 Configuration des profils itinérants, de la redirection de dossiers et des quotas
Accueil > Articles > Système
|
|
Auteurs
|
|
 |
|
|
205342
276/859
|
1. Les profils itinérants
Il peut arriver qu'une personne utilise plusieurs
ordinateurs, avec le même compte d'utilisateur. Lorsqu'il va utilisateur un
ordinateur, il pourra avoir un environnement différent de celui présent sur
l'autre ordinateur. Dans ce cas, il pourra être intéressant de configurer pour
cet utilisateur un profil itinérant. En effet, le fait d'utiliser ce type de
compte va permettre à votre utilisateur de conserver ses documents, ses
paramètres, et son environnement de travail, quelque soit l'ordinateur sur lequel il
ouvre une session. En effet, les profils itinérants vont
stocker leurs informations sur un serveur que vous choisissez. Concrètement,
vous retrouverez les dossiers suivant sur votre serveur :
Ainsi, avec la présence de ces dossiers, vous pourrez avoir tous vos Favoris
Internet Explorer, la listes des derniers documents que vous avez
utilisés, tous les modèles que vous avez créer pour la suite Office,
les cookies utilisés par Internet Explorer ainsi que les mots de passe
utilisés pour les sites web, l'apparence de votre bureau (Arrière
plan, menu démarrer classique/normal, raccourcis dans le menu
Démarrer, ...), et les paramètres de certaines applications, par
exemple Adobe Reader.
Dans une entreprise, un utilisateur peut être amené à
s'authentifier sur différentes machines tout en gardant un environnement
identique sur chacune des machines. Il peut être intéressant, dans ce cas, d'implémenter des profils itinérants
puisque le fait de stocker le contenue d'un profil sur un serveur vous apporte
également certains avantages. Vous pourrez notamment effectuer des sauvegardes
de ces profils afin d'éviter toute perte de documents, vérifier la présence de
virus, mais surtout, vous aurez une gestion centralisée de vos
profils utilisateurs. Les profils itinérants prouvent encore une fois leur
utilité lorsque vous devez réinstaller une machine. Une fois la machine
réinstallée, lors de sa première ouverture de session l'utilisateur va retrouver
l'intégralité de son environnement de travail.
Avant de vous lancer dans la configuration de profil
itinérant, il pourrait être intéressant de suivre ces recommandations et
avertissements concernant ce type de profil. En effet, pour fonctionner
correctement, les profils itinérants ont besoin d'un environnement spécifique.
Voyons ensemble certains points important :
-
Installez les mêmes applications sur tous
vos ordinateurs: faites en sorte que la version de l'application soit
la même sur toutes les machines, que le chemin vers cette application soit
le même au niveau de l'arborescence de dossier et au niveau de la lettre du
disque dur.
-
Si vos utilisateurs sont susceptible de changer de version
de Windows (Windows NT4, 2000 ou XP), faites en sorte que les chemins de
profil soit les même sur toutes les machines. En effet, sous Windows NT4, on
retrouvera un chemin de profil de type %windir%\Profiles, tandis que sous
Windows XP, 2000, on retrouvera un chemin de type %systemdrive%\Documents and
Settings. Ce type de location pourrait poser des problèmes si vos
utilisateurs change constamment de version de Windows.
-
Vous pouvez également utiliser la redirection de dossier
(voir chapitre 2) pour les dossiers susceptibles
d'être gros, comme par exemple le dossier Mes Documents ou encore le
Bureau, afin de gagner
en temps de chargement. En effet, avec la redirection de dossier, le système de
synchronisation est différent et se charge beaucoup plus rapidement. Ainsi, si
vous redirigez ces dossiers, vos ouvertures de session seront beaucoup plus
rapide.
-
N'utilisez pas le système de chiffrage Encrypted
File System (EFS) avec vos comptes itinérants. L'utilisation de ce système
désactiverait le caractère itinérant du profil.
-
De la même manière, ne stockez pas les profils sur un disque
qui utilise la compression NTFS. Ceci n'est qu'une recommandation
puisque la compression NTFS ne bloque pas les profils itinérants. Seulement, le
contenu est souvent copié et mis à jour sur le serveur, ce qui, dans le cas où
la compression est activée, augmenterait le taux de fragmentation des
fichiers.
