Configurer des profils itinérants dans un environnement Active Directory

Présentation

Dans ce tutoriel, je vais vous expliquer comment mettre en place des profils itinérants pour vos utilisateurs dans un environnement Active Directory.

Quand j’ai commencé à travailler (il y a déjà quelques années), les profils itinérant étaient à la « mode ».

Les profils itinérants stockent les données de l’utilisateur (profil) (C:\Users\<USERNAME>) dans un dossier partagé qui se trouve sur un serveur. Ce qui permet à l’utilisateur de retrouver son environnement quand celui-ci change d’ordinateur, ce qui est assez pratique pour les personnes qui changent souvent de poste de travail ou lors du renouvellement de leur matériel, cela permet de récupérer toutes les données et aussi le paramétrage des applications.

Comme je le disais au dessus, il y a quelques années les profils itinérants était à la mode pour plusieurs raisons :

• Les ordinateurs n’était pas forcement attribué à une personne, les utilisateurs changeaient régulièrement d’ordinateur en fonction des disponibilités
• Sauvegardes des éléments de profils comme les favoris Internet, mot de passe … aujourd’hui avec les services clouds ceci n’est pas forcement d’actualité
• Les profils étaient de taille raisonnable de quelques centaines de Mo à moins 5Go.
• ….

Aujourd’hui, il existe d’autres solutions que j’aborderai en conclusion de ce tutoriel.

Fonctionnement des profils itinérants

Contrairement à la redirection de dossier utilisateur où les accès se font depuis le serveur, le profil itinérant est copié localement sur l’ordinateur.

Les modifications sont synchronisés lors de l’ouverture et fermeture de la session de l’utilisateur sur l’ordinateur.

Il existe deux types de profils itinérants :

• Les profils utilisateurs « classique », ce que l’on retrouve sur les ordinateurs que l’on va voir dans ce tutoriel.
• Les profils utilisateurs de Bureau à distance, ils sont principalement utilisés dans les environnements de Bureau à distance, depuis Windows Server 2012R2, ils sont généralement remplacés UPD (User Profile Disk).

Il faut donc prendre en compte, que la durée d’ouverture et fermeture de session sera plus longue à cause de la synchronisation.

Considération à prendre en compte

La principale considération à prendre en compte et l’espace disque occupé par les profils itinérants qui peuvent vite faire 10 Go voir beaucoup plus, notamment si les utilisateurs stockent leur archive Outlook dans leur dossier utilisateur.

Pour une organisation de 100 utilisateurs avec des profils à 10 Go, cela fait déjà 1To d’espace disque occupé sur un serveur, il faut ensuite prendre en compte les sauvegardes.

Avec un profil de cette taille, le temps d’ouverture et fermeture de session sera considérablement augmenté.

Il faut aussi prendre en compte le type d’ordinateur, en entreprise on trouve des plus en plus d’ordinateur portable et que les utilisateurs ont tendances à les mettre en veille en fermant l’écran, de se fait la synchronisation ne se fait pas.

Pour en finir avec les points négatifs, je vais revenir sur la messagerie, qui peut poser des problèmes notamment dans le cas d’utilisation du client Outlook. On va commencer avec le fichier de cache Outlook (ost), quand le cache est activé, Outlook créé un fichier OST de synchronisation et de consultation hors ligne, ce fichier peut faire plusieurs Gigaoctet, ce fichier sera synchronisé systématique en entier. Dans le cas de profil itinérant, il faut éviter d’utiliser la mise en cache d’Outlook, pour avoir à synchroniser le fichier qui sera en plus sauvegardé. L’autre point problématique avec Outlook, c’est les archives de courrier (PST) qui la aussi peuvent vite faire plusieurs Giga et là aussi ce fichier sera synchronisé à chaque fois. Pour les archive Outlook, je n’ai pas réellement de solution, si ce n’est que d’augmenter le quota des boites aux lettres, car de toute façon, si le fichier PST se trouve sur un serveur de fichiers, il y a de grande chance que cela soit sauvegardé, donc autant que cela se fasse par le biais d’Exchange.

Préparation de l’environnement pour les profils itinérants

Pour mettre en place les profils itinérants, vous aurez besoin en premier lieu, d’un serveur avec un dossier partagé pour le stockage des profils.

Pour bien faire, il faut aussi avec un serveur avec le rôle DFS (Distributed File System) qui va nous permettre de présenter le partage dédié au profil en passant par la racine du domaine sous la forme \\domain-ad-name\xxxx\yyyy plutôt que \\server\yyyy.

