19/12/2024

Découverte du partage SYSVOL

Lorsqu’un contrôleur de domaine est installé, de nombreux éléments sont installés et créés sur le serveur, dont le dossier "SYSVOL" qui correspond à un partage du même nom. Dans ce chapitre, nous verrons quelle est l'utilité de "SYSVOL" et quelles sont les données qu'il contient.

I. Qu'est-ce que le SYSVOL ?

Stocké à l’emplacement « C:\Windows\SYSVOL », « SYSVOL » signifie « System Volume ». Il sert à stocker des données spécifiques qui doivent être répliquées entre les contrôleurs de domaine ou accessibles par les ordinateurs clients.

Plus précisément, voici les éléments principaux que nous retrouvons dans le partage "SYSVOL" :

cours-active-directory-25

Les principaux éléments que nous retrouvons dans le partage "SYSVOL" sont :

  • Les scripts de connexion, exécutés à l’ouverture de session des utilisateurs. Ces scripts, souvent écrits en MS-DOS (fichiers batch), permettent d’automatiser des tâches telles que la création de lecteurs réseau sur les machines clientes (par exemple, via la commande "net use")
  • Les stratégies de groupe (GPO), qui sont téléchargées et appliquées par les clients. Elles permettent de définir des configurations de l’environnement de travail des utilisateurs et de gérer les paramètres des ordinateurs.

Si le partage "SYSVOL" est en erreur, cela peut entraîner d'importants problèmes, notamment :

  • L'absence de réplication des GPOs et des scripts de connexion entre les contrôleurs de domaine.
  • Les clients ne peuvent plus récupérer les mises à jour des GPO et des scripts, ce qui peut provoquer des incohérences dans la gestion des configurations utilisateurs et machines.

Attention, certaines personnes utilisent ce partage pour stocker toutes sortes de données : c'est déconseillé ! Non seulement, car le partage "SYSVOL" n’est pas fait pour ça, mais aussi, car les processus de réplication seront plus longs (plus de données à répliquer). Utilisez ce partage pour stocker les scripts et autres fichiers de configuration utiles au service informatique. Ne stockez pas dans ce répertoire les données des utilisateurs.

II. La structure de SYSVOL

Le répertoire « C:\Windows\SYSVOL\ » est composé de plusieurs sous-dossiers :

  • domain : ce répertoire contient toutes les données à jour (GPO et scripts), réparties en deux sous-dossiers : « Policies » et « scripts ».
  • scripts : ce répertoire est stocké sous « domain » et contient les différents scripts, notamment les scripts de connexion.
  • Policies : ce répertoire est stocké sous « domain » et stocke toutes les GPOs du domaine, que l’on crée au sein de la console « Gestion des stratégies de groupe ». Un sous-dossier par GPO est créé où le nom du dossier correspond au GUID de l’objet GPO.
Répertoire "Policies" stocké dans SYSVOL
Répertoire "Policies" stocké dans SYSVOL
  • staging : ce répertoire est utilisé pour créer une file d’attente (ou "queue") des données en attente de réplication à destination des autres contrôleurs de domaine. Les fichiers passent par ce répertoire avant d'être distribués aux autres contrôleurs via le processus de réplication DFSR.

III. Réplication de SYSVOL

Le dossier SYSVOL est répliqué entre les différents contrôleurs de domaine, pour que le contenu soit identique, et que les clients bénéficient tous des mêmes données (à jour).

Sur les anciennes versions de Windows Server, notamment "Windows Server 2000" et "Windows Server 2003", le mécanisme "FRS" (File Replication Service) était utilisé pour la réplication. Depuis "Windows Server 2008", le "FRS" est mis de côté pour laisser la place à "DFSR" (Distributed File System Replication), qui est plus fiable et plus performant.

La migration de "FRS" vers "DFSR" est une étape importante pour les environnements utilisant encore d'anciennes versions de Windows Server. La méthode DFSR offre une meilleure gestion des conflits et optimise l’utilisation de la bande passante réseau pour la réplication. Pour en savoir plus :

IV. Les permissions du partage SYSVOL

Il est important de mentionner que les permissions sur "SYSVOL" sont importantes pour son bon fonctionnement. Par défaut, ce partage est configuré avec des permissions qui permettent aux ordinateurs clients et aux utilisateurs de lire son contenu, par l'intermédiaire d'une permission attribuée au groupe "Utilisateurs authentifiés".

Une mauvaise configuration des permissions pourrait entraîner des problèmes d'accès aux GPOs et aux scripts, ce qui peut affecter l'application des stratégies et l'exécution des scripts. Il est recommandé de ne pas modifier ces permissions.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail