16/12/2024

Active Directory

Active Directory : Créer des profils itinérants pour ses utilisateurs

I. Présentation des profils itinérants

En entreprise, ce n'est pas rare que les utilisateurs changent de bureaux, utilisent l'ordinateur du collègue, changent de service, etc. Bref, les utilisateurs sont amenés à utiliser différentes machines. De ce fait, la disposition sur une machine à l'autre ne sera pas la même (personnalisation de l'espace de travail) et les données ne seront pas les mêmes si l'utilisateur stocke du contenu sur sa machine (ce qui n'est pas recommandé, il vaut mieux centraliser les données sur un serveur).

Par défaut, lorsqu'un utilisateur ouvre une session sur une machine, son profil est stocké dans "C:/Users" ou "C:/Utilisateurs", avec à chaque fois un sous-dossier par utilisateur.

C'est là qu'interviennent les profils itinérants, qui fonctionnent différemment puisque les profils sont stockés sur un serveur. En fait :

- Ouverture de session : S’il s’agit de la première connexion de l’utilisateur sur la machine, les données de profil de l'utilisateur sont téléchargées sur la machine où il s'est connecté (Bureau, paramètres, documents, etc.)

- Fermeture de session : Les fichiers modifiés sont envoyés vers le serveur afin d'y être stockés et que l'utilisateur puisse retrouver son environnement sur une autre machine.

Les profils itinérants améliorent la mobilité des utilisateurs et permettent la centralisation des données de profils utilisateurs. Bien sûr, il requiert la mise en place d'un annuaire Active Directory puisque c'est dans cet annuaire que s'effectue la configuration.

II. Configurer les profils itinérants

La première étape consiste à créer un répertoire que nous allons partager et qui servira à stocker les données des profils. Par exemple, pour ma part je crée répertoire nommé "Profils_itinérants" que je partage sous le même nom.

Dans la configuration du partage, cliquez sur "Autorisations"

profil8

Supprimez "Tout le monde" et préférez à la place "Utilisateurs", un groupe qui englobe vos utilisateurs de l'Active Directory. Au niveau des droits, la lecture et l'écriture vont suffire, comme ceci :

profil9

Validez, la création du partage est désormais terminée. Passons maintenant à la configuration au sein de l'annuaire Active Directory. Il est important de s'assurer également que les "Utilisateurs authentifiés" disposent des autorisations NTFS "Contrôle total" afin de pouvoir s'approprier des objets au sein de leur dossier de profil. Pour modifier cela, effectuer un clic droit sur le répertoire "Profils_itinérants" et éditez l'onglet "Sécurité".

Effectuez un clic droit sur un utilisateur qui doit disposer d'un profil itinérant, cliquez sur "Propriétés". Accédez à l'onglet "Profil" et au niveau du champ "Chemin du profil", indiquez :

\\SRV-AD01.it-connect.fr\Profils_itinérants\%username%

On indique simplement le chemin UNC vers le serveur, suivi du partage et à la fin %username% qui prendra pour valeur le login de l'utilisateur.

Note : Pour être plus efficace, vous pouvez sélectionner plusieurs utilisateurs et indiquer le chemin avec la variable %username%. Ainsi, le chemin s'adaptera à chaque utilisateur.

Lorsque le chemin est renseigné, validez.

profil10

Depuis une machine cliente, connectez-vous avec un compte pour lequel le profil itinérant est configuré. Sur le serveur, dans le répertoire partagé, vous verrez apparaître un dossier de profil pour cet utilisateur :

profil11

Vos utilisateurs stockent désormais leur profil sur votre serveur directement au sein du partage créé précédemment, avec un répertoire par utilisateur. On peut - après être devenu propriétaire du dossier de profil - voir le contenu du profil utilisateur :

Contenu d'un profil itinérant
Contenu d'un profil itinérant

Nous allons maintenant parler GPO (Stratégie de groupe) et voir les quelques paramètres qui concernent les profils.

III. Profils itinérants et GPO

Comme pour toute stratégie de groupe, commencez par ouvrir l'éditeur de stratégie de groupe sur votre contrôleur de domaine (gpedit.msc). Ensuite, éditez la GPO concernée et parcourez-la ainsi :

Configuration utilisateur, Modèles d'administration, Système, Profils utilisateur

Quatre paramètres sont alors disponibles :

  • Connecter le répertoire de base à la racine du partage

Permet de restaurer les définitions des variables d'environnement %HOMESHARE% et %HOMEPATH% sur celles utilisées dans Windows NT 4.0. Si vous ne configurez pas ce paramètre ou que vous le désactivez, le système utilisera les définitions introduites depuis Windows 2000.