Cette considération est à prendre en compte pour le futur, le jour où vous devrez migrer le serveur qui stocke les profils, il suffit de modifier la cible dans l’espace de nom DFS qui est plus simple que d’aller modifier les stratégies de groupe ou les objets utilisateurs dans l’Active Directory.

Choisir le mode d’application des profils itinérants, il existe deux solutions :

• Par stratégie de groupe au niveau de la configuration ordinateur, ce qui implique que l’ordinateur où se connecte l’utilisateur soit configuré pour appliquer un profil itinérant, dans le cas contraire, il aura un profil local.
• Dans les propriétés de l’objet Utilisateur, dans ce cas, le profil itinérant sera appliqué systématiquement (sauf cas particulier d’exclusion par GPO).

Créer les groupes Active Directory

Pour la mise en place des profils itinérants, je vais utiliser deux groupes Active Directory :

• GL_ROAMING_PROFIL_COMPUTERS : qui va contenir les ordinateurs où les utilisateurs auront profils itinérants, ce groupe est facultatif si vous décidez d’appliquer les profils itinérants dans l’objet Utilisateur.
• GL_ROAMING_PROFIL_USERS : il va contenir les utilisateurs qui auront des profils itinérants, il faut aussi être utilisé pour appliquer des droits NTFS, si vous passez par l’application des profils par l’objet utilisateur directement, il faut penser à les mettre membre du groupe, si cela s’applique à tout le monde, il est possible de mettre le groupe Utilisateurs du domaine.

Configuration du dossiers et du partage pour le stockage des profils itinérants

Cette partie est importante, car elle implique de mettre les bonnes autorisations pour avoir un bon fonctionnement.

Ici, je vais créer un dossier spécifique dans le lecteur D: de mon serveur de fichiers.

Dans le lecteur de votre choix, créer un dossier, pour moi ça sera Profils.

Ouvrir les Propriétés du dossiers, aller sur l’onglet Partage 1 et cliquer sur le bouton Partage avancé 2.

Cocher la case Partager ce dossier 1, nommer le partage 2 puis cliquer sur le bouton Autorisations 3.

Le $ à la fin du nom de partage permet simplement de masque celui-ci dans l’explorateur Windows, cela n’est en aucun cas une solution de sécurité, seul les droits SMB et NTFS sécuriseront le dossier et ce qu’il contient.

Si vous souhaitez masquer de façon efficace des dossiers, il est préférable d’utiliser l’Enumération Base sur l’Accès.

Par défaut, des autorisations sont accordés à Tout le monde, sélectionner le groupe 1 et cliquer sur Supprimer 2.

Il n’y a plus d’autorisation de partage, cliquer sur le bouton Ajouter 1.

Sélectionner Utilisateurs authentifiés 1 pour l’ajouter au partage, cliquer OK 2.

Ajouter l’autorisation Modifier 1 puis cliquer sur Appliquer 2 et OK 3.

Faire de même avec la fenêtre de partage avancé, cliquer sur Appliquer 1 et OK 2 pour la fermer.

Le partage est prêt, on va maintenant passer au droits NTFS sur le dossier Profils.

Aller sur l’onglet Sécurité 1 et cliquer sur le bouton Avancé 2.

On va commencer par désactiver l’héritage pour ensuite configurer les bonnes autorisations NTFS. Cliquer sur le bouton Désactiver l’héritage 1.

Pour éviter d’avoir à refaire toutes les autorisations, on va conserver les existantes et supprimer celle-ci qui sont en trop. Cliquer sur Convertir les autorisations héritées en autorisations explicites sur cet objets 1.

Maintenant, on va supprimer les autorisations Utilisateurs qui donne accès en lecture à tous les utilisateurs du domaine. Pour chaque autorisation, sélectionner la ligne Utilisateur 1 et cliquer sur Supprimer 2. (Il faut le faire ligne par ligne)

Les autorisations non nécessaires sont supprimés, on va maintenant configurer les droits pour le groupe AD GL_ROAMING_PROFIL_USERS afin que les membres puissent créer un sous-dossier dédié à l’utilisateur. Cliquer sur le bouton Ajouter 1.

Cliquer sur Sélectionnez un principal 1.

Sélectionner le groupe AD qui va contenir les utilisateurs avec un profil itinérant 1 et cliquer sur OK 2.

Le groupe est sélectionné, dans le champ s’applique à, sélectionner Ce dossier seulement 1 puis cliquer sur Afficher les autorisations avancées 2.

Dans les autorisations sélectionner : Liste du dossier / lecture de données 1 et Création de dossier / ajout de données 2. Cliquer sur OK 3 pour valider.

Les autorisations NTFS sont ajoutées, cliquer sur Appliquer 1 et OK 2 pour les enregistrer.

