Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1. Les profils itinérants 1.1 Qu'est ce que c'est ? Il peut arriver qu'une pers

1. Les profils itinérants 1.1 Qu'est ce que c'est ? Il peut arriver qu'une personne utilise plusieurs ordinateurs, avec le même compte d'utilisateur. Lorsqu'il va utilisateur un ordinateur, il pourra avoir un environnement différent de celui présent sur l'autre ordinateur. Dans ce cas, il pourra être intéressant de configurer pour cet utilisateur un profil itinérant. En effet, le fait d'utiliser ce type de compte va permettre à votre utilisateur de conserver ses documents, ses paramètres, et son environnement de travail, quelque soit l'ordinateur sur lequel il ouvre une session. En effet, les profils itinérants vont stocker leurs informations sur un serveur que vous choisissez. Concrètement, vous retrouverez les dossiers suivant sur votre serveur : Ainsi, avec la présence de ces dossiers, vous pourrez avoir tous vos Favoris Internet Explorer, la listes des derniers documents que vous avez utilisés, tous les modèles que vous avez créer pour la suite Office, les cookies utilisés par Internet Explorer ainsi que les mots de passe utilisés pour les sites web, l'apparence de votre bureau (Arrière plan, menu démarrer classique/normal, raccourcis dans le menu Démarrer, ...), et les paramètres de certaines applications, par exemple Adobe Reader. Dans une entreprise, un utilisateur peut être amené à s'authentifier sur différentes machines tout en gardant un environnement identique sur chacune des machines. Il peut être intéressant, dans ce cas, d'implémenter des profils itinérants puisque le fait de stocker le contenue d'un profil sur un serveur vous apporte également certains avantages. Vous pourrez notamment effectuer des sauvegardes de ces profils afin d'éviter toute perte de documents, vérifier la présence de virus, mais surtout, vous aurez une gestion centralisée de vos profils utilisateurs. Les profils itinérants prouvent encore une fois leur utilité lorsque vous devez réinstaller une machine. Une fois la machine réinstallée, lors de sa première ouverture de session l'utilisateur va retrouver l'intégralité de son environnement de travail. 1.2 Quelques recommandations Avant de vous lancer dans la configuration de profil itinérant, il pourrait être intéressant de suivre ces recommandations et avertissements concernant ce type de profil. En effet, pour fonctionner correctement, les profils itinérants ont besoin d'un environnement spécifique. Voyons ensemble certains points important :  Installez les mêmes applications sur tous vos ordinateurs: faites en sorte que la version de l'application soit la même sur toutes les machines, que le chemin vers cette application soit le même au niveau de l'arborescence de dossier et au niveau de la lettre du disque dur.  Si vos utilisateurs sont susceptible de changer de version de Windows (Windows NT4, 2000 ou XP), faites en sorte que les chemins de profil soit les même sur toutes les machines. En effet, sous Windows NT4, on retrouvera un chemin de profil de type %windir%\Profiles, tandis que sous Windows XP, 2000, on retrouvera un chemin de type %systemdrive%\Documents and Settings. Ce type de location pourrait poser des problèmes si vos utilisateurs change constamment de version de Windows.  Vous pouvez également utiliser la redirection de dossier (voir chapitre 2) pour les dossiers susceptibles d'être gros, comme par exemple le dossier Mes Documents ou encore le Bureau, afin de gagner en temps de chargement. En effet, avec la redirection de dossier, le système de synchronisation est différent et se charge beaucoup plus rapidement. Ainsi, si vous redirigez ces dossiers, vos ouvertures de session seront beaucoup plus rapide.  N'utilisez pas le système de chiffrage Encrypted File System (EFS) avec vos comptes itinérants. L'utilisation de ce système désactiverait le caractère itinérant du profil.  De la même manière, ne stockez pas les profils sur un disque qui utilise la compression NTFS. Ceci n'est qu'une recommandation puisque la compression NTFS ne bloque pas les profils itinérants. Seulement, le contenu est souvent copié et mis à jour sur le serveur, ce qui, dans le cas où la compression est activée, augmenterait le taux de fragmentation des fichiers.  Attention aux quotas de disque ! Si vous mettez un quota de disque trop petit pour les utilisateurs, ils ne pourront pas créer leur profil. De plus, lors de la synchronisation, un profil temporaire est créé. Si il manque de la place pour le créer, la synchronisation échouera.  Pour éviter les problème de synchronisation lors des ouvertures/fermetures de session, assurez-vous d'avoir désactiver les fichiers hors-connexion. Si ceux-ci ne sont pas désactivés, vous pourriez avoir des problèmes de synchronisation entre le profil et les fichiers hors connexion. Encore une fois, les différents points ci-dessus ne sont, pour certains, que des recommandations. Vous n'êtes pas obligé de les suivre à la lettre. 