Bienvenue sur le Laboratoire SUPINFO des technologies Microsoft !
Nous sommes étudiants et travaillons sur des centaines de projets sur les technologies Microsoft.
Nous préparons la migration de ce portail vers les technologies SharePoint 2013.
L'équipe du Laboratoire Microsoft


 


Tous les Articles du Laboratoire Microsoft

Configuration des profils itinérants, de la redirection de dossiers et des quotas
Accueil > Articles > Système
Auteurs 
Mathieu MANSION
EXAKIS
Ingénieur d'études


 Tous les articles de cet auteur

3,1/5

Assez Bien


872973
276/859

1. Les profils itinérants

1.1 Qu'est ce que c'est ?

Il peut arriver qu'une personne utilise plusieurs ordinateurs, avec le même compte d'utilisateur. Lorsqu'il va utilisateur un ordinateur, il pourra avoir un environnement différent de celui présent sur l'autre ordinateur. Dans ce cas, il pourra être intéressant de configurer pour cet utilisateur un profil itinérant. En effet, le fait d'utiliser ce type de compte va permettre à votre utilisateur de conserver ses documents, ses paramètres, et son environnement de travail, quelque soit l'ordinateur sur lequel il ouvre une session. En effet, les profils itinérants vont stocker leurs informations sur un serveur que vous choisissez. Concrètement, vous retrouverez les dossiers suivant sur votre serveur :

Ainsi, avec la présence de ces dossiers, vous pourrez avoir tous vos Favoris Internet Explorer, la listes des derniers documents que vous avez utilisés, tous les modèles que vous avez créer pour la suite Office, les cookies utilisés par Internet Explorer ainsi que les mots de passe utilisés pour les sites web, l'apparence de votre bureau (Arrière plan, menu démarrer classique/normal, raccourcis dans le menu Démarrer, ...), et les paramètres de certaines applications, par exemple Adobe Reader.

Dans une entreprise, un utilisateur peut être amené à s'authentifier sur différentes machines tout en gardant un environnement identique sur chacune des machines. Il peut être intéressant, dans ce cas, d'implémenter des profils itinérants puisque le fait de stocker le contenue d'un profil sur un serveur vous apporte également certains avantages. Vous pourrez notamment effectuer des sauvegardes de ces profils afin d'éviter toute perte de documents, vérifier la présence de virus, mais surtout, vous aurez une gestion centralisée de vos profils utilisateurs. Les profils itinérants prouvent encore une fois leur utilité lorsque vous devez réinstaller une machine. Une fois la machine réinstallée, lors de sa première ouverture de session l'utilisateur va retrouver l'intégralité de son environnement de travail.

1.2 Quelques recommandations

Avant de vous lancer dans la configuration de profil itinérant, il pourrait être intéressant de suivre ces recommandations et avertissements concernant ce type de profil. En effet, pour fonctionner correctement, les profils itinérants ont besoin d'un environnement spécifique. Voyons ensemble certains points important :

  • Installez les mêmes applications sur tous vos ordinateurs: faites en sorte que la version de l'application soit la même sur toutes les machines, que le chemin vers cette application soit le même au niveau de l'arborescence de dossier et au niveau de la lettre du disque dur.

  • Si vos utilisateurs sont susceptible de changer de version de Windows (Windows NT4, 2000 ou XP), faites en sorte que les chemins de profil soit les même sur toutes les machines. En effet, sous Windows NT4, on retrouvera un chemin de profil de type %windir%\Profiles, tandis que sous Windows XP, 2000, on retrouvera un chemin de type %systemdrive%\Documents and Settings. Ce type de location pourrait poser des problèmes si vos utilisateurs change constamment de version de Windows.

  • Vous pouvez également utiliser la redirection de dossier (voir chapitre 2) pour les dossiers susceptibles d'être gros, comme par exemple le dossier Mes Documents ou encore le Bureau, afin de gagner en temps de chargement. En effet, avec la redirection de dossier, le système de synchronisation est différent et se charge beaucoup plus rapidement. Ainsi, si vous redirigez ces dossiers, vos ouvertures de session seront beaucoup plus rapide.

  • N'utilisez pas le système de chiffrage Encrypted File System (EFS) avec vos comptes itinérants. L'utilisation de ce système désactiverait le caractère itinérant du profil.