Fermer la fenêtre de Propriétés du dossier Profils.

Le dossier est prêt ainsi que le partage.

Création de l’espace de nom DFS

Cette partie est en théorie facultative, mais comme vous avez à cœur de « bien faire », je vais vous montrer cette partie.

Depuis la console DFS Management, cliquer sur Nouvel espace de noms 1.

Indiquer le serveur 1 qui hébergera l’espace de nom et cliquer sur Suivant 2.

Généralement le serveur est celui où le rôle DFS est installé.

Nommer l’espace de nom 1 et cliquer sur Suivant 2.

On laisse sélectionner Espace de nom de domaine, cliquer sur Suivant 1.

Un résumé des paramètres de l’espace de nom s’affiche, cliquer sur le bouton Créer 1.

L’espace de nom est créé, cliquer sur Fermer 1 pour quitter l’assistant.

Maintenant, on va ajouter un dossier à notre espace de nom qui va pointer sur le partage des profils.

Sélectionner l’espace de nom 1 et cliquer sur Nouveau dossier 2 qui se trouve dans le panneau Actions.

Nommer le dossier 1 et cliquer sur Ajouter 2.

Entrer le chemin UNC 1 du partage qui va contenir les profils et cliquer sur OK 2.

Le dossier est ajouté, cliquer sur OK 1 pour ajouter le dossier à l’espace de nom.

Le dossier est ajouté.

Si vous le souhaitez tester l’accès au partage : \\domain-name\name-space\folder.

GPO : configuration des droits de sécurité Administrateurs

Afin de facilité, l’administration des profils itinérants, nous allons créer une GPO qui ajoute des droits NTFS pour le groupe Administrateurs.

Par défaut, lors de la création du dossier de l’utilisateur, des droits exclusifs sont créés, ce qui empêche même les administrateurs d’y accéder, ce qui peut être gênant en cas de support.

Créer une GPO dans le conteneur Objets de stratégie de groupe et nommer là (C_ROAMING_PROFILE_CONFIG_ADM). Une fois créée, faire un clic droit et cliquer sur Modifier.

Dans l’éditeur de gestion de stratégie de groupe aller à l’emplacement suivant : Configuration ordinateur / Stratégies / Modèles d’administration / Système / Profils utilisateur.

Ouvrir le paramètre Ajouter le groupe de sécurité Administrateur aux profils itinérants 1.

Activer 1 et le paramètres et cliquer les boutons Appliquer 2 et OK 3.

Fermer l’éditeur puis lier la stratégie de groupe de façon à ce qu’elle s’applique aux ordinateurs qui vont être utilisés par les utilisateurs qui auront un profils itinérants.

GPO : appliquer une limite de taille aux profils itinérants (quota)

Cette partie est facultative, elle explique juste comment appliquer une limitation de taille au profil.

Créer une GPO dans le conteneur Objets de stratégie de groupe et nommer là (U_ROAMING_PROFILE_CONFIG). Une fois créée, faire un clic droit et cliquer sur Modifier.

Aller à l’emplacement suivant : Configuration utilisateur / Stratégies / Modèles d’administration / Système / Profils utilisateur.

Ouvrir le paramètre Limiter la taille du profil 1.

Activer le paramètre 1, configurer la limite de taille en Ko 2 et cocher la case Avertir l’utilisateur quand l’espace de stockage pour le profil est dépassé 3, si nécessaire modifier le message et la fréquence, cliquer ensuite sur Appliquer 4 et OK 5.

Fermer l’éditeur.

Dans la partie filtrage de sécurité, supprimer et Utilisateurs authentifiés et ajouter le groupe groupe utilisateurs qui contient les utilisateurs qui auront un profil itinérant, dans l’onglet délégation, ajouter le droit de lecture à l’objet Utilisateurs authentifiés.

Lier la stratégie de groupe de façon qu’elle soit appliqué aux utilisateurs avec un profil itinérant.

Quand un utilisateur atteint la limite de taille, le profil n’est pas synchronisé.

On aurait aussi pu appliquer un quota avec FSRM.

Nous en avons finir avec la préparation de l’environnement, qui est en faite la plus grande partie de ce tutoriel, nous allons maintenant voir comme configurer les profils itinérants pour qu’ils soient appliqués aux utilisateurs.

Configurer l’application des profils itinérants aux utilisateurs

Comme évoquer au début, il y a deux façon d’appliquer un profil itinérant :

• Depuis l’objet utilisateur qui est la façon la plus courante, de cette manière l’utilisateur aura un profil itinérant sur tous les ordinateurs.
• Depuis une stratégie de groupe qui utilise des paramètres ordinateurs, ce qui fait que les utilisateurs auront un profil itinérant quand ils se connecteront sur un ordinateur où la stratégie s’applique.

