1.

Les profils itinrants

1.1 Qu'est ce que c'est ?
Il peut arriver qu'une personne utilise plusieurs ordinateurs, avec le mme compte d'utilisateur. Lorsqu'il va utilisateur un ordinateur, il pourra avoir un environnement diffrent de celui prsent sur l'autre ordinateur. Dans ce cas, il pourra tre intressant de configurer pour cet utilisateur un profil itinrant. En effet, le fait d'utiliser ce type de compte va permettre votre utilisateur de conserver ses documents, ses paramtres, et son environnement de travail, quelque soit l'ordinateur sur lequel il ouvre une session. En effet, les profils itinrants vont stocker leurs informations sur un serveur que vous choisissez. Concrtement, vous retrouverez les dossiers suivant sur votre serveur :

Ainsi, avec la prsence de ces dossiers, vous pourrez avoir tous vos Favoris Internet Explorer, la listes des derniers documents que vous avez utiliss, tous les modles que vous avez crer pour la suite Office, les cookies utiliss par Internet Explorer ainsi que les mots de passe utiliss pour les sites web, l'apparence de votre bureau (Arrire plan, menu dmarrer classique/normal, raccourcis dans le menu Dmarrer, ...), et les paramtres de certaines applications, par exemple Adobe Reader. Dans une entreprise, un utilisateur peut tre amen s'authentifier sur diffrentes machines tout en gardant un environnement identique sur chacune des machines. Il peut tre intressant, dans ce cas, d'implmenter des profils itinrants puisque le fait de stocker le contenue d'un profil sur un serveur vous apporte galement certains avantages. Vous pourrez notamment effectuer des sauvegardes de ces profils afin d'viter toute perte de documents, vrifier la prsence de virus, mais surtout, vous aurez une gestion centralise de vos profils utilisateurs. Les profils itinrants prouvent encore une fois leur utilit lorsque vous devez rinstaller une machine. Une fois la machine rinstalle, lors de sa premire ouverture de session l'utilisateur va retrouver l'intgralit de son environnement de travail.

1.2 Quelques recommandations

Avant de vous lancer dans la configuration de profil itinrant, il pourrait tre intressant de suivre ces recommandations et avertissements concernant ce type de profil. En effet, pour

fonctionner correctement, les profils itinrants ont besoin d'un environnement spcifique. Voyons ensemble certains points important :

Installez les mmes applications sur tous vos ordinateurs: faites en sorte que la version de l'application soit la mme sur toutes les machines, que le chemin vers cette application soit le mme au niveau de l'arborescence de dossier et au niveau de la lettre du disque dur. Si vos utilisateurs sont susceptible de changer de version de Windows (Windows NT4, 2000 ou XP), faites en sorte que les chemins de profil soit les mme sur toutes les machines. En effet, sous Windows NT4, on retrouvera un chemin de profil de type %windir%\Profiles, tandis que sous Windows XP, 2000, on retrouvera un chemin de type %systemdrive%\Documents and Settings. Ce type de location pourrait poser des problmes si vos utilisateurs change constamment de version de Windows. Vous pouvez galement utiliser la redirection de dossier (voir chapitre 2) pour les dossiers susceptibles d'tre gros, comme par exemple le dossier Mes Documents ou encore le Bureau, afin de gagner en temps de chargement. En effet, avec la redirection de dossier, le systme de synchronisation est diffrent et se charge beaucoup plus rapidement. Ainsi, si vous redirigez ces dossiers, vos ouvertures de session seront beaucoup plus rapide. N'utilisez pas le systme de chiffrage Encrypted File System (EFS) avec vos comptes itinrants. L'utilisation de ce systme dsactiverait le caractre itinrant du profil. De la mme manire, ne stockez pas les profils sur un disque qui utilise la compression NTFS. Ceci n'est qu'une recommandation puisque la compression NTFS ne bloque pas les profils itinrants. Seulement, le contenu est souvent copi et mis jour sur le serveur, ce qui, dans le cas o la compression est active, augmenterait le taux de fragmentation des fichiers. Attention aux quotas de disque ! Si vous mettez un quota de disque trop petit pour les utilisateurs, ils ne pourront pas crer leur profil. De plus, lors de la synchronisation, un profil temporaire est cr. Si il manque de la place pour le crer, la synchronisation chouera. Pour viter les problme de synchronisation lors des ouvertures/fermetures de session, assurez-vous d'avoir dsactiver les fichiers hors-connexion. Si ceux-ci ne sont pas dsactivs, vous pourriez avoir des problmes de synchronisation entre le profil et les fichiers hors connexion.

