Configurer les profils itinérants, la redirection de dossiers et les quotas de disques sous Windows Server 2008 R2 / 2012

2. Mise en place de la redirection de dossiers

Comme vous avez pu le voir, l'avantage des profils itinérants, c'est que l'utilisateur conserve ses documents et ses paramètres.
Ceci dit, le problème est que cela peut ralentir les ouvertures et les fermetures de sessions si l'utilisateur possède beaucoup de données.
Pour régler ce problème, nous allons donc aussi utiliser la redirection de dossiers pour les documents de l'utilisateur.

Comme indiqué sur le technet de Microsoft.

Pour éviter les conflits entre les documents redirigés et ceux qui sont présents actuellement dans le profil itinérant des utilisateurs, nous allons d'abord supprimer les dossiers qui contenaient ces profils itinérants.

2.1. Création du partage réseau

Ensuite, sur notre partition "Users data", nous allons créer un dossier "users-data" qui contiendra les dossiers redirigés des utilisateurs.
Dans notre cas : les dossiers "Mes documents" (image, musiques et vidéos compris) et "Téléchargements".

Comme tout à l'heure (au point 1.2), vous devez partager ce dossier avec un $ à la fin du nom et en autorisant le "contrôle total" pour le groupe "Tout le monde".
Une fois le dossier partagé, l'état du dossier sera "Partagé" (comme indiqué en bas de cette image).

2.2. Stratégies de sécurité pour la redirection de dossiers

Pour configurer la redirection de dossiers, tout se passe dans les stratégies de groupe.
Pour cela, retournez dans le menu démarrer -> Outils d'administration -> Gestion des stratégies de groupe.

Ensuite, étant donné que nous allons utiliser la redirection de dossiers pour les profils itinérants, nous devons d'abord exclure les dossiers souhaités des profils itinérants.
Pour cela, allez dans : Configuration utilisateur -> Stratégies -> Modèles d'administration -> Système -> Profil des utilisateurs.

Dans cette section, vous trouverez la stratégie "Exclure des répertoires dans les profils itinérants".

Activez cette stratégie et indiquez ceci pour exclure les dossiers "Mes documents" et "Téléchargements" : Documents;Downloads
Notez que ces noms doivent être indiqués en anglais, même si vous utilisez une version française de Windows Server.

Ensuite, nous allons configurer la redirection de dossiers proprement dite.
Pour cela, allez dans : Configuration utilisateur -> Stratégies -> Paramètres Windows -> Redirection de dossiers.
Comme vous pouvez le voir, grâce à ces stratégies, vous pourrez rediriger tous les dossiers personnels se trouvant dans un profil itinérant.
Néanmoins, nous allons rediriger uniquement les documents et les téléchargements de l'utilisateur, car ce sont les dossiers qui seront les plus lourds.

Pour commencer, faites un clic droit sur "Documents" et cliquez sur "Propriétés".

Ensuite, sélectionnez :

• Paramètre : De base - Rediriger les dossiers de tout le monde vers le même emplacement
• Emplacement du dossier cible : Créer un dossier pour chaque utilisateur sous le chemin d'accès racine

Puis, indiquez le chemin réseau de votre dossier "user-data". Dans notre cas, ce chemin réseau est : \\AD-SERVER\users-data$

Comme vous pouvez le voir en bas de l'image ci-dessous, les documents de "Claire" seront redirigés vers le dossier : \\AD-SERVER\users-data$\Claire\Documents

Ensuite, allez dans l'onglet "Paramètres" et cochez les cases :

• Déplacer le contenu de Documents vers le nouvel emplacement : ce qui permet de récupérer les documents que des utilisateurs auraient déjà créés avant la redirection de ce dossier et de les transférer sur le serveur.
• Appliquer aussi la stratégie de redirection aux systèmes d'exploitation Windows 2000, ..., XP, ... : ce qui vous permettra de rediriger aussi les dossiers "Mes images", ... dans le dossier "Documents" de l'utilisateur. Comme sur Windows XP, ...

De plus, nous vous recommandons de décocher la case "Accorder à l'utilisateur des droits exclusifs sur Documents".
En effet, lorsque cette case est cochée, seul l'utilisateur aura accès à ses documents. L'administrateur n'y aura donc pas accès depuis le serveur.
Pour que l'administrateur puisse aussi y accéder, vous devez décocher cette case.

Comme indiqué dans cet avertissement, l'application du paramètre aux systèmes d'exploitation Windows 2000, XP, ... entrainera aussi les dossiers Images, Musiques, ... à sa suite.
Ce qui nous permet de rediriger les 4 dossiers d'un seul coup (les documents, les images, ...).
De plus, ça vous permet d'avoir une rétro-compatibilité avec les systèmes d'exploitation : Windows XP, ...

Cliquez sur "Oui".

Faites de même pour le dossier "Téléchargement".
Clic droit -> Propriétés.

Sélectionnez "De base ..." et "Créer un dossier pour chaque utilisateur ...", puis indiquez le même chemin réseau que précédemment.

Dans l'onglet "Paramètres", décochez aussi la case "Accorder à l'utilisateur des droits exclusifs" pour que vous puissiez accéder aux téléchargements des utilisateurs via le compte Administrateur.
Note : la case concernant Windows 2000, ... est grisée, car ce dossier n'existait pas sur les anciennes versions de Windows.

Cliquez sur Oui.

2.3. Fonctionnalité "Fichiers hors connexion"

Comme indiqué sur le technet de Microsoft, lorsque vous utilisez la redirection de dossiers, la fonctionnalité "Fichiers hors connexion" de Windows sera automatiquement activée, par défaut.

Si vous vous connectez sur un PC client avec un utilisateur dont certains dossiers personnels ont été redirigés, vous verrez que les dossiers concernés possèderont une icône verte.
Cette icône signifie que ces dossiers seront automatiquement synchronisés par Windows avec votre serveur.
De plus, vous remarquerez qu'une icône verte a apparu en bas à droite de l'écran.

Note : pour accéder au dossier de l'utilisateur (comme sur l'image ci-dessous), cliquez sur le favori "Bureau" situé à gauche, puis faites un double clic sur le dossier nommé avec le nom de l'utilisateur.

Si vous allez dans le dossier "Mes documents", vous verrez que les 3 dossiers "Ma musique", "Mes images" et "Mes vidéos" ont aussi été redirigés.
De plus, si vous créez un fichier dans le dossier "User1\Mes images", vous verrez que le fichier sera aussi affiché dans le dossier "Mes documents\Mes images". Windows a donc bien ajouté les redirections nécessaires.

Si vous allez dans le panneau de configuration et que vous accédez au "Centre de synchronisation".

Vous verrez que la fonctionnalité "Fichiers hors connexion" a été configurée automatiquement.

Si vous faites un double clic sur cette ligne, vous verrez que Windows a été configuré pour synchroniser les données de l'utilisateur (les dossiers redirigés) avec le partage réseau "users-data$" du serveur "AD-SERVER".

Cette synchronisation est bien entendu automatique, mais si l'utilisateur le souhaite, il peut la lancer aussi manuellement en faisant un clic droit -> Synchroniser users-data$ (\\AD-SERVER).

Ou via le menu contextuel de l'icône située dans la barre des tâches.

Maintenant que la redirection de dossiers fonctionne correctement et que vous avez vu que les dossiers redirigés seront automatiquement synchronisés par Windows, voici quelques stratégies intéressantes qui vous permettront de configurer cette synchronisation comme vous le souhaitez.

Pour cela, retournez dans les stratégies de groupe et allez dans : Configuration ordinateur -> Stratégies -> Modèles d'administration -> Réseau -> Fichiers hors connexion.

Dans cette section, nous allons activer ces stratégies :

• Configurer la synchronisation en arrière-plan
• Empêcher les fichiers d'être mis en cache (sous Windows Server 2008 R2) ou Activer les filtres de fichiers (sous Windows Server 2012)
• Activer la mise en cache transparente
• Synchroniser tous les fichiers hors connexion avant de terminer la session

Pour plus d'informations concernant la configuration des fichiers hors connexion, référez-vous au technet de Microsoft.

Comme vous avez pu le voir, la synchronisation en arrière-plan est activée par défaut si vous utilisez la redirection de dossiers.
Mais si vous voulez configurer cette synchronisation vous même, vous devrez activer et configurer la stratégie "Configurer la synchronisation en arrière-plan".

Pour éviter que vos utilisateurs saturent l'espace de stockage de votre serveur, vous pouvez utiliser les quotas de disques que nous verrons plus tard, mais vous pouvez aussi empêcher vos utilisateurs de stocker certains types de fichiers dans les dossiers qui seront accessibles hors connexion.
Vous pourriez, par exemple, exclure les fichiers vidéos possédant l'extension avi, mov, ...

Cette stratégie est nommée "Empêcher les fichiers d'être mis en cache" sous Windows Server 2008 R2 et "Activer les filtres de fichiers" sous Windows Server 2012.

Pour optimiser l'utilisation des fichiers présents dans les dossiers redirigés, vous pouvez activer la mise en cache transparente.
Lorsque vous activez cette stratégie et qu'un utilisateur accède 2 fois au même fichier sans que celui-ci ait été modifié entre temps, le fichier ne sera téléchargé qu'une seule fois depuis le serveur. Ce qui permet aussi d'économiser de la bande passante.

Et pour terminer, lorsque la fonctionnalité "Fichiers hors connexion" est activée, il est très important d'activer la stratégie "Synchroniser tous les fichiers hors connexion avant de terminer la session".
En effet, si vous ne l'activez pas et qu'un utilisateur ferme sa session avant que la synchronisation s'effectue, ses dernières modifications ne seront pas synchronisées avec le serveur.

Par contre, si vous activez cette stratégie, vous serez sûr que tous les fichiers hors connexion de l'utilisateur auront été automatiquement synchronisés avec votre serveur.

2.4. Configuration d'un lecteur réseau (facultatif)

Lorsque les profils itinérants et/ou la redirection de dossiers sont utilisés, les entreprises, les écoles, ... ont tendance à ajouter un lecteur réseau qui permet à l'utilisateur d'avoir accès à ces documents comme si ils étaient présents sur une partition du disque dur.
En réalité, il s'agit simplement d'associer une lettre de lecteur à un partage réseau pour faciliter son accès pour l'utilisateur lambda.

Dans notre cas, les documents et les téléchargements de l'utilisateur "User1" sont stockés dans le dossier "D:\users-data\User1" du serveur. Ce dossier est accessible par cet utilisateur via le chemin réseau suivant : \\AD-SERVER\users-data$\User1

Pour configurer le lecteur réseau pour chaque utilisateur, nous allons utiliser les stratégies de groupe (GPO).
Pour cela, allez dans "Configuration utilisateur -> Préférences -> Paramètres Windows -> Mappage de lecteurs", puis faites un clic droit dans la liste vide de droite.
Ensuite, cliquez sur : Nouveau -> Lecteur mappé

Etant donné que les données de chaque utilisateur sont stockées dans un dossier avec leur nom d'utilisateur, nous utiliserons la variable "%Username%" pour l'emplacement réseau du lecteur réseau.

Pour configurer le lecteur réseau :

• sélectionnez "Action : Mettre à jour".
• Indiquez le chemin "\\AD-SERVER\users-data$\%Username%" comme emplacement
• Sélectionnez "Lettre de lecteur / Utiliser : Z"
• Sélectionnez les options "Afficher ce lecteur" et "Afficher tous les lecteurs" en bas de la fenêtre.

Redémarrez le PC client et reconnectez-vous avec un de vos utilisateurs itinérants.
Vous devriez voir apparaitre un nouveau lecteur avec le nom de votre utilisateur.

Si vous rentrez dans ce lecteur réseau, vous verrez qu'il contient les documents et les téléchargements de votre utilisateur.

Comme vous pouvez le voir dans la barre d'adresse du PC client, Windows affiche par défaut le chemin réseau associé au lecteur réseau dans lequel vous venez d'entrer.
Néanmoins, si l'utilisateur tente d'accéder aux documents d'un autre utilisateur (par exemple, en tapant l'adresse "\\AD-SERVER\users-data$\User2"), Windows lui refusera l'accès, car chaque utilisateur peut accéder uniquement à ses dossiers redirigés.

Si vous regardez sur le serveur les droits attribués au dossier "User1" contenant les dossiers redirigés de User1, vous verrez que c'est le seul utilisateur autorisé à accéder à ce dossier.
Ce qui veut dire que User2 ne pourra pas y accéder.