Archives de catégorie : Administration Windows

Comment gérer le dossier homedrive d’un utilisateur Active Directory avec une GPO seulement

L’objectif est ici de gérer les dossiers personnels des utilisateurs d’un domaine sans passer par les options dédiées à cela dans la fenêtre de configuration du profil utilisateur :

gpohd1
Pour moi, l’approche « GPO Only » à de nombreux avantages :

  • Utilisation des GPO : l’ensemble de la configuration du domaine au niveau postes et utilisateur devrait se trouver là.
  • La configuration est ici automatique. Dans le cas où on a pas de création automatisée des users, il n’est pas nécessaire de s’assurer que le dossier personnel est bien défini dans le compte utilisateur.
  •  La gestion de ce genre de paramètres par GPO est plus simple et plus universelle que l’utilisation de scripts.

…mais elle a aussi quelques inconvénients, pour n’avoir a utiliser qu’une seule GPO, il faudra sûrement 2 redémarrages pour que le lecteur soit pleinement fonctionnel pour l’utilisateur.

Création du dossier racine des dossiers personnels

Ce que je nomme ici « dossier racine » est le dossier qui contiendra les dossiers personnels des utilisateurs (Homedrives en anglais).

La difficulté est ici de trouver les bon réglages au niveau de la sécurité pour qu’un utilisateur ne puisse pas accéder au contenu du dossier d’un autre.
De plus, quand nous définissons ces droits, les dossiers utilisateurs ne sont pas encore crées et nous ne pouvons intervenir que sur le dossier parent et non les dossiers utilisateurs en eux-mêmes.

Tout d’abord, on crée le dossier pour stocker les dossiers personnels et on le partage avec les droits suivants :

Utilisateurs authentifiés         Contrôle total
Administrateurs (locaux)        Contrôle total

gpohd2Ici, on partage avec des droits très larges car la sécurité sera gérée par les droits NTFS sur les fichiers et dossiers, pas sur le partage.

Au niveau du nom du partage, ajoutez $ à la fin pour le rendre invisible sur le réseau. Dans mon exemple, j’ai utilisé le nom Homedrives$

Ensuite, voici les paramètres NTFS à appliquer sur le dossier (il faut utiliser les paramètres de sécurité avancés) :

Administrateurs (locaux) – Ce dossier, les sous-dossiers et les fichiers :
Contrôle total

Système – Ce dossier, les sous-dossiers et les fichiers :
Contrôle total

CREATEUR PROPRIETAIRELes sous-dossiers et les fichiers seulement :
Contrôle total

Utilisateurs authentifies – Ce dossier seulement :
Parcours du dossier/exécuter le fichier
Liste du dossier /Lecture de données
Attributs de lecture
Lecture des attributs étendus
Création de dossier/ajout de données
Attributs d’écriture
Ecriture d’attributs étendus
Autorisations de lecture

Il faut aussi stopper la propagation des droits en décochant la case Inclure les autorisations pouvant être héritées du parent de cet objet :

gpohd3

Création de la GPO

Cette GPO aura deux fonctions :

  • Créer le dossier personnel de l’utilisateur
  • Connecter ce dossier sur un lecteur réseau

Tout d’abord, je vais créer le dossier personnel de l’utilisateur s’il n’existe pas encore.
Dans ma GPO, je vais dans Configuration utilisateur -> Préférences -> Paramètres Windows -> Dossiers.

Je crée ensuite un nouveau dossier avec les paramètres suivants :

Onglet Général :
Action :                         Créer
Chemin d’accès :     \\serveur\repertoire$\%LogonUser%

gpohd4

Onglet Commun :
Cochez Exécuter dans le contexte de sécurité de l’utilisateur connecté (option de stratégie utilisateur)

gpohd5

Ensuite, je choisis de connecter le lecteur réseau H au dossier personnel de l’utilisateur.
Je vais configurer la connexion du lecteur dans la même GPO, dans Configuration utilisateur -> Préférences -> Paramètres Windows -> Mappages de lecteurs.

J’y connecte un lecteur (H dans cet exemple) avec les paramètres suivants :
Onglet Général :
Action :                             Remplacer
Reconnecter :                    coché
Emplacement :                \\serveur\repertoire$\%LogonUser%
Libeller en tant que :        Home
Lettre de lecteur – Utiliser :     H:

gpohd6

Onglet Commun :
Cocher Exécuter dans le contexte de sécurité de l’utilisateur connecté (option de stratégie utilisateur) :

gpohd7

Et voilà ! Après deux reboot, l’utilisateur aura accès à son lecteur personnel sans qu’il ne faille le configurer dans le profil Active Directory.

Lenteurs réseau suite à la désactivation du paramètre WPAD

Voici un petit souci auquel j’ai eu à faire recement impliquant la gestion parfois obscure de la configuration automatique du navigateur (wpad) sous Windows.

Contexte :

Suite à une modification de réseau, je ne passais plus par un serveur WPAD pour récupérer la configuration de connexion internet mais les postes devaient se connecter directement en suivant le routage des passerelles par défaut.

Après la déconnexion de l’ancien réseau, les accès internet avec Internet Explorer fonctionnaient bien (après avoir supprimé la configuration WPAD) ; mais certaines applications non directements intégrées à Internet Explorer sont devenues très lentes.

L’application OpenText utilisée avec SAP pour valider des factures via un workflow intégré à SAP mettait plusieurs minutes pour afficher un document contre quelques secondes avant. Idem pour une autre application Java …

Cause :

Le problème était causé par le fait que ces applications annexes utilisaient toujours WPAD, en effet en analysant le traffic avec Wireshark on trouvait des retransmissions TCP symptômatiques de timeouts réseau.

Et le serveur qui tentait d’être contacté en vain était l’ancien serveur WPAD :

wpad-1

Résolution :

C’est en utilisant ProcMon.exe de Sysinternals que j’ai vu que ces applications recherchaient dans le registre l’adresse du dernier wpad connu pour le réseau ; ceci bypassant le réglage indiqué dans les paramètres Windows et IE. Il s’agit peut-être d’une API quelconque aussi …

Voici les accès à ce paramètre vu par ProcMon :

wpad-2

Et la solution fut de supprimer complètement la clef incriminée, ici HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad

Les lenteurs ont tout de suite cessées.

Attention par contre si plus d’un réseaux utilisent wpad, je ne garantis rien dans ce cas.