SOMMAIRE - download.mlmd.frdownload.mlmd.fr/Windows2003/windows2003-26.pdf · compression NTFS. Ceci n'est qu'une recommandation puisque la compression ... 2003 ne donne que la permission

Mael Le Clech WWiinnddoowwss 22000033 SSRRVV PPAARRTTIIEE nn°°2266

Page 1 sur 21 Utilisation des profils itinérants

27/10/2010 Support Windows 2003 SRV

SOMMAIRE

Chapitre 1 Mise en place _____________________________________________________ 2

1.1 Qu’est ce que c’est ________________________________________________________ 2

1.2 Quelques recommandations ________________________________________________ 3

1.3 La sécurité ? ______________________________________________________________ 4

1.4 Comment le configurer ? ___________________________________________________ 5

1.5 Comment obtenir les droits sur le profil ? ___________________________________ 8

1.6 Synchronisation ___________________________________________________________ 9

1.7 Pour Outlook _____________________________________________________________ 11

1.8 A savoir __________________________________________________________________ 19




Chapitre 1 Mise en place

1.1 Qu’est ce que c’est Il peut arriver qu'une personne utilise plusieurs ordinateurs, avec le même compte d'utilisateur. Lorsqu'il va utilisateur un ordinateur, il pourra avoir un environnement différent de celui présent sur l'autre ordinateur. Dans ce cas, il pourra être intéressant de configurer pour cet utilisateur un profil itinérant. En effet, le fait d'utiliser ce type de compte va permettre à votre utilisateur de conserver ses documents, ses paramètres, et son environnement de travail, quelque soit l'ordinateur sur lequel il ouvre une session. En effet, les profils itinérants vont stocker leurs informations sur un serveur que vous choisissez. Concrètement, vous retrouverez les dossiers suivant sur votre serveur :

Ainsi, avec la présence de ces dossiers, vous pourrez avoir tous vos Favoris Internet Explorer, la listes des derniers documents que vous avez utilisés, tous les modèles que vous avez créer pour la suite Office, les cookies utilisés par Internet Explorer ainsi que les mots de passe utilisés pour les sites web, l'apparence de votre bureau (Arrière plan, menu démarrer classique/normal, raccourcis dans le menu Démarrer, ...), et les paramètres de certaines applications, par exemple Adobe Reader.

Dans une entreprise, un utilisateur peut être amené à s'authentifier sur différentes machines tout en gardant un environnement identique sur chacune des machines. Il peut être intéressant, dans ce cas, d'implémenter des profils itinérants puisque le fait de stocker le contenue d'un profil sur un serveur vous apporte également certains avantages. Vous pourrez notamment effectuer des sauvegardes de ces profils afin d'éviter toute perte de documents, vérifier la présence de virus, mais surtout, vous aurez une gestion centralisée de vos profils utilisateurs. Les profils itinérants prouvent encore une fois leur utilité lorsque vous devez réinstaller une machine. Une fois la machine réinstallée, lors de sa première ouverture de session l'utilisateur va retrouver l'intégralité de son environnement de travail.




1.2 Quelques recommandations

Avant de vous lancer dans la configuration de profil itinérant, il pourrait être intéressant de suivre ces recommandations et avertissements concernant ce type de profil. En effet, pour fonctionner correctement, les profils itinérants ont besoin d'un environnement spécifique. Voyons ensemble certains points important :

Installez les mêmes applications sur tous vos ordinateurs: faites en sorte que la version de l'application soit la même sur toutes les machines, que le chemin vers cette application soit le même au niveau de l'arborescence de dossier et au niveau de la lettre du disque dur.

Si vos utilisateurs sont susceptible de changer de version de Windows (Windows NT4, 2000 ou XP), faites en sorte que les chemins de profil soit les même sur toutes les machines. En effet, sous Windows NT4, on retrouvera un chemin de profil de type %windir%\Profiles, tandis que sous Windows XP, 2000, on retrouvera un chemin de type %systemdrive%\Documents and Settings. Ce type de location pourrait poser des problèmes si vos utilisateurs change constamment de version de Windows.

Vous pouvez également utiliser la redirection de dossier pour les dossiers susceptibles d'être gros, comme par exemple le dossier Mes Documents ou encore le Bureau, afin de gagner en temps de chargement. En effet, avec la redirection de dossier, le système de synchronisation est différent et se charge beaucoup plus rapidement. Ainsi, si vous redirigez ces dossiers, vos ouvertures de session seront beaucoup plus rapide.

N'utilisez pas le système de chiffrage Encrypted File System (EFS) avec vos comptes itinérants. L'utilisation de ce système désactiverait le caractère itinérant du profil.