Encore une fois, les diffrents points ci-dessus ne sont, pour certains, que des recommandations. Vous n'tes pas oblig de les suivre la lettre.

1.3 Et la scurit ?

Comme nous venons de le voir, les profils itinrants stockent les informations sur un serveur. Il va donc falloir tout d'abord crer un dossier partag, de prfrence cach : rajoutez un $ au nom du partage pour le cacher si vous n'utilisez pas ABE (voir plus loin dans cet article). Microsoft recommande de placer ce dossier sur un serveur de fichier sauvegard rgulirement. Il y a une chose importante respecter au niveau des permissions de partage, il faut que le groupe Tout le monde est un accs en Contrle total. Par dfaut, Windows Server 2003 ne donne que la permission de Lecture sur un dossier partag, cette permission ne permet donc pas de crer de dossier, c'est donc une permission insuffisante pour un partage accueillant des profils itinrants. Concernant les permissions NTFS, voici un tableau permettant d'identifier les permissions ncessaire pour le dossier allant hberger les profils :

Compte Permission d'utilisateur : : Contrle total sur les Crateur dossiers propritaire enfants et les fichiers Administrateur / Tout le monde / Contrle total sur le dossier et System les dossiers enfants et les fichiers Listage du dossier / Groupe de Lecture, scurit / cration de utilisateur dossier sur voulant crire le dossier en lui mme

Dans tous les cas, il est trs important de ne pas crer des dossiers destin stocker un profil pour un utilisateur la main. En effet, c'est le systme qui se charge de crer ce dossier avec les permissions ncessaire dessus. Si vous le crer la main, le systme dtectera le dossier comme dj cr et vous irez en avant de nombreux problmes. Le systme met en place les permissions suivantes sur le dossier stockant le profil : Compte d'utilisateur : %username% Administrateur Tout le monde Local System Permission : Contrle total sur le dossier, les dossiers enfants et les fichiers. Il est le propritaire. Aucune permission Aucune permission Contrle total sur le dossier et les dossiers enfants et les fichiers

1.4 Comment le configurer ?

Une fois le partage configur, il va falloir indiquer le chemin o les informations seront stockes aux comptes d'utilisateur. Pour se faire, sur votre contrleur de domaine, affichez les proprits de votre compte d'utilisateur partir de la console Active Directory Utilisateurs et ordinateurs Active Directory. Dans l'onglet Profil, rentrez la chaine \\serveur\nom_partage\%Username% pour l'option Chemin du profil. L'utilisation de la variable %Username% va permettre de crer un dossier portant le nom de l'utilisateur qui va le crer. Une fois cette opration effectue, il suffira que votre utilisateur se dconnecte et se reconnecte pour que son profil soit directement stock sur le serveur.