1.3 Et la sécurité ? Comme nous venons de le voir, les profils itinérants stockent les informations sur un serveur. Il va donc falloir tout d'abord créer un dossier partagé, de préférence caché : rajoutez un $ au nom du partage pour le cacher si vous n'utilisez pas ABE (voir plus loin dans cet article). Microsoft recommande de placer ce dossier sur un serveur de fichier sauvegardé régulièrement. Il y a une chose importante à respecter au niveau des permissions de partage, il faut que le groupe Tout le monde est un accès en Contrôle total. Par défaut, Windows Server 2003 ne donne que la permission de Lecture sur un dossier partagé, cette permission ne permet donc pas de créer de dossier, c'est donc une permission insuffisante pour un partage accueillant des profils itinérants. Concernant les permissions NTFS, voici un tableau permettant d'identifier les permissions nécessaire pour le dossier allant héberger les profils : Compte d'utilisateur : Permission : Créateur propriétaire Contrôle total sur les dossiers enfants et les fichiers Administrateur / Tout le monde / System Contrôle total sur le dossier et les dossiers enfants et les fichiers Groupe de sécurité / utilisateur voulant écrire Listage du dossier / Lecture, création de dossier sur le dossier en lui même Dans tous les cas, il est très important de ne pas créer des dossiers destiné à stocker un profil pour un utilisateur à la main. En effet, c'est le système qui se charge de créer ce dossier avec les permissions nécessaire dessus. Si vous le créer à la main, le système détectera le dossier comme déjà créé et vous irez en avant de nombreux problèmes. Le système met en place les permissions suivantes sur le dossier stockant le profil : Compte d'utilisateur : Permission : %username% Contrôle total sur le dossier, les dossiers enfants et les fichiers. Il est le propriétaire. Administrateur Aucune permission Tout le monde Aucune permission Local System Contrôle total sur le dossier et les dossiers enfants et les fichiers 1.4 Comment le configurer ? Une fois le partage configuré, il va falloir indiquer le chemin où les informations seront stockées aux comptes d'utilisateur. Pour se faire, sur votre contrôleur de domaine, affichez les propriétés de votre compte d'utilisateur à partir de la console Active Directory Utilisateurs et ordinateurs Active Directory. Dans l'onglet Profil, rentrez la chaine \\serveur\nom_partage\%Username% pour l'option Chemin du profil. L'utilisation de la variable %Username% va permettre de créer un dossier portant le nom de l'utilisateur qui va le créer. Une fois cette opération effectuée, il suffira que votre utilisateur se déconnecte et se reconnecte pour que son profil soit directement stocké sur le serveur. Au final, un compte d'utilisateur itinérant n'est qu'un partage réseau et un chemin réseau pointant vers ce dossier partagé dans le profil d'un utilisateur. Comme vous avez pu le constater la création de ce type de profil doit directement être faite dans les propriétés des comptes d'utilisateur. Evidement, si vous possédez un grand nombre d'utilisateur dans votre architecture directory, vous devrez vous occuper personnellement de chaque compte, sauf si vous utilisez un script VBS. Vous trouvez dans l'encadré ci-dessous un script en Visual Basic qui va permettre de configurer un profil itinérant pour un utilisateur. Il vous suffira de rajouter une boucle pour l'appliquer à tous les utilisateurs de votre Unité d'organisation. Set objUser = GetObject _ ("LDAP://cn=Nom_Utilisateur,ou=Nom_OU,dc=Nom_domaine,dc=com") strCurrentProfilePath = objUser.Get("profilePath") intStringLen = Len(strCurrentProfilePath) intStringRemains = intStringLen - 11 strRemains = Mid(strCurrentProfilePath, 12, intStringRemains) strNewProfilePath = "\\Serveur\Partage\%Username%" & strRemains objUser.Put "profilePath", strNewProfilePath objUser.SetInfo Il faut savoir que dans Windows Server 2003, Microsoft a introduit une nouvelle stratégie concernant les comptes d'utilisateur itinérant. Cette stratégie lié à une unité d'organisation contenant des ordinateurs va permettre d'interdire aux utilisateurs possédant un profil itinérant d'ouvrir une session. De cette manière, les utilisateurs devront utiliser un compte créé à partir du profil par défaut sur l'ordinateur. 1.5 Synchronisation Nous l'avons vu, pour fonctionner, un profil itinérant a besoin d'un partage réseau et d'un chemin réseau pointant vers ce dossier partagé dans le profil d'un utilisateur. Ainsi, lorsque qu'un utilisateur possédant un profil itinérant ouvre une session pour la première fois sur un ordinateur, le système ne crée pas son profil à partir du Default Profil local comme il le ferait par défaut. Le système va en fait télécharger à partir du serveur le profil de l'utilisateur. De même lorsque l'utilisateur ferme sa session, le système va recopier les fichiers sur le serveur. Le fait de recopier ou de télécharger tout le profil à uploads/s1/ configuration-des-profils-itinerants.pdf