De la même manière, ne stockez pas les profils sur un disque qui utilise la compression NTFS. Ceci n'est qu'une recommandation puisque la compression NTFS ne bloque pas les profils itinérants. Seulement, le contenu est souvent copié et mis à jour sur le serveur, ce qui, dans le cas où la compression est activée, augmenterait le taux de fragmentation des fichiers.

Attention aux quotas de disque ! Si vous mettez un quota de disque trop petit pour les utilisateurs, ils ne pourront pas créer leur profil. De plus, lors de la synchronisation, un profil temporaire est créé. Si il manque de la place pour le créer, la synchronisation échouera.

Pour éviter les problème de synchronisation lors des ouvertures/fermetures de session, assurez-vous d'avoir désactiver les fichiers hors-connexion. Si ceux-ci ne sont pas désactivés, vous pourriez avoir des problèmes de synchronisation entre le profil et les fichiers hors connexion.

Encore une fois, les différents points ci-dessus ne sont, pour certains, que des recommandations. Vous n'êtes pas obligé de les suivre à la lettre.




1.3 La sécurité ? Comme nous venons de le voir, les profils itinérants stockent les informations sur un serveur. Il va donc falloir tout d'abord créer un dossier partagé, de préférence caché : rajoutez un $ au nom du partage pour le cacher. Microsoft recommande de placer ce dossier sur un serveur de fichier sauvegardé régulièrement. Il y a une chose importante à respecter au niveau des permissions de partage, il faut que le groupe Tout le monde est un accès en Contrôle total. Par défaut, Windows Server 2003 ne donne que la permission de Lecture sur un dossier partagé, cette permission ne permet donc pas de créer de dossier, c'est donc une permission insuffisante pour un partage accueillant des profils itinérants. Création d’un dossier PROFILS sur le serveur :

Partage de ce dossier :

Autorisations….




Dans tous les cas, il est très important de ne pas créer des dossiers destiné à stocker un profil pour un utilisateur à la main. En effet, c'est le système qui se charge de créer ce dossier avec les permissions nécessaire dessus. Si vous le créer à la main, le système détectera le dossier comme déjà créé et vous irez en avant de nombreux problèmes. Le système met en place les permissions suivantes sur le dossier stockant le profil :

Compte d'utilisateur :

Permission :

%username% Contrôle total sur le dossier, les dossiers enfants et les fichiers. Il est le propriétaire.

Administrateur Aucune permission

Tout le monde Aucune permission

Local System Contrôle total sur le dossier et les dossiers enfants et les fichiers

1.4 Comment le configurer ? Une fois le partage configuré, il va falloir indiquer le chemin où les informations seront stockées aux comptes d'utilisateur. Pour se faire, sur votre contrôleur de domaine, affichez les propriétés de votre compte d'utilisateur à partir de la console Active Directory Utilisateurs et ordinateurs Active Directory. Dans l'onglet Profil, rentrez la chaine \\serveur\nom_partage\%Username% pour l'option Chemin du profil. L'utilisation de la variable %Username% va permettre de créer un dossier portant le nom de l'utilisateur qui va le créer. Une fois cette opération effectuée, il suffira que votre utilisateur se déconnecte et se reconnecte pour que son profil soit directement stocké sur le serveur.




Quand je vais ouvrir ma session je verrais bien le profil apparaitre sur mon serveur

Je n’ai pas de vue dessus… normal

Si je regarde sur le poste client, le profil est bien itinérant




TEST : Je fais des modifications sur ce profil et je quitte la session

Si je me connecte sur un autre poste je retrouve le même profil…




1.5 Comment obtenir les droits sur le profil ? Vous pouvez créer en avance le dossier dans profils en ajoutant les droits suivant sur ce dossier : Administrateurs, user en question + SYSTEM en contrôle total.

Soit modifier les droits après cout, il faudra par avance rendre administrateurs propriétaire du dossier :




1.6 Synchronisation Nous l'avons vu, pour fonctionner, un profil itinérant a besoin d'un partage réseau et d'un chemin réseau pointant vers ce dossier partagé dans le profil d'un utilisateur. Ainsi, lorsque qu'un utilisateur possédant un profil itinérant ouvre une session pour la première fois sur un ordinateur, le système ne crée pas son profil à partir du Default Profil local comme il le ferait par défaut. Le système va en fait télécharger à partir du serveur le profil de l'utilisateur. De même lorsque l'utilisateur ferme sa session, le système va recopier les fichiers sur le serveur. Le fait de recopier ou de télécharger tout le profil à partir du serveur pourrait être pénalisant pour réseau. En effet, si 500 utilisateurs ouvrent une session avec leurs comptes itinérant en même temps, votre bande passante réseau pourrait être rapidement diminuée. Cette situation pouvait se produire avec Windows 2000, mais pas avec Windows Server 2003 et Windows XP. En effet, Avec les dernières versions de Windows, le profil n'est plus téléchargé ou envoyé sur le serveur, mais synchronisé, un peu à la manière des fichiers hors-connexion. Ainsi, seul les fichiers qui ont été modifiés seront transféré de l'ordinateur vers le serveur. De cette manière les ouvertures/fermetures de session sont beaucoup plus rapide que dans les versions antérieures de Windows. Exemple : FAIRE TRES ATTENTION A LA MANIPULATION DES FICHIERS AVEC LES PROFILS ITINERANT SOUS PEINE DE PERDRE LES DONNEES Les exemples suivant sont des tests réalisés avec un utilisateur test sur une plateforme sans risque. Dans la réalité faite très attention. Dans les tests l’administrateur a les droits sur le dossier sur le serveur et peu donc travailler librement dans le profil.