Dans les deux cas, si vous avez suivi le tutoriel, il faut ajouter les utilisateurs dans le groupe GL_ROAMING_PROFIL_USERS afin qu’il est les autorisations pour écrire sur le partage.

Ici j’ai ajouté l’utilisateur Thor Asgard dans le groupe.

Si l’utilisateur n’a pas les droits d’écriture sur le partage, il aura juste un profil local car celui-ci ne pourra pas être synchronisé.

Configuration du profil itinérant par l’objet Utilisateur

Ouvrir les propriétés de l’utilisateur et aller sur l’onglet Profil 1. Dans le champ Chemin du profil, indiquer le chemin UNC du partage avec la variable %USERNAME% à la fin 2 (\\UNC-PATH\Profils\%USERNAME%). Cliquer ensuite sur Appliquer 3 et OK 4.

C’est tout !

Configuration du profils itinérant par stratégie de groupe

Si vous limitez l’application de la stratégie de groupe (GPO) à un groupe, penser à ajouter les ordinateurs dans le groupe dédiés.

Créer une GPO dans le conteneur Objets de stratégie de groupe et nommer là (C_ROAMING_PROFILE_ENABLE). Une fois créée, faire un clic droit et cliquer sur Modifier.

Dans l’éditeur de gestion de stratégie de groupe aller à l’emplacement suivant : Configuration ordinateur / Stratégies / Modèles d’administration / Système / Profils utilisateur.

Ouvrir le paramètre Définir un chemin d’accès de profil itinérant pour tous les utilisateurs ouvrant une session sur cet ordinateur 1.

Activer le paramètre 1, indiquer le chemin UNC 2 pour le stockage du profil (\\UNC-PATH\Profils\%USERNAME%) et cliquer sur Appliquer3 et OK 4.

Fermer l’éditeur, si nécessaire modifier le filtrage de sécurité pour limiter l’application à un groupe en ajoutant la délégation pour l’objet Utilisateurs authentifiés.

Lier la stratégie pour qu’elle soit appliqué aux ordinateurs qui auront des utilisateurs avec des profils itinérants.

Tester le profil itinérant

Sur un ordinateur j’ouvre la session de Thor.

En regardant sur le serveur, on peut voir que le dossier du profil de Thor a été créé.

Derrière le login se trouve la version (.Vx) qui va correspondent à la version de Windows.

Vous trouverez ici la correspondance des versions.

Si vous regarder dans le dossier celui-ci est pour le moment vide.

Fermer la session de l’utilisateur et vérifier que le profil est synchronisé.

Visualiser la taille de profil itinérant

Si vous avez activer une limite de taille sur le profil itinérant, il est possible de voir la taille.

Dans la zone de notification, cliquer sur l’icone 1.

Une fenêtre s’ouvre avec avec les informations sur l’occupation de l’espace disque du profil.

Conclusion

Dans ce tutoriel, nous avons vu comment mettre en place des profils itinérants.

En complément de ce tutoriel, je vous invite à lire la documentation officiel Microsoft : Folder Redirection, Offline Files, and Roaming User Profiles overview.

Dans les paramètres de stratégies de groupe, il reste des éléments qui n’ont pas été abordé, je vous laisse le soin de les découvrir et de les configurer si nécessaire.

Alternative au profil itinérant

Au début de ce tutoriel, je vous ai dressé une liste d’inconvénient aux profils itinérants, si vous avez un besoin de stocker / sauvegarder des données liées aux utilisateurs , il existe de nombreuses alternatives qui peuvent répondre à vos besoins.

En voici quelques une :

• Utiliser la redirection de dossier utilisateur qui est plus granulaire que le profil et qui présente l’avantage pour les ordinateurs fixes d’avoir la possibilité de désactiver la synchronisation et de travailler en toute transparence directement sur le dossier partagé.
• Le dossier de travail qui est une fonctionnalité de Windows Server, qui permet de mettre en place un dossier synchronisé avec un serveur en HTTP/HTTPS. L’avantage de cette solution est la synchronisation à travers Internet ce qui est intéressant avec le nomadisme.
• Utilisation d’un dossier personnel accessible sous la forme de lecteur réseau, configurer directement dans l’objet Utilisateur dans l’onglet Profil
• Mise en place d’un solution de type Drive comme Nextcloud, Onedrive …
• …

Quelque soit la solution utilisée, je vous déconseille le stockage d’archive PST trop volumineuse qui ne posera des problèmes de synchronisation.