  • De la même manière, ne stockez pas les profils sur un disque qui utilise la compression NTFS. Ceci n'est qu'une recommandation puisque la compression NTFS ne bloque pas les profils itinérants. Seulement, le contenu est souvent copié et mis à jour sur le serveur, ce qui, dans le cas où la compression est activée, augmenterait le taux de fragmentation des fichiers.

  • Attention aux quotas de disque ! Si vous mettez un quota de disque trop petit pour les utilisateurs, ils ne pourront pas créer leur profil. De plus, lors de la synchronisation, un profil temporaire est créé. Si il manque de la place pour le créer, la synchronisation échouera.

  • Pour éviter les problème de synchronisation lors des ouvertures/fermetures de session, assurez-vous d'avoir désactiver les fichiers hors-connexion. Si ceux-ci ne sont pas désactivés, vous pourriez avoir des problèmes de synchronisation entre le profil et les fichiers hors connexion.

Encore une fois, les différents points ci-dessus ne sont, pour certains, que des recommandations. Vous n'êtes pas obligé de les suivre à la lettre.

1.3 Et la sécurité ?

Comme nous venons de le voir, les profils itinérants stockent les informations sur un serveur. Il va donc falloir tout d'abord créer un dossier partagé, de préférence caché : rajoutez un $ au nom du partage pour le cacher si vous n'utilisez pas ABE (voir plus loin dans cet article). Microsoft recommande de placer ce dossier sur un serveur de fichier sauvegardé régulièrement. Il y a une chose importante à respecter au niveau des permissions de partage, il faut que le groupe Tout le monde est un accès en Contrôle total. Par défaut, Windows Server 2003 ne donne que la permission de Lecture sur un dossier partagé, cette permission ne permet donc pas de créer de dossier, c'est donc une permission insuffisante pour un partage accueillant des profils itinérants. Concernant les permissions NTFS, voici un tableau permettant d'identifier les permissions nécessaire pour le dossier allant héberger les profils :


Compte d'utilisateur : Permission :
Créateur propriétaire Contrôle total sur les dossiers enfants et les fichiers
Administrateur  /
Tout le monde  /
System Contrôle total sur le dossier et les dossiers enfants et les fichiers
Groupe de sécurité / utilisateur voulant écrire Listage du dossier / Lecture, création de dossier sur le dossier en lui même

Dans tous les cas, il est très important de ne pas créer des dossiers destiné à stocker un profil pour un utilisateur à la main. En effet, c'est le système qui se charge de créer ce dossier avec les permissions nécessaire dessus. Si vous le créer à la main, le système détectera le dossier comme déjà créé et vous irez en avant de nombreux problèmes. Le système met en place les permissions suivantes sur le dossier stockant le profil :

Compte d'utilisateur : Permission :
%username% Contrôle total sur le dossier, les dossiers enfants et les fichiers. Il est le propriétaire.
Administrateur  Aucune permission
Tout le monde  Aucune permission
Local System Contrôle total sur le dossier et les dossiers enfants et les fichiers

1.4 Comment le configurer ?

 

Une fois le partage configuré, il va falloir indiquer le chemin où les informations seront stockées aux comptes d'utilisateur. Pour se faire, sur votre contrôleur de domaine, affichez les propriétés de votre compte d'utilisateur à partir de la console Active Directory Utilisateurs et ordinateurs Active Directory. Dans l'onglet Profil, rentrez la chaine \\serveur\nom_partage\%Username% pour l'option Chemin du profil. L'utilisation de la variable %Username% va permettre de créer un dossier portant le nom de l'utilisateur qui va le créer. Une fois cette opération effectuée, il suffira que votre utilisateur se déconnecte et se reconnecte pour que son profil soit directement stocké sur le serveur.

Au final, un compte d'utilisateur itinérant n'est qu'un partage réseau et un chemin réseau pointant vers ce dossier partagé dans le profil d'un utilisateur.