Si un utilisateur n’est pas connecté au réseau, il aura le message suivant :

Dans ce cas l’utilisateur peut quand même travailler, quand il sera de nouveau connecté, le profil itinérant détectera qu’elle version du profil est à jour (local ou serveur) puis fera la synchro a la prochaine fermeture de session.

Si un utilisateur travail sous sa session et que vous ajoutez des fichiers directement dans le dossier PROFILS sur le serveur, celui-ci ne sera pas supprimé et apparaitra à la prochaine ouverture de session par l’utilisateur.

Si un utilisateur n’est pas connecté sous sa session, que vous vous connecter sur

son poste via \\.... Et que vous mettez des choses sur le bureau ou dans Mes Documents de cette utilisateur en passant par Documents and Settings ils resteront quand l’utilisateur ouvrira sa session. Une réplication sera faite de ces fichiers à la fermeture de la session.




Si je supprime un fichier dans le dossier profils sur le serveur et que l’utilisateur n’est pas connecté, quand l’utilisateur ouvrira sa session, les fichiers disparaîtront aussi en local.

Si un utilisateur n’est pas connecté sous sa session, Si je me connecte sur un poste via \\.... Et que je supprime un fichier dans le dossier Documents an setting sur le poste en local, quand l’utilisateur ouvrira sa session, les fichiers réapparaitrons.




1.7 Pour Outlook Vous risquez d’avoir le problème suivant si vous utilisez une connexion POP ou IMAP quand vous allez ouvrir le profil sur un autre poste car il n’y a pas dans le profil de dossier Local Setting. Il faut donc déplacer le pst autre part, pour ce faire : Fermez Outlook, allez copier le fichier .pst ce trouvant sous : C:\Documents and Settings\mleclech\Local Settings\Application Data\Microsoft\Outlook

Sous C:\Documents and Settings\mleclech créez un dossier OUTLOOK et collez le fichier pst dedans

Allez dans le Panneau de configuration puis ouvrez Courrier

Cliquez sur Fichier de données…




Cliquez sur Ajouter

Sélectionnez Fichier de dossiers personnels Office Outlook (.pst) puis cliquez sur OK

Sélectionnez le fichier .pst que vous avez copié puis cliquez sur OK




Cliquez sur OK

Sélectionnez le nouveau PST puis cliquez sur Définir par défaut

Cliquez sur OK




Lancez maintenant Outlook…, cliquez droit sur Dossiers personnels puis cliquez sur Propriétés de « Dossiers personnels »…

Cliquez sur Options avancées…




Dans Nom de fichier contrôler que c’est le bon chemin puis cliquez sur OK

Sélectionnez l’ancien fichier puis cliquez sur Supprimer




Cliquez sur Oui

Cliquez sur Fermer

Sur l’onglet Messagerie vous pouvez aussi voir le dossier utilisé ici…




Si je test sur mon poste la suppression du profil itinérant

Test sans modification emplacement PST ERREUR

Test avec modification emplacement PST OK




Exception : si le profil ce supprime mal, et créer un nouveau nom de dossier sous Documents and setting vous risquez d’avoir une erreur, allez alors rechercher le bonne emplacement du pst.

Sauvegarde : avec une sauvegarde logicielle le dossier peu être sauvegardé si la sauvegarde utilise le compte SYSTEM car lui seul a le droit d’accès (y compris l’utilisateur), sinon il faudra donner les droits pour le compte administrateurs sur le profil.




1.8 A savoir Information récupérées sur le WEB et non testées.

Encore une fois, les GPO pourraient vous être très utile dans le cas des profils itinérants, et plus précisément dans la gestion de ceux-ci. Avec l'outil GPMC, vous aurez accès à 3 paramètres disponible dans la partie utilisateur et qui concernent les profils :

Connecter le répertoire de base à la racine du partage : Cet option va servir à paramétrer des variables d'environnement, plus particulièrement les variable %HOMEDRIVE%, %HOMESHARE% et %HOMEPATH%. En effet, si ce paramètre est activé, ces variables correspondront aux variables disponibles sous Windows NT4. Si il est désactivé, c'est les variables sous Windows 2000 qui seront utilisées.

