Créer et configurer des Utilisateurs avec profils itinerants dans Active Directory

Mise a jour le 03/02/2021

Cela va permettre à votre utilisateur de conserver ses documents, ses paramètres, et son environnement de travail, quelque soit l’ordinateur sur lequel il ouvre une session. En effet, les profils itinérants vont stocker leurs informations sur un serveur.

Avant de créer des utilisateurs, l’arborescence Active Directory doit être en place :

Voir le guide : Stratégies GPO et arborescence AD UO (Active Directory, Unité d’Organisation)


Etape 1 :

Créer un dossier “Profils” et partager ce dossier en tant que “Profils$” ($ = partage administratif invisible dans le voisinage réseau). Il servira à stocker les données des Profils Utilisateurs.

Droits du partage : tout le monde = contrôle total

Configuration de la Sécurité du dossier sur Serveur 2019 2016 2012R2

Ajout du Groupe “utilisateurs du domaine” en contrôle total

Onglet sécurité, Avancé, Désactiver l’héritage.

Convertir les autorisations héritées en autorisations explicites sur cet objet.

Supprimer les 2 lignes Utilisateurs et Créateur Propriétaire.

Cliquez : Ajouter, Sélectionnez un principal, entrez le nom de l’objet “utilisateurs” puis Vérifier les noms.

Choisir Utilisateurs du domaine, OK. Puis OK a nouveau

Cocher Contrôle total, OK.

Cocher Remplacer toutes les autorisations objets enfants ….. puis Appliquer et OUI.

Configuration de la Sécurité du dossier sur Serveur 2008R2

Ajout du Groupe “utilisateurs du domaine” en contrôle total

Onglet sécurité, Avancé, Modifier les autorisations.

Décocher : Inclure les autorisations héritées du parent, puis Ajouter.

Supprimer les 2 lignes Utilisateurs et Créateur Propriétaire.

Cliquer Ajouter, inscrire utilisateur puis Vérifier les noms.

Choisir Utilisateurs du domaine, OK.

Cocher Contrôle total, OK.

Cocher Remplacer toutes les autorisations objets enfants ….. puis Appliquer et OUI.

Voila, nous venons de créer le partage réseau UNC suivant : \\Dc1\profils$


Etape 2 : Création et Configuration Utilisateurs dans Active Directory

Ajouter un Utilisateur dans votre OU (Unité d’Organisation).

Utilisateur1

Utilisateur2

Décocher tout, car ces fonctions sont gérées par votre GPO (si elle est configurée).

Voir le guide : Stratégies GPO et arborescence AD UO (Active Directory, Unité d’Organisation)

Utilisateur3

Utilisateur4

Afficher les Propriétés du compte utilisateur.

Utilisateur5

Onglet Profil, renseigner le partage réseau UNC \\Dc1\profils$ suivi de la variable %username% qui prendra pour valeur le login de l’utilisateur. Appliquer.

Utilisateur6

Résultat.

Utilisateur7

Vérifier l’onglet : Membre de … (utilisateurs du domaine). Terminer par OK.

Utilisateur8

Vos utilisateurs stockent désormais leur profil sur votre serveur directement au sein du partage créé précédemment, avec un répertoire par utilisateur.

Utilisateur9


Exclure des répertoires dans les profils itinérant

Créez et activez une nouvelle GPOExclure Dossiers Profils” (Gestionnaire de serveur, Outils, Gestion des stratégies de groupe – Configuration utilisateur, Système, Profils utilisateur)

Les Noms des dossiers a exclure doivent être indiqués en anglais et séparés par un point virgule : Documents;Downloads;Pictures (Bureau = Desktop / Images = Pictures / Téléchargements = Downloads)

Exemple : AppData\Roaming\Microsoft\Teams;AppData\Roaming\Microsoft\Windows\Recent;AppData\Roaming\Adobe;AppData\Roaming\Spotify;AppData\Roaming\Zoom;Ubiquiti UniFi

Note : Dans mon exemple, j’ai exclu le dossier de stockage volumineux de Teams dans “AppData\Roaming\Microsoft\Teams”

Résultat : Contenu du fichier “ntuser.ini” dans le dossier du profil itinérant de l’utilisateur “\\Dc1\profils$\%username%”


Redirection de Dossiers contenus dans les Profils Utilisateurs Itinérant

La redirection permet de stocker directement certains dossiers du profil utilisateur, et son contenu, sur un emplacement réseau. Donc, pas de synchronisation du Profil a l’ouverture et fermeture de la Session Utilisateur.

Créer un répertoire “Dossiers” et partager le en tant que “Dossiers$” ($ = partage administratif invisible dans le voisinage réseau). Il servira à stocker la redirection des dossiers des profils utilisateurs.

Configuration du partage et des sécurités : Identique au dossier “Profils” a l’Etape 1

Voila, nous venons de créer le partage réseau UNC suivant : \\Dc1\dossiers$ (Gestionnaire de serveur, Services de fichiers et de stockage, Partages)

Note : Facultatif : “Activer l’énumération basée sur l’accès” : L’énumération basée sur l’accès n’affiche que les fichiers et les dossiers dont un utilisateur possède les autorisations d’accès. Les autres dossiers, dont il n’a pas d’autorisations, seront cachés.

Créez et activez une nouvelle GPO “Redirection Dossiers” (Gestionnaire de serveur, Outils, Gestion des stratégies de groupe)

Ajouter le groupe “Utilisateurs authentifiés” en “Lecture” dans l’onglet “Délégation

Modifiez la GPO pour configurer la redirection de dossiers. Ce paramètre s’applique a l’utilisateur (Configuration utilisateur, Stratégies, Paramètres Windows, Redirection de dossiers)

Clic droit, Propriétés sur le dossier que vous souhaitez rediriger. La redirection de dossiers se configure dossier par dossier.

Sélectionnez “De base – Rediriger les dossiers de tout le monde vers le même emplacement” et “Créer un dossier pour chaque utilisateur sous le chemin d’accès racine

Dans la zone “Chemin d’accès de la racine“, tapez le chemin du partage réseau : \\Dc1\dossiers$

Onglet “Paramètres” : Décochez l’option “Accorder à l’utilisateur des droits exclusifs sur Documents” (Autorise le compte Administrateur a accéder au dossier de l’utilisateur).

Facultatif : Définir les Utilisateurs pour qui la GPO de Redirections de dossiers sera active.

Créer un groupe de sécurité (Redirection-Dossiers) sur le domaine Active Directory, il contiendra les utilisateurs pour lesquels vous souhaitez mettre en place la redirection de dossiers.

Dans la GPO, Filtrage de sécurité, supprimer le groupe “Utilisateurs authentifiés” et ajouter le groupe “Redirection-Dossiers” créé précédemment.


Configuration des Dossiers Partagés aux Utilisateurs

Suivez le guide : Dossier partagé commun aux Utilisateurs d’un Service sur Serveur AD