dimanche 28 septembre 2008

Re-diriger les dossiers de base d'un poste Windows XP via les GPO de Windows 2003 Server

Une fois n'est pas coutume, ce billet présente un aspect informatique très technique qui m'a occupé une bonne partie des trois semaines qui viennent de s'écouler : la re-direction des dossiers de base d'un poste sous Windows XP via les GPO de Windows 2003 Server.
En dépit de mes efforts, le vocabulaire employé s'adresse aux administrateurs réseaux...
Sans rapport direct avec mon sujet habituel, il me semble important de partager l'expertise acquise au cours de cette galère.

Contexte



Renouvellement des postes d'une salle informatique pédagogique et du serveur principal (financement Conseil Régional d'Auvergne).


Les postes (Windows XP) seront déployés à l'aide du RIS, fonctionnalité fournie en standard avec Windows 2003 Server.


La gestion des postes sera automatisée autant que possible en utilisant les GPO.


Nous ne souhaitons pas utiliser les profils itinérants réputés peu fiables !


La configuration des postes doit être aussi stable que possible pour ces raisons :
  • assurer une meilleure disponibilité des postes en limitant les plantages potentiels ;
  • offrir une configuration standard pérenne afin que chaque utilisateur retrouve à tout moment et quelque soit le poste, les mêmes outils aux mêmes endroits ;
  • faciliter la tâche des enseignants qui peuvent se référer aux outils la certitude qu'ils y sont.
Chaque utilisateur du réseau dispose d'un espace privé sur le serveur, aucun stockage de données sur les postes proprement dit, afin d'assurer une sécurité centralisée (serveur en RAID5, sauvegarde sur bandes).
Nous souhaitions imposer :
  • un bureau commun non modifiable (nous verrons que le non modifiable a son importance...) ;
  • un menu démarrer commun non modifiable ;
à chaque catégorie d'utilisateurs.
Jusqu'à présent, 
Lors de l'installation initiale :
  • tous les postes étaient identiques, or le renouvellement n'en concerne qu'une partie ;
  • nous avions trouvé plus simple d'inscrire en dure, dans la base de registre et dans le profil utilisateur par défaut, les chemins UNC d'accès aux dossiers contenant les configurations imposés : \nom_srvcheminbureau_commun.
Nous allions donc nous retrouver avec deux catégories de postes :
  • l'une composée des anciens postes, dont la configuration fait référence à un serveur qui doit disparaître (nous l'appellerons srv_old) ;
  • l'autre composée de postes neufs.
Nous ne voulions pas avoir à ré-installer tous les anciens postes, aussi, pour adapter leur configuration (chemins UNC d'accès au bureau et au menu démarrer commun), nous pensions utiliser désormais la fonctionnalité de re-direction des dossiers disponibles dans les GPO.

Mise en oeuvre des GPO de re-direction

Il faut utiliser la console de gestion des GPO (DémarrerExécuterGPEDIT.MSC).


Les règles de re-direction se trouvent dans Configuration UtilisateurParamètres WindowsRe-direction des dossiers de base.


Nous renseignons les champs nécessaires sans difficulté, les dossiers et leur chemin d'accès respectif existent déjà et disposent déjà des autorisations d'accès adéquates.


Nous attribuons notre nouvelle GPO à un utilisateur de test... et... déception !


Notre utilisateur test hérite bien du menu démarrer que nous souhaitions lui imposer, mais pas du bureau.
Nous vérifions que le chemin d'accès UNC est correct, que notre utilisateur dispose des droits suffisants, mais rien n'y fait...


Nous donnons tous les droits à notre utilisateur test sur le dossier du bureau et là, miracle, çà fonctionne !
Mais, la solution ne nous convient pas, puisque nous souhaitons figer le bureau, aucun utilisateur n'étant autorisé à en modifier le contenu...


Solutions envisagées

De nombreux tests, de nombreuses recherches sur Internet nous ont permis de trouver les éléments suivants :
  • la re-direction du bureau via la règle appropriée des GPO nécessite que l'utilisateur ait des droits suffisants pour qu'il puisse écrire dans le dossier correspondant (cf. le paragraphe Note de cet article  tiré du TechNet Microsoft) ;
  • il est possible d'ajouter des modèles d'administration aux GPO.
Cette dernière information nous ouvre de nouvelles perspectives : pourquoi ne pas créer un modèle qui nous permette de gérer les clefs de registre que nous utilisions en dure précédemment ?
Aussitôt dit, aussitôt fait, notamment grâce à l'outil RegToAdm, trouvé içi.
Nous ajoutons ce modèle à l'existant :
  1. Copier le fichier .ADM obtenu dans c:windowsinf ;
  2. Ouvrir GPMC.MMC ;
  3. Développer Configuration Utilisateur ;
  4. Cliquer droit sur Modèles d'administration puis Ajout/Suppression de modèles, sélectionner le fichier .ADM que vous avez copié précédemment ;
  5. Cette procédure ajoute une branche à l'arborescence existante : cette branche porte le nom que vous aurez indiqué dans le fichier .ADM.
Nouvelle déception !
L'arborescence est vide, aucun paramètre n'apparaît, aucun moyen de spécifier nos chemins UNC...
Nous reprenons nos recherches qui nous conduisent sur cette page.
Nous y apprenons que les clefs de base de registre que nous souhaitons utiliser ne sont pas reconnues à part entière dans les stratégies.
Pour pouvoir les utiliser pleinement, il nous faut, en plus de la démarche décrite dans le paragraphe précédent, réaliser une opération complémentaire.
Il nous faut paramétrer l'affichage de l'arborescence pour afficher tous les éléments et non plus seulement les éléments officiellement reconnus : 
  • clic droit sur Modèles d'administration ;
  • choisir Affichage dans le menu contextuel ;
  • puis Filtrage ;
  • pour enfin décocher N'afficher que les paramètres de stratégie pouvant être entièrement gérés.
Miracle, l'arborescence affiche enfin les paramètres dont nous avons besoin !
L'application de cette nouvelle GPO se déroule normalement, ouf !

Epilogue :

L'administrateur réseau qui lira ce billet est en droit de le trouver très verbeux.
J'ai fait le choix de présenter, à titre didactique, la démarche, le raisonnement qui sous-tendent les tâches d'un responsable informatique, afin que chacun puisse comprendre la complexité de ce métier.
Le lecteur pressé, trouvera ci-dessous, un résumé technique de la procédure à respecter.

Résumé technique pour un administrateur réseau pressé :

Objectif de la procédure : Imposer un bureau commun, non modifiable