Au final, un compte d'utilisateur itinrant n'est qu'un partage rseau et un chemin rseau pointant vers ce dossier partag dans le profil d'un utilisateur. Comme vous avez pu le constater la cration de ce type de profil doit directement tre faite dans les proprits des comptes d'utilisateur. Evidement, si vous possdez un grand nombre d'utilisateur dans votre architecture directory, vous devrez vous occuper personnellement de chaque compte, sauf si vous utilisez un script VBS. Vous trouvez dans l'encadr ci-dessous un script en Visual Basic qui va permettre de configurer un profil itinrant pour un utilisateur. Il vous suffira de rajouter une boucle pour l'appliquer tous les utilisateurs de votre Unit d'organisation. Set objUser = GetObject _ ("LDAP://cn=Nom_Utilisateur,ou=Nom_OU,dc=Nom_domaine,dc=com") strCurrentProfilePath = objUser.Get("profilePath") intStringLen = Len(strCurrentProfilePath) intStringRemains = intStringLen - 11 strRemains = Mid(strCurrentProfilePath, 12, intStringRemains) strNewProfilePath = "\\Serveur\Partage\%Username%" & strRemains objUser.Put "profilePath", strNewProfilePath objUser.SetInfo Il faut savoir que dans Windows Server 2003, Microsoft a introduit une nouvelle stratgie concernant les comptes d'utilisateur itinrant. Cette stratgie li une unit d'organisation contenant des ordinateurs va permettre d'interdire aux utilisateurs possdant un profil itinrant d'ouvrir une session. De cette manire, les utilisateurs devront utiliser un compte cr partir du profil par dfaut sur l'ordinateur.

1.5 Synchronisation
Nous l'avons vu, pour fonctionner, un profil itinrant a besoin d'un partage rseau et d'un chemin rseau pointant vers ce dossier partag dans le profil d'un utilisateur. Ainsi, lorsque qu'un utilisateur possdant un profil itinrant ouvre une session pour la premire fois sur un ordinateur, le systme ne cre pas son profil partir du Default Profil local comme il le ferait par dfaut. Le systme va en fait tlcharger partir du serveur le profil de l'utilisateur. De mme lorsque l'utilisateur ferme sa session, le systme va recopier les fichiers sur le serveur. Le fait de recopier ou de tlcharger tout le profil partir du serveur pourrait tre pnalisant pour rseau. En effet, si 500 utilisateurs ouvrent une session avec leurs comptes itinrant en mme temps, votre bande passante rseau pourrait tre rapidement diminue. Cette situation pouvait se produire avec Windows 2000, mais pas avec Windows Server 2003 et Windows XP. En effet, Avec les dernires versions de Windows, le profil n'est plus tlcharg ou envoy sur le serveur, mais synchronis, un peu la manire des fichiers hors-connexion. Ainsi, seul les fichiers qui ont t modifis seront transfr de l'ordinateur vers le serveur. De cette manire les ouvertures/fermetures de session sont beaucoup plus rapide que dans les versions antrieures de Windows.

1.6 Utilisez les GPO !

Encore une fois, les GPO pourraient vous tre trs utile dans le cas des profils itinrants, et plus prcisment dans la gestion de ceux-ci. Avec l'outil GPMC (disponible ici), vous aurez accs 3 paramtres disponible dans la partie utilisateur et qui concernent les profils :

Connecter le rpertoire de base la racine du partage : Cet option va servir paramtrer des variables d'environnement, plus particulirement les variable %HOMEDRIVE%, %HOMESHARE% et %HOMEPATH%. En effet, si ce paramtre est activ, ces variables correspondront aux variables disponibles sous Windows NT4. Si il est dsactiv, c'est les variables sous Windows 2000 qui seront utilises. Limiter la taille du profil : C'est un paramtre trs utile qui vous permettra d'imposer une taille maximale aux profils de vos utilisateurs. Si la taille maximale, que vous avez dfini est atteinte, l'utilisateur recevra un message d'erreur que vous pouvez dfinir. Vous avez galement la possibilit de dfinir un rappel toutes les X minutes. Exclure des rpertoires dans les profils itinrants : Paramtre galement important, il va vous permettre de dfinir une liste de dossier que vous ne voulez pas copier sur le serveur dans le cas de profil itinrant. Vous pourrez par exemple dfinir des dossiers spciaux utiliss avec la redirection de dossier.

