé" pour pouvoir choisir le nom du dossier partagé.

Cochez la case "Partager ce dossier" et ajoutez un $ à la fin du nom du partage.
Cela aura pour effet de le "cacher" pour les utilisateurs de votre réseau.
En effet, si quelqu'un liste les dossiers partagés sur votre serveur, celui-ci n'apparaitra pas. Ce qui ne veut pas dire qu'il ne pourra pas y rentrer si il connait son nom.

Ensuite, cliquez sur le bouton "Autorisations".

Pour que les profils itinérants puissent être créés et fonctionner correctement, vous devez obligatoirement autoriser le "Contrôle total" pour le groupe "Tout le monde".
Puis, cliquez sur OK.

Cliquez aussi sur OK pour les fenêtres restantes.

Maitenant, un chemin réseau est affiché sur cette fenêtre.
Vous en aurez besoin juste après.

Retournez dans la fenêtre "Utilisateurs et ordinateurs Active Directory", sélectionnez les utilisateurs pour lesquels vous voulez activer les profils itinérants et faites un clic droit -> Propriétés.

Dans l'onglet "Profil", cochez la case "Chemin du profil" et indiquez cette valeur : \\AD-SERVER\users-profiles$\%Username%
La variable "%Username%" correspond au nom de l'utilisateur.
Ensuite, cliquez sur OK.

Note : n'oubliez pas d'adapter ce chemin réseau en fonction de votre propre configuration.

Si vous allez dans les propriétés d'un des utilisateurs que vous aviez sélectionné, vous verrez que Windows a automatiquement remplacé la variable "%Username%" par le nom d'utilisateur de l'utilisateur concerné par la modification.
Cela vous évite de faire la modification utilisateur par utilisateur.

1.4. Stratégies de sécurité pour les profils itinérants

Maintenant que nos utilisateurs utilisent des profils itinérants, nous allons activer et/ou configurer certaines stratégies de sécurité qui permettront de gérer au mieux ces profils utilisateurs.
Pour cela, allez dans le menu démarrer -> Outils d'administration -> Gestion des stratégies de groupe.

En regardant dans la structure "Forêt : [votre domaine] -> Domaines -> [votre domaine]", vous verrez l'unité d'organisation "Utilisateurs itinérants" que nous avions créée précédemment (au point 1.1).
Faites un clic droit sur ce dossier et cliquez sur "Créer un objet GPO dans ce domaine, ...".

Indiquez un nom pour cette stratégie de groupe (GPO).

Puis, faites un clic droit "Modifier" sur cet objet GPO.

Les stratégies de groupe concernant les profils itinérants des utilisateurs se trouvent dans : Configuration ordinateur -> Stratégie -> Modèles d'administration -> Système -> Profil des utilisateurs.
Dans cette section, vous trouverez notamment ces stratégies :

  • Ajouter le groupe de sécurité administrateurs aux profils itinérants utilisateurs
  • Supprimer au redémarrage du système les profils utilisateur plus anciens qu'un nombre de jours spécifiés
  • Supprimer les copies mises en cache des profils itinérants
  • Ne pas ouvrir de session pour les utilisateurs avec des profils temporaires

Par défaut, lorsque Windows crée le profil itinérant de l'utilisateur sur le serveur lors de sa 1ère connexion depuis un PC client, le dossier contenant ce profil n'est accessible que par l'utilisateur concerné.
Les administrateurs du serveur n'y ont donc pas accès.
Pour pallier à ce problème, vous pouvez activer la stratégie "Ajouter le groupe de sécurité administrateurs aux profils itinérants utilisateurs", pour ajouter le groupe "Administrateurs" aux groupes et utilisateurs autorisés à accéder à ce dossier.

Ainsi, cela vous permettra en tant qu'administrateur de gérer les documents de vos utilisateurs depuis le serveur en cas de problème.

Ensuite, vous trouverez aussi la stratégie "Supprimer au redémarrage du système les profils utilisateur plus anciens qu'un nombre de jours spécifiés" qui vous permettra de supprimer automatiquement les copies des profils utilisateurs présents sur les PC clients.
En effet, comme n'importe quel utilisateur (avec un profil itinérant) peut se connecter sur n'importe quel ordinateur relié à votre Active Directory, ces profils prennent de la place sur tous ces PC clients et ils font donc faire un petit nettoyage de temps en temps.
Grâce à cette stratégie, le nettoyage sera automatique.

Personnellement, je vous conseille de mettre minimum 3 jours. Ainsi, cela évite que les profils se suppriment inutilement à cause d'un week-end par exemple.

En environnement de test, il peut être intéressant de supprimer chaque fois la copie du profil itinérant sur les PC clients utilisés lors de la mise en place de ce nouveau système.
Ensuite, en production, il serait préférable de désactiver ou de ne pas configurer cette stratégie pour éviter de saturer la bande passante inutilement.

Vous pouvez aussi activer la stratégie "Ne pas ouvrir de session pour les utilisateurs avec des profils temporaires" pour éviter que vos utilisateurs se connectent avec un profil temporaire (ce qui peut arriver en cas de problème).
A vous de choisir ce que vous préférez : éviter ce cas ou autoriser l'utilisateur à se connecter malgré qu'il y ait un problème avec la récupération de son profil itinérant.

Pour terminer avec les stratégies concernant les profils itinérants, vous en trouverez une dernière dans : Configuration utilisateur -> Stratégies -> Modèles d'administration -> Système -> Profil des utilisateurs.

Dans cette section, vous trouverez la stratégie "Limiter la taille du profil" qui vous permettra de limiter la taille du profil itinérant de l'utilisateur.
Dans notre cas, nous avons indiqué 30 Mo (30 000 Ko), car nous utiliserons la redirection de dossiers pour les documents de l'utilisateur. Ce qui veut dire qu'ils ne seront pas comptés dans la taille du profil utilisateur.

Pour limiter la taille du profil, activez cette stratégie et cochez la case "Effectuer un rappel à l'utilisateur ..." pour que l'utilisateur soit prévenu toutes les x minutes lorsqu'il dépasse la taille autorisée pour son profil.

1.5. Test du profil itinérant

Maintenant que les profils itinérants sont configurés côté serveur, nous allons tester ce système depuis un PC client lié à notre Active Directory.
Dans notre cas, nous allons nous connecter avec l'utilisateur "User1".

Le message "Préparation du Bureau" s'affichera lors de la 1ère connexion de votre utilisateur itinérant.
C'est à ce moment-là que le profil itinérant sera créé par Windows.

Pour l'utilisateur lambda, rien n'a changé. Hormis le fait qu'une petite icône ait apparu en bas à droite de l'écran.
Cette icône est présente uniquement lorsque vous spécifiez une limite de taille pour le profil de l'utilisateur.

En effet, si vous faites un double clic sur cette icône, une fenêtre "Espace de stockage des profils" s'affichera avec la liste des fichiers présents dans votre profil utilisateur.
Le plus gros fichier étant affiché en haut de la liste.

Lorsque l'utilisateur fermera sa session, son profil utilisateur sera copié sur le serveur grâce au partage réseau que nous avions configuré précédemment.

En effet, si vous allez dans le dossier "users-profiles" présent sur votre serveur, vous remarquerez qu'un nouveau dossier avec le nom de votre utilisateur a apparu.
Par défaut, ce dossier sera accessible par l'utilisateur concerné et par les utilisateurs du groupe de sécurité "Administrateurs".
Note : ce dossier a est créé lors de la 1ère ouverture de la session de l'utilisateur, mais reste vide tant que l'utilisateur n'a pas fermé au moins une fois sa session.

Une fois la session fermée, vous retrouverez tous les dossiers et fichiers du profil itinérant de votre utilisateur.
Dont les dossiers :

  • AppData dans lequel sont sauvegardés les différents paramètres utilisateurs
  • Mes documents, mes images, ...

A titre d'information, si votre utilisateur se rapproche de la limite autorisée pour la taille de son profil, l'icône en bas à droite sera remplacée par une icône jaune comme sur l'image ci-dessous.

Et si l'utilisateur dépasse la limite autorisée pour son profil, l'icône s'affichera en bas à droite et le message "Vous avez dépassé l'espace de stockage de votre profil" s'affichera.

Notez que si l'utilisateur ne fait rien pour redescendre en dessous de cette limite et qu'il tente de fermer sa session, le message d'erreur se réaffichera et l'empêchera de fermer sa session.
De plus, si l'utilisateur force la fermeture de sa session malgré cette erreur, son profil ne sera pas synchronisé avec le serveur et Windows le préviendra.