  • Spécifier les répertoires réseau à synchroniser seulement au moment de l'ouverture/fermeture de session

Répertoire à synchroniser dans le cadre d'une stratégie de fichiers hors connexion

  • Exclure des répertoires dans les profils itinérants

Permets d'exclure des répertoires des profils itinérants, c'est-à-dire des dossiers qui ne seront pas stockés sur le serveur. Cela peut permettre de ne pas synchroniser des dossiers conséquents que les utilisateurs pourraient avoir sur leurs machines, et qui ne contiennent pas de données importantes.

Sachez que, par défaut, les dossiers Appdata\Local et Appdata\LocalLow ainsi que les sous-dossiers de ces deux dossiers, sont exclus. Cela comprend notamment les répertoires Temp et Temporary Internet Files. L'objectif étant d'alléger le stockage au niveau du serveur et de stocker les fichiers temporaires uniquement sur la machine dont ils proviennent.

  • Limiter la taille du profil

Ce paramètre permet de déterminer une taille maximale pour le profil d'un utilisateur et, comment le système doit se comporter lorsque cette limite est atteinte.

Vous pouvez indiquer une taille en Ko, indiquer si les fichiers du Registre sont comptabilisés dans la taille, mais aussi, indiquer si vous souhaitez ou non avertir l'utilisateur lorsque la taille est dépassée.

Ce paramètre s'applique aussi bien pour un profil local que pour un profil itinérant.

profil12

Vous avez les clés en main pour gérer les profils itinérants pour vos utilisateurs ! Ah oui, avant de se laisser, un mot tout de même sur la redirection de dossier.

IV. Redirection de dossiers

La redirection de dossiers peut être utilisée en plus des profils itinérants. Elle permet de rediriger (stocker) sur le serveur uniquement certains dossiers du profil d'un utilisateur, comme par exemple, le Bureau et les Documents,  sans systématiquement tout rediriger comme c'est le cas avec les profils itinérants. Les avantages :

- Moins d'espace disque utilisé

- Moins de bande passante nécessaire pour charger le profil

- Configurable via les stratégies de groupe (et non par les propriétés du compte comme pour un profil itinérant)

- Couplage possible avec les fichiers hors connexion pour synchroniser uniquement les fichiers modifiés

- Le chemin de la redirection de dossiers est prioritaire sur le chemin du profil itinérant

Il faut savoir que si vous redirigez le Bureau sur un emplacement réseau, l'utilisateur ne rapatriera pas le contenu en local sur la machine, mais accédera aux données de son Bureau directement par le réseau. Pour obtenir les meilleures performances, il faudra coupler l'utilisation des profils itinérants ainsi que de la redirection des dossiers. Un prochain article traitera justement de la configuration de la redirection de dossiers.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

35 commentaires sur “Active Directory : Créer des profils itinérants pour ses utilisateurs

  • Bonjour,

    Intéressant mais j’ai une question:
    Par rapport aux droit appliqués sur le dossier « Profils_itinérants », un utilisateurs peut-il supprimer le dossier à son nom ou de celui d’autres utilisateurs?

    Répondre
    • Bonjour,
      Les permissions sont gérées au niveau de l’onglet sécurité.
      Chaque utilisateur sera propriétaire du répertoire contenant son profil.

      Répondre
  • Bonjour;

    Quelles autorisations doit on donner à l’Administrateur afin qu’il puissent avoir accès aux dossiers profils des utilisateurs?

    Répondre
    • Bonjour,

      Si vous parlez de l’administrateur du domaine, vous devez lui donner au minimum les autorisations de lecture et exécution, afin qu’il puisse parcourir l’arborescence en consultation (sans pouvoir écrire/modifier). Pour quelle(s) raison(s) souhaitez-vous accéder à ces dossiers ?

      Florian

      Répondre
      • Bonjour, même demande. Pour la sauvegarde depuis un agent extérieur, je voudrais qu’un compte ait les droits en lecture sur toutes les arborescences des profils.

