Comment gérer le dossier homedrive d’un utilisateur Active Directory avec une GPO seulement

L’objectif est ici de gérer les dossiers personnels des utilisateurs d’un domaine sans passer par les options dédiées à cela dans la fenêtre de configuration du profil utilisateur :

gpohd1
Pour moi, l’approche « GPO Only » à de nombreux avantages :

  • Utilisation des GPO : l’ensemble de la configuration du domaine au niveau postes et utilisateur devrait se trouver là.
  • La configuration est ici automatique. Dans le cas où on a pas de création automatisée des users, il n’est pas nécessaire de s’assurer que le dossier personnel est bien défini dans le compte utilisateur.
  •  La gestion de ce genre de paramètres par GPO est plus simple et plus universelle que l’utilisation de scripts.

…mais elle a aussi quelques inconvénients, pour n’avoir a utiliser qu’une seule GPO, il faudra sûrement 2 redémarrages pour que le lecteur soit pleinement fonctionnel pour l’utilisateur.

Création du dossier racine des dossiers personnels

Ce que je nomme ici « dossier racine » est le dossier qui contiendra les dossiers personnels des utilisateurs (Homedrives en anglais).

La difficulté est ici de trouver les bon réglages au niveau de la sécurité pour qu’un utilisateur ne puisse pas accéder au contenu du dossier d’un autre.
De plus, quand nous définissons ces droits, les dossiers utilisateurs ne sont pas encore crées et nous ne pouvons intervenir que sur le dossier parent et non les dossiers utilisateurs en eux-mêmes.

Tout d’abord, on crée le dossier pour stocker les dossiers personnels et on le partage avec les droits suivants :

Utilisateurs authentifiés         Contrôle total
Administrateurs (locaux)        Contrôle total

gpohd2Ici, on partage avec des droits très larges car la sécurité sera gérée par les droits NTFS sur les fichiers et dossiers, pas sur le partage.

Au niveau du nom du partage, ajoutez $ à la fin pour le rendre invisible sur le réseau. Dans mon exemple, j’ai utilisé le nom Homedrives$

Ensuite, voici les paramètres NTFS à appliquer sur le dossier (il faut utiliser les paramètres de sécurité avancés) :

Administrateurs (locaux) – Ce dossier, les sous-dossiers et les fichiers :
Contrôle total

Système – Ce dossier, les sous-dossiers et les fichiers :
Contrôle total

CREATEUR PROPRIETAIRELes sous-dossiers et les fichiers seulement :
Contrôle total

Utilisateurs authentifies – Ce dossier seulement :
Parcours du dossier/exécuter le fichier
Liste du dossier /Lecture de données
Attributs de lecture
Lecture des attributs étendus
Création de dossier/ajout de données
Attributs d’écriture
Ecriture d’attributs étendus
Autorisations de lecture

Il faut aussi stopper la propagation des droits en décochant la case Inclure les autorisations pouvant être héritées du parent de cet objet :

gpohd3

Création de la GPO

Cette GPO aura deux fonctions :

  • Créer le dossier personnel de l’utilisateur
  • Connecter ce dossier sur un lecteur réseau

Tout d’abord, je vais créer le dossier personnel de l’utilisateur s’il n’existe pas encore.
Dans ma GPO, je vais dans Configuration utilisateur -> Préférences -> Paramètres Windows -> Dossiers.

Je crée ensuite un nouveau dossier avec les paramètres suivants :

Onglet Général :
Action :                         Créer
Chemin d’accès :     \\serveur\repertoire$\%LogonUser%

gpohd4

Onglet Commun :
Cochez Exécuter dans le contexte de sécurité de l’utilisateur connecté (option de stratégie utilisateur)

gpohd5

Ensuite, je choisis de connecter le lecteur réseau H au dossier personnel de l’utilisateur.
Je vais configurer la connexion du lecteur dans la même GPO, dans Configuration utilisateur -> Préférences -> Paramètres Windows -> Mappages de lecteurs.

J’y connecte un lecteur (H dans cet exemple) avec les paramètres suivants :
Onglet Général :
Action :                             Remplacer
Reconnecter :                    coché
Emplacement :                \\serveur\repertoire$\%LogonUser%
Libeller en tant que :        Home
Lettre de lecteur – Utiliser :     H:

gpohd6

Onglet Commun :
Cocher Exécuter dans le contexte de sécurité de l’utilisateur connecté (option de stratégie utilisateur) :

gpohd7

Et voilà ! Après deux reboot, l’utilisateur aura accès à son lecteur personnel sans qu’il ne faille le configurer dans le profil Active Directory.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.