Limiter la taille du profil : C'est un paramètre très utile qui vous permettra d'imposer une taille maximale aux profils de vos utilisateurs. Si la taille maximale, que vous avez défini est atteinte, l'utilisateur recevra un message d'erreur que vous pouvez définir. Vous avez également la possibilité de définir un rappel toutes les X minutes.

Exclure des répertoires dans les profils itinérants : Paramètre également important, il va vous permettre de définir une liste de dossier que vous ne voulez pas copier sur le serveur dans le cas de profil itinérant. Vous pourrez par exemple définir des dossiers spéciaux utilisés avec la redirection de dossier.

En plus de ces 3 paramètres, vous pourrez en utilisé d'autres, relatif à la gestion des profils. Vous pourrez notamment faire attention au mode de traitement par boucle de rappel. Pour information, ce paramètre de stratégie de groupe va forcer l'application des GPO ordinateurs par rapport aux GPO utilisateurs. Ce qui permettrait, par exemple de garder un environnement identique pour tous les utilisateurs, dans tous les cas. Dans les cas ? Pas exactement en fait, le traitement par boucle de rappel vous permet de définir deux options : Remplacer et Fusionner. Selon le paramètre, la stratégie ordinateur va écraser, remplacer les paramètres de la stratégie utilisateur, ou bien faire une fusion des paramètres des stratégies ordinateur et utilisateur mais en prenant en priorité les paramètre ordinateur. Généralement, on utilise les traitements par boucle de rappel sur les ordinateurs public à libre accès. Pourquoi limiter ce type de traitement ? Simplement parce que certains paramètre de ces stratégies sont directement stockés dans le registre. Dans le cas de profil itinérant, ces paramètre seront donc sauvegardés, et on pourra les retrouver à chaque ouverture de session. Ce type de problème se




retrouve surtout avec Windows NT4 et Internet Explorer. En effet, Windows NT4 va conserver ces paramètres tandis que les versions supérieures de Windows vont les supprimer. Pour information, vous retrouverez ce mode traitement dans les paramètres ordinateurs à l'emplacement suivant : Configuration ordinateur / Modèle d'administration / Système / Stratégie de groupe.

Vous retrouverez également beaucoup de paramètres utiles concernant les profils dans la configuration de l'ordinateur :

Nous ne détaillerons pas tous les paramètres disponibles, mais les plus important :

Supprimer les copies mises en cache des profils itinérants : Ce paramètre détermine si le système enregistre ou non une copie du profil itinérant sur le disque dur lors de la fermeture de session. En activant ce paramètre, toutes les copies du profil itinérant utilisateur sur l'ordinateur seront supprimées à la fermeture de session de l'utilisateur. Le profil itinérant est conservé sur le serveur réseau qui le stocke.

Ajouter le groupe Administrateurs aux profils itinérants utilisateurs : C'est un paramètre assez pratique puisqu'il va rajouter le groupe Administrateurs dans les permissions NTFS du dossier stockant un profil utilisateur itniérant.

Délai d'attente pour les connexions lentes pour les profils utilisateur : Paramètre permettant de définir un time out après quoi, la connexion entre le serveur et le client sera définie comme lente. A partir du moment où la connexion est définie comme lente, c'est le système d'exploitation qui va déterminer les choix appropriés concernant le profil. Par défaut, quand la connexion est lente, le système charge la copie locale du profil utilisateur. Il faut activer ce paramètre afin que le système ne détecte pas les liaisons lentes, et ne considère aucune connexion comme lente.

Empêcher la propagation des modifications de profils itinérants vers le serveur : Ce paramètre détermine si les changements effectués par l'utilisateur sont fusionnés avec la copie qui se trouve sur le serveur. Par défaut, lorsqu'un utilisateur itinérant ouvre une session un ordinateur, son profil est copié à partir du serveur. Si il a déjà ouvert une session sur cet ordinateur, les paramètres locaux sont fusionnés avec ceux du serveur et de la même manière, lors de la fermeture de session, les paramètres sont fusionnés. Si cette option est activée, les paramètres ne seront pas fusionné lors la fermeture de session.

Autoriser seulement les utilisateurs locaux : Paramètre que nous avons évoqué plus haut. Il permet une ouverture de session uniquement aux utilisateurs locaux.




Attendre le chargement du profil itinérant : Demande au système d'attendre que toutes les informations soient récupérées avant d'ouvrir la session, dans tous les cas, même lorsque la connexion est détectée comme lente.

Avertir l'utilisateur quand un lien lent est détecté : Ce paramètre affiche un message d'erreur lorsqu'une connexion lente est détectée. A partir de là, l'utilisateur aura le choix d'utiliser une copie locale ou bien d'attendre que le profil soit complètement récupéré.