        En tant qu’admin du domain, je serais obligé de me rendre propriétaire pour ajouter les droits de lecture d’un compte, et ceci à chaque création d’un nouveau profil. N’y a-t’il pas un moyen plus simple type GPO ?

        Répondre
        • Bonjour Cédric,

          En attribuant les droits aux groupes « Admins du domaine » sur le dossier racine qui stockera tous les profils, les futurs profils créés devraient bénéficier de l’héritage des droits.

          Bonne journée
          Florian

          Répondre
  • Bravo pour ce tuto c’est super bien détaillé! continuez!!!

    Répondre
  • Bonjour Florian, je suis administrateur de réseau informatique, j’aimerai bien correspondre avec vous pour boulot (échanges d’idées et astuces dans l’administration et la sécurité des réseaux informatiques). Merci le travail abattu…

    Répondre
  • Bonjour, super tuto ! A quand le tuto sur la redirection des dossiers ?

    Merci d’avance

    Répondre
    • Bonjour Martin,

      Quand je retravaillerais sur le sujet j’en profiterai pour faire un tutoriel 🙂

      Bonne journée !

      Répondre
      • Bonsoir! Je suis nouveau sur cette page. Je vous félicite pour ce travail combien noble que vous realisez. Ma question est basee sur les profils itinerants. Je l’ai essayé en virtuel et ça a fonctionné, sauf que quand j’ouvre une session avec un meme utilisateur sur un second poste, je ne trouve pas ses donnees deja enregistrees dans le repertoire.

        Répondre
  • Attention il y a une erreur selon moi dans le configuration du partage.

    Il faut que les utilisateurs (ou plutot les Utlisateurs authentifiés) soient en « Controle total » sinon l’appropriation et la création des fichiers dans le répertoire ne va pas bien se passer (la 1e fois oui, mais pas les suivantes).

    Et il serait préférable que les permissions NTFS soient également configurées, notamment pour l’entité « CREATEUR PROPRIETAIRE ».

    Voir les préconisations Microsoft ici :

    Répondre
    • Bonjour Gilles,

      Merci pour ce complément d’infos, effectivement il est nécessaire de mettre le contrôle total en NTFS pour les utilisateurs authentifiés pour qu’ils s’approprient les objets.

      Bonne journée
      Florian

      Répondre
  • Je voulais simplement remercier l’équipe d’IT-connect pour tout ces tutoriels aussi intéressant les uns que les autres.Les bases de l’administration réseaux sont très important et très bien expliqué sur ce site.
    Bonne continuation

    Répondre
  • Merci beaucoup pour ce tutoriel, j’ai une question:
    en cas de l’utilisateur ouvre sa session et modifier des fichiers et répertoire…..etc, et enfin retiré le prise d’alimentation du machine sans fermer la session, es-que les modifications sont sauvegardé ou non ? et merci

    Répondre
  • Bonjour,

    Tout d’abord merci pour ce tuto! 🙂

    Il y a un truc que soit il n’est pas expliqué, soit j’ai pas bien compris.
    Je souhaiterai créer des utilisateurs itinérants, mais je ne veux pas que leur dossiers personnels (Mes vidéos, Mes images, Bureau, etc…) ne soient pas uploadés sur les ordinateurs utilisés pour ne pas qu’ils restent stockés sur plusieurs postes.

    Je travaille dans une mairie, et plusieurs élus ont besoin d’etre en profil itinérant pour effectuer des signatures sur des contrats, factures, etc… Ce qui implique des dossiers/fichiers sensibles qu’on ne veux pas qui traînent de partout.

    Merci d’avance! 🙂

    Répondre
    • Bonjour Julien,

      Avec les profils itinérants il y a une synchronisation entre les données du poste client et du serveur donc pour ne pas laisser de trace ce n’est pas la meilleure solution. Après vous pouvez effectuer différents tests avec les profils itinérants, ce n’est pas long à tester :-). Pourquoi ne pas utiliser un lecteur réseau qui donne accès à un partage sur le serveur directement ? Ainsi, tout serait centralisé et sécurisé.