En plus de ces 3 paramtres, vous pourrez en utilis d'autres, relatif la gestion des profils. Vous pourrez notamment faire attention au mode de traitement par boucle de rappel. Pour information, ce paramtre de stratgie de groupe va forcer l'application des GPO ordinateurs par rapport aux GPO utilisateurs. Ce qui permettrait, par exemple de garder un environnement identique pour tous les utilisateurs, dans tous les cas. Dans les cas ? Pas exactement en fait, le traitement par boucle de rappel vous permet de dfinir deux options : Remplacer et Fusionner. Selon le paramtre, la stratgie ordinateur va craser, remplacer les paramtres de la stratgie utilisateur, ou bien faire une fusion des paramtres des stratgies ordinateur et utilisateur mais en prenant en priorit les paramtre ordinateur. Gnralement, on utilise les traitements par boucle de rappel sur les ordinateurs public libre accs. Pourquoi limiter ce type de traitement ? Simplement parce que certains paramtre de ces stratgies sont directement stocks dans le registre. Dans le cas de profil itinrant, ces paramtre seront donc sauvegards, et on pourra les retrouver chaque ouverture de session. Ce type de problme se retrouve surtout avec Windows NT4 et Internet Explorer. En effet, Windows NT4 va conserver ces paramtres tandis que les versions suprieures de Windows vont les supprimer. Pour information, vous retrouverez ce mode traitement dans les paramtres ordinateurs l'emplacement suivant : Configuration ordinateur / Modle d'administration / Systme / Stratgie de groupe.

Vous retrouverez galement beaucoup de paramtres utiles concernant les profils dans la configuration de l'ordinateur :

Nous ne dtaillerons pas tous les paramtres disponibles, mais les plus important :

Supprimer les copies mises en cache des profils itinrants : Ce paramtre dtermine si le systme enregistre ou non une copie du profil itinrant sur le disque dur lors de la fermeture de session. Ajouter le groupe Administrateurs aux profils itinrants utilisateurs : C'est un paramtre assez pratique puisqu'il va rajouter le groupe Administrateurs dans les permissions NTFS du dossier stockant un profil utilisateur itnirant. Dlai d'attente pour les connexions lentes pour les profils utilisateur : Paramtre permettant de dfinir un time out aprs quoi, la connexion entre le serveur et le client sera dfinie comme lente. A partir du moment o la connexion est dfinie comme lente, c'est le systme d'exploitation qui va dterminer les choix appropris concernant le profil. Empcher la propagation des modifications de profils itinrants vers le serveur : Ce paramtre dtermine si les changements effectus par l'utilisateur sont fusionns avec la copie qui se trouve sur le serveur. Par dfaut, lorsqu'un utilisateur itinrant ouvre une session un ordinateur, son profil est copi partir du serveur. Si il a dj ouvert une session sur cet ordinateur, les paramtres locaux sont fusionns avec ceux du serveur et de la mme manire, lors de la fermeture de session, les paramtres sont fusionns. Si cette option est active, les paramtres ne seront pas fusionn lors la fermeture de session. Autoriser seulement les utilisateurs locaux : Paramtre que nous avons voqu plus haut. Il permet une ouverture de session uniquement aux utilisateurs locaux. Attendre le chargement du profil itinrant : Demande au systme d'attendre que toutes les informations soient rcupres avant d'ouvrir la session, dans tous les cas, mme lorsque la connexion est dtecte comme lente. Avertir l'utilisateur quand un lien lent est dtect : Ce paramtre affiche un message d'erreur lorsqu'une connexion lente est dtecte. A partir de l, l'utilisateur aura le choix d'utiliser une copie locale ou bien d'attendre que le profil soit compltement rcupr.

Sommaire 1. Les profils itinrants 1.1 Qu'est ce que c'est ? 1.2 Quelques recommandations 1.3 Et la scurit ? 1.4 Comment le configurer ? 1.5 Synchronisation 1.6 Utilisez les GPO ! 2. Redirection de dossiers 2.1 Rediriger des dossier ? 2.2 Quelques recommandations 2.3 La redirection de base 2.4 La redirection avance 2.5 Les fichiers hors connexion 2. Les quotas 3.1 Avec des GPO 3.2 Directement sur le serveur Conclusion