Comme vous avez pu le constater la création de ce type de profil doit directement être faite dans les propriétés des comptes d'utilisateur. Evidement, si vous possédez un grand nombre d'utilisateur dans votre architecture directory, vous devrez vous occuper personnellement de chaque compte, sauf si vous utilisez un script VBS. Vous trouvez dans l'encadré ci-dessous un script en Visual Basic qui va permettre de configurer un profil itinérant pour un utilisateur. Il vous suffira de rajouter une boucle pour l'appliquer à tous les utilisateurs de votre Unité d'organisation.

Set objUser = GetObject _
("LDAP://cn=Nom_Utilisateur,ou=Nom_OU,dc=Nom_domaine,dc=com")

strCurrentProfilePath = objUser.Get("profilePath")
intStringLen = Len(strCurrentProfilePath)
intStringRemains = intStringLen - 11
strRemains = Mid(strCurrentProfilePath, 12, intStringRemains)
strNewProfilePath = "\\Serveur\Partage\%Username%" & strRemains
objUser.Put "profilePath", strNewProfilePath
objUser.SetInfo

Il faut savoir que dans Windows Server 2003, Microsoft a introduit une nouvelle stratégie concernant les comptes d'utilisateur itinérant. Cette stratégie lié à une unité d'organisation contenant des ordinateurs va permettre d'interdire aux utilisateurs possédant un profil itinérant d'ouvrir une session. De cette manière, les utilisateurs devront utiliser un compte créé à partir du profil par défaut sur l'ordinateur.

1.5 Synchronisation

Nous l'avons vu, pour fonctionner, un profil itinérant a besoin d'un partage réseau et d'un chemin réseau pointant vers ce dossier partagé dans le profil d'un utilisateur. Ainsi, lorsque qu'un utilisateur possédant un profil itinérant ouvre une session pour la première fois sur un ordinateur, le système ne crée pas son profil à partir du Default Profil local comme il le ferait par défaut. Le système va en fait télécharger à partir du serveur le profil de l'utilisateur. De même lorsque l'utilisateur ferme sa session, le système va recopier les fichiers sur le serveur.

Le fait de recopier ou de télécharger tout le profil à partir du serveur pourrait être pénalisant pour réseau. En effet, si 500 utilisateurs ouvrent une session avec leurs comptes itinérant en même temps, votre bande passante réseau pourrait être rapidement diminuée. Cette situation pouvait se produire avec Windows 2000, mais pas avec Windows Server 2003 et Windows XP. En effet, Avec les dernières versions de Windows, le profil n'est plus téléchargé ou envoyé sur le serveur, mais synchronisé, un peu à la manière des fichiers hors-connexion. Ainsi, seul les fichiers qui ont été modifiés seront transféré de l'ordinateur vers le serveur. De cette manière les ouvertures/fermetures de session sont beaucoup plus rapide que dans les versions antérieures de Windows.

1.6 Utilisez les GPO !

Encore une fois, les GPO pourraient vous être très utile dans le cas des profils itinérants, et plus précisément dans la gestion de ceux-ci. Avec l'outil GPMC (disponible ici), vous aurez accès à 3 paramètres disponible dans la partie utilisateur et qui concernent les profils :

  • Connecter le répertoire de base à la racine du partage : Cet option va servir à paramétrer des variables d'environnement, plus particulièrement les variable %HOMEDRIVE%, %HOMESHARE% et %HOMEPATH%. En effet, si ce paramètre est activé, ces variables correspondront aux variables disponibles sous Windows NT4. Si il est désactivé, c'est les variables sous Windows 2000 qui seront utilisées.

  • Limiter la taille du profil : C'est un paramètre très utile qui vous permettra d'imposer une taille maximale aux profils de vos utilisateurs. Si la taille maximale, que vous avez défini est atteinte, l'utilisateur recevra un message d'erreur que vous pouvez définir. Vous avez également la possibilité de définir un rappel toutes les X minutes.

  • Exclure des répertoires dans les profils itinérants : Paramètre également important, il va vous permettre de définir une liste de dossier que vous ne voulez pas copier sur le serveur dans le cas de profil itinérant. Vous pourrez par exemple définir des dossiers spéciaux utilisés avec la redirection de dossier.

En plus de ces 3 paramètres, vous pourrez en utilisé d'autres, relatif à la gestion des profils.
Vous pourrez notamment faire attention au mode de traitement par boucle de rappel. Pour information, ce paramètre de stratégie de groupe va forcer l'application des GPO ordinateurs par rapport aux GPO utilisateurs. Ce qui permettrait, par exemple de garder un environnement identique pour tous les utilisateurs, dans tous les cas. Dans les cas ? Pas exactement en fait, le traitement par boucle de rappel vous permet de définir deux options : Remplacer et Fusionner. Selon le paramètre, la stratégie ordinateur va écraser, remplacer les paramètres de la stratégie utilisateur, ou bien faire une fusion des paramètres des stratégies ordinateur et utilisateur mais en prenant en priorité les paramètre ordinateur. Généralement, on utilise les traitements par boucle de rappel sur les ordinateurs public à libre accès.
Pourquoi limiter ce type de traitement ? Simplement parce que certains paramètre de ces stratégies sont directement stockés dans le registre. Dans le cas de profil itinérant, ces paramètre seront donc sauvegardés, et on pourra les retrouver à chaque ouverture de session. Ce type de problème se retrouve surtout avec Windows NT4 et Internet Explorer. En effet, Windows NT4 va conserver ces paramètres tandis que les versions supérieures de Windows vont les supprimer.
Pour information, vous retrouverez ce mode traitement dans les paramètres ordinateurs à l'emplacement suivant : Configuration ordinateur / Modèle d'administration / Système / Stratégie de groupe.

Vous retrouverez également beaucoup de paramètres utiles concernant les profils dans la configuration de l'ordinateur :

Nous ne détaillerons pas tous les paramètres disponibles, mais les plus important :

  • Supprimer les copies mises en cache des profils itinérants : Ce paramètre détermine si le système enregistre ou non une copie du profil itinérant sur le disque dur lors de la fermeture de session.

  • Ajouter le groupe Administrateurs aux profils itinérants utilisateurs : C'est un paramètre assez pratique puisqu'il va rajouter le groupe Administrateurs dans les permissions NTFS du dossier stockant un profil utilisateur itniérant.

  • Délai d'attente pour les connexions lentes pour les profils utilisateur : Paramètre permettant de définir un time out après quoi, la connexion entre le serveur et le client sera définie comme lente. A partir du moment où la connexion est définie comme lente, c'est le système d'exploitation qui va déterminer les choix appropriés concernant le profil.

  • Empêcher la propagation des modifications de profils itinérants vers le serveur : Ce paramètre détermine si les changements effectués par l'utilisateur sont fusionnés avec la copie qui se trouve sur le serveur. Par défaut, lorsqu'un utilisateur itinérant ouvre une session un ordinateur, son profil est copié à partir du serveur. Si il a déjà ouvert une session sur cet ordinateur, les paramètres locaux sont fusionnés avec ceux du serveur et de la même manière, lors de la fermeture de session, les paramètres sont fusionnés. Si cette option est activée, les paramètres ne seront pas fusionné lors la fermeture de session.

  • Autoriser seulement les utilisateurs locaux : Paramètre que nous avons évoqué plus haut. Il permet une ouverture de session uniquement aux utilisateurs locaux.

  • Attendre le chargement du profil itinérant : Demande au système d'attendre que toutes les informations soient récupérées avant d'ouvrir la session, dans tous les cas, même lorsque la connexion est détectée comme lente.

  • Avertir l'utilisateur quand un lien lent est détecté : Ce paramètre affiche un message d'erreur lorsqu'une connexion lente est détectée. A partir de là, l'utilisateur aura le choix d'utiliser une copie locale ou bien d'attendre que le profil soit complètement récupéré.


Sommaire

1. Les profils itinérants
       1.1 Qu'est ce que c'est ?
       1.2 Quelques recommandations
       1.3 Et la sécurité ?
       1.4 Comment le configurer ?
       1.5 Synchronisation
       1.6 Utilisez les GPO !
2. Redirection de dossiers
       2.1 Rediriger des dossier ?
       2.2 Quelques recommandations
       2.3 La redirection de base
       2.4 La redirection avancée
       2.5 Les fichiers hors connexion
2. Les quotas
       3.1 Avec des GPO
       3.2 Directement sur le serveur

Conclusion



En Savoir Plus 
Evaluez cet article 


Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft



Retrouvez ci-dessous les autres sections du Laboratoire Microsoft