      Si besoin, n’hésitez pas à utiliser notre forum 😉
      Florian

      Répondre
  • Bonjours Merci Pour vos tutos Vous faites un Travaille vraiment Génial .
    j’ai un petit soucie je m’explique :
    Bon voila quand je crée un Profile itinérants je me log avec , il syntonise les Dossiers avec le serveur mais je veux quand je me délog le dossier de L’utilisateur ne reste pas stocké en Local dans C:\Users

    Répondre
  • Bjr je te remercie pour cette explication et dieu te garde

    Répondre
  • Salut florian, premièrement merci pour votre tuto.mais j eu un problème pour accéder au dossier de la machine client, on me dit j’ai l’autorisation de modifier le dossier. comment j peu faire pour y accéder? merci d’avance.

    Répondre
  • Bonjour,

    Ben déja merci pour vos Tuto, c’est vraiment une aide précieuse pour les admins 🙂

    Juste une question concernant la redirection, j’ai des utilisateurs avec des laptops, si je fais une redirection de leurs bureaux par exemple vers mon serveur de fichiers, et aprés ils se connectent hors le lan (chez eux par exemple), ils auront comme méme leurs bureaux? vu qu’il est stocké sur le server

    Merci d’avance pour la réponse 🙂

    Répondre
  • Bonjour, je sais que ce tutoriel date un peu mais j’aimerai précisé que ceci fonctionne aussi avec le NFS sur Windows Serveur 2008 R2, je dirai même que c’est mieux pour ma part. En tout cas merci j’avais un gros trou de mémoire.

    Répondre
  • Bonjour,
    j’ai une question,en fait j’ai crée des utilisateurs et suivi ce qui a été dit sur le partage,mais lorsque je me connecte pour vérifier ce que j’ai fait,je constate que je peux accéder aux dossiers personnels des autres utilisateurs et donc les autres ont accès au mien.Je n’arrive pas a comprendre ce que je dois faire pour éviter ça et je vous remercie de bien vouloir me renseigner sur ça.

    Répondre
  • bonjour
    merci pour ce super tuto.
    J’ai une question. Si j’ai un compte sur un poste que je veux basculer en itinérant, j’imagine que dès que je mets le chemin du profil, le compte repartira vierge ? Un moyen de basculer le profil local en profil itinérant ?

    Mon objectif principal est de passer d’un RDS à trois mais j’ai pas d’UPD donc je cherche une solution.

    Merci beaucoup pour votre retour.

    Cdt,

    Répondre
  • Bonjour Florian,

    Avez vous travaillez sur un
    Projet Samba4 qui inclurait
    un environnement multisysteme du type Linux Ubuntu 16.04 et Microsoft Windows 7 comme clients d’un samba4 de type ADS ?

    Quels droits et permissions à effectuer sur ces partages
    Ci dessous

    /home/samba/home
    /home/samba/Profiles
    /home/samba/Partage

    Qui sont exportés par un
    Serveur Nfsv4 et donc importes par cet ADS.

    Que contiendrait le fichier
    /etc/samba/smb.conf du serveur samba4 ADS?

    Comment fixe t-on les Acls à
    Partir de RSAT a partir d’une machine de gestion alors que l’onglet sécurité nous dit qu’on n’a pas les accès (accès refusé )contrairement à l’onglet autorisation de partage ou tout est validé?
    Merci
    David

    Répondre
  • bjr moi remarque après avoir configuré le profil utilisateur, la mise à jour de ces fichier n’est pas faite. si l’utilisateur ajoute ou modifie un fichier ou dossier je ne vois rien sur le server. jai tjrs les dossier et/ou le fichier des dossiers initialement. je ne sais pas quoi faire.

    Répondre
  • Bonjour,
    J’aimerais configurer des profils itinérants pour mes utilisateurs, mais j’aimerais auusi que ceux ci-se synchronisent avec leur Google drive.
    est-ce possible?
    Merci

    Répondre
  • bonjour,

    je trouve ce tuto intéressant mais j’ai quelques questions

    la première est que dans les GPO il est possible de mettre le chemin définir le chemin d’accès du profils itinérants, ce chemin servirait a quoi si l’on doit le mettre dans chaque personne créées.

    la seconde est que si on modifie les sécurité d’accès au dossiers des profils, les profils ne marche plus, quel en est la raison ? (ex: si je veux rajouter des raccourcis sur le bureau d’un profils via le serveur / Avant modification je suis en itinérant/itinérant après je passe en itinérant/local, alors que je voudrais que cela reste en itinérant/itinérant)

    en esperant avoir été assez clair dans ma demande

    merci

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.