-
Attention aux quotas de disque ! Si vous mettez un
quota de disque trop petit pour les utilisateurs, ils ne pourront pas créer leur
profil. De plus, lors de la synchronisation, un profil temporaire est créé.
Si il manque de la place pour le créer, la synchronisation échouera.
-
Pour éviter les problème de synchronisation lors des
ouvertures/fermetures de session, assurez-vous d'avoir désactiver les fichiers
hors-connexion. Si ceux-ci ne sont pas désactivés, vous pourriez avoir des
problèmes de synchronisation entre le profil et les fichiers hors connexion.
Encore une fois, les différents points ci-dessus ne sont,
pour certains, que des recommandations. Vous n'êtes pas obligé de les suivre à
la lettre.
|
Comme nous venons de le voir, les profils itinérants stockent les
informations sur un serveur. Il va donc falloir tout d'abord créer un
dossier partagé, de préférence caché : rajoutez un $ au nom du
partage pour le cacher si vous n'utilisez pas
ABE (voir plus loin dans cet article). Microsoft recommande de
placer ce dossier sur un serveur de fichier sauvegardé régulièrement. Il
y a une chose importante à respecter au niveau des permissions de
partage, il faut que le groupe Tout le monde est un accès en
Contrôle total. Par défaut, Windows Server 2003 ne
donne que la permission de Lecture sur un dossier partagé,
cette permission ne permet donc pas de créer de dossier, c'est donc une
permission insuffisante pour un partage accueillant des profils
itinérants. Concernant les permissions NTFS, voici un tableau permettant
d'identifier les permissions nécessaire pour le dossier allant héberger
les profils :
| Compte d'utilisateur : |
Permission : |
| Créateur propriétaire |
Contrôle total sur les dossiers
enfants et les fichiers |
| Administrateur |
/ |
| Tout le monde |
/ |
| System |
Contrôle total sur le dossier et les
dossiers enfants et les fichiers |
| Groupe de sécurité / utilisateur
voulant écrire |
Listage du dossier / Lecture, création
de dossier sur le dossier en lui même |
|
 |
Dans tous les cas, il est très important de ne pas créer des dossiers destiné
à stocker un profil pour un utilisateur à la main. En effet, c'est le système
qui se charge de créer ce dossier avec les permissions nécessaire dessus. Si
vous le créer à la main, le système détectera le dossier comme déjà créé et vous
irez en avant de nombreux problèmes. Le système met en place les permissions
suivantes sur le dossier stockant le profil :
| Compte d'utilisateur : |
Permission : |
| %username% |
Contrôle total sur le dossier, les dossiers
enfants et les fichiers. Il est le propriétaire. |
| Administrateur |
Aucune permission |
| Tout le monde |
Aucune permission |
| Local System |
Contrôle total sur le dossier et les dossiers
enfants et les fichiers |
Une fois le partage configuré, il va falloir indiquer le
chemin où les informations seront stockées aux comptes d'utilisateur. Pour se
faire, sur votre contrôleur de domaine, affichez les propriétés de votre
compte d'utilisateur à partir de la console Active Directory Utilisateurs et
ordinateurs Active Directory. Dans l'onglet Profil, rentrez la chaine
\\serveur\nom_partage\%Username% pour l'option Chemin du profil.
L'utilisation de la variable %Username% va permettre de créer un dossier
portant le nom de l'utilisateur qui va le créer. Une fois cette opération
effectuée, il suffira que votre utilisateur se déconnecte et se reconnecte pour
que son profil soit directement stocké sur le serveur.
Au final, un compte d'utilisateur itinérant n'est qu'un partage
réseau et un chemin réseau pointant vers ce dossier partagé dans le profil d'un
utilisateur.
Comme vous avez pu le constater la création de ce type de
profil doit directement être faite dans les propriétés des comptes
d'utilisateur. Evidement, si vous possédez un grand nombre d'utilisateur dans
votre architecture directory, vous devrez vous occuper personnellement de
chaque compte, sauf si vous utilisez un script VBS. Vous trouvez dans
l'encadré ci-dessous un script en Visual Basic qui va permettre de
configurer un profil itinérant pour un utilisateur. Il vous suffira de rajouter
une boucle pour l'appliquer à tous les utilisateurs de votre Unité
d'organisation.
|
Set objUser = GetObject _
("LDAP://cn=Nom_Utilisateur,ou=Nom_OU,dc=Nom_domaine,dc=com")
strCurrentProfilePath = objUser.Get("profilePath")
intStringLen = Len(strCurrentProfilePath)
intStringRemains = intStringLen - 11
strRemains = Mid(strCurrentProfilePath, 12, intStringRemains)
strNewProfilePath = "\\Serveur\Partage\%Username%" & strRemains
objUser.Put "profilePath", strNewProfilePath
objUser.SetInfo
|
Il faut savoir que dans Windows Server 2003, Microsoft a
introduit une nouvelle stratégie concernant les comptes d'utilisateur itinérant.
Cette stratégie lié à une unité d'organisation contenant des ordinateurs
va permettre d'interdire aux utilisateurs possédant un profil itinérant
d'ouvrir une session. De cette manière, les utilisateurs devront utiliser
un compte créé à partir du profil par défaut sur l'ordinateur.
Nous l'avons vu, pour fonctionner, un profil itinérant a
besoin d'un partage
réseau et d'un chemin réseau pointant vers ce dossier partagé dans le profil d'un
utilisateur. Ainsi, lorsque qu'un utilisateur possédant un profil itinérant
ouvre une session pour la première fois sur un ordinateur, le système ne crée
pas son profil à partir du Default Profil local comme il le ferait par
défaut. Le système va en fait télécharger à partir du serveur le profil de
l'utilisateur. De même lorsque l'utilisateur ferme sa session, le système va
recopier les fichiers sur le serveur.
Le fait de recopier ou de télécharger tout le profil à partir
du serveur pourrait être pénalisant pour réseau. En effet, si 500 utilisateurs
ouvrent une session avec leurs comptes itinérant en même temps, votre bande
passante réseau pourrait être rapidement diminuée. Cette situation pouvait se
produire avec Windows 2000, mais pas avec Windows
Server 2003 et Windows XP. En effet, Avec les dernières versions de
Windows, le profil n'est plus téléchargé ou envoyé sur le serveur,
mais synchronisé, un peu à la manière des fichiers hors-connexion. Ainsi,
seul les fichiers qui ont été modifiés seront transféré de l'ordinateur vers le
serveur. De cette manière les ouvertures/fermetures de session sont beaucoup
plus rapide que dans les versions antérieures de Windows.
Encore une fois, les GPO pourraient vous être très utile dans
le cas des profils itinérants, et plus précisément dans la gestion de ceux-ci.
Avec l'outil
GPMC
(disponible
ici), vous aurez accès à 3 paramètres disponible dans la partie
utilisateur et qui concernent les profils :
-
Connecter le répertoire de base à la racine du partage
: Cet option va servir à paramétrer des variables d'environnement, plus
particulièrement les variable %HOMEDRIVE%, %HOMESHARE% et %HOMEPATH%.
En effet, si ce paramètre est activé, ces variables correspondront aux
variables disponibles sous Windows NT4. Si il est désactivé, c'est les
variables sous Windows 2000 qui seront utilisées.
-
Limiter la taille du profil : C'est un paramètre très
utile qui vous permettra d'imposer une taille maximale aux profils de vos
utilisateurs. Si la taille maximale, que vous avez défini est atteinte,
l'utilisateur recevra un message d'erreur que vous pouvez définir. Vous avez
également la possibilité de définir un rappel toutes les X minutes.
-
Exclure des répertoires dans les profils itinérants :
Paramètre également important, il va vous permettre de définir une liste de
dossier que vous ne voulez pas copier sur le serveur dans le cas de profil
itinérant. Vous pourrez par exemple définir des dossiers spéciaux utilisés avec
la redirection de dossier.
En plus de ces 3 paramètres, vous pourrez en utilisé d'autres,
relatif à la gestion des profils.
Vous pourrez notamment faire attention au
mode
de traitement par boucle de rappel. Pour information, ce paramètre de stratégie
de groupe va forcer l'application des GPO ordinateurs par rapport aux GPO
utilisateurs. Ce qui permettrait, par exemple de garder un environnement
identique pour tous les utilisateurs, dans tous les cas. Dans les cas ? Pas
exactement en fait, le traitement par boucle de rappel vous permet de définir
deux
options : Remplacer et Fusionner. Selon le paramètre, la stratégie ordinateur va
écraser, remplacer les paramètres de la stratégie utilisateur, ou bien faire une
fusion des paramètres des stratégies ordinateur et utilisateur mais en prenant
en priorité les paramètre ordinateur. Généralement, on utilise les traitements
par boucle de rappel sur les ordinateurs public à libre accès.
Pourquoi limiter
ce type de traitement ? Simplement parce que certains paramètre de ces
stratégies sont directement stockés dans le registre. Dans le cas de profil
itinérant, ces paramètre seront donc sauvegardés, et on pourra les retrouver à
chaque ouverture de session. Ce type de problème se retrouve surtout avec
Windows NT4 et Internet Explorer. En effet, Windows NT4 va conserver
ces paramètres tandis que les versions supérieures de Windows vont les
supprimer.
Pour information, vous retrouverez ce mode traitement dans les
paramètres ordinateurs à l'emplacement suivant : Configuration ordinateur
/ Modèle d'administration / Système / Stratégie de groupe.
Vous retrouverez également beaucoup de paramètres utiles
concernant les profils dans la configuration de l'ordinateur :
Nous ne détaillerons pas tous les paramètres disponibles, mais
les plus important :
-
Supprimer les copies mises en cache des profils
itinérants : Ce paramètre détermine si le système enregistre ou non une
copie du profil itinérant sur le disque dur lors de la fermeture de session.
-
Ajouter le groupe Administrateurs aux profils itinérants
utilisateurs : C'est un paramètre assez pratique puisqu'il va rajouter
le groupe Administrateurs dans les permissions NTFS du dossier stockant un
profil utilisateur itniérant.
-
Délai d'attente pour les connexions lentes pour les
profils utilisateur : Paramètre permettant de définir un time out après
quoi, la connexion entre le serveur et le client sera définie comme lente. A
partir du moment où la connexion est définie comme lente, c'est le système
d'exploitation qui va déterminer les choix appropriés concernant le profil.
-
Empêcher la propagation des modifications de profils
itinérants vers le serveur : Ce paramètre détermine si les changements
effectués par l'utilisateur sont fusionnés avec la copie qui se trouve sur
le serveur. Par défaut, lorsqu'un utilisateur itinérant ouvre une session un
ordinateur, son profil est copié à partir du serveur. Si il a déjà ouvert
une session sur cet ordinateur, les paramètres locaux sont fusionnés avec
ceux du serveur et de la même manière, lors de la fermeture de session, les
paramètres sont fusionnés. Si cette option est activée, les paramètres ne
seront pas fusionné lors la fermeture de session.
-
Autoriser seulement les utilisateurs locaux :
Paramètre que nous avons évoqué plus haut. Il permet une ouverture de
session uniquement aux utilisateurs locaux.
-
Attendre le chargement du profil itinérant : Demande
au système d'attendre que toutes les informations soient récupérées avant
d'ouvrir la session, dans tous les cas, même lorsque la connexion est
détectée comme lente.
-
Avertir l'utilisateur quand un lien lent est détecté
: Ce paramètre affiche un message d'erreur lorsqu'une connexion lente est
détectée. A partir de là, l'utilisateur aura le choix d'utiliser une copie
locale ou bien d'attendre que le profil soit complètement récupéré.
 Sommaire
1. Les profils itinérants
1.1 Qu'est ce que c'est ?
1.2 Quelques recommandations
1.3 Et la sécurité ?
1.4 Comment le configurer ?
1.5 Synchronisation
1.6 Utilisez les GPO !
2. Redirection de dossiers
2.1 Rediriger des dossier ?
2.2 Quelques recommandations
2.3 La redirection de base
2.4 La redirection avancée
2.5 Les fichiers hors connexion
2. Les quotas
3.1 Avec des GPO
3.2 Directement sur le serveur
Conclusion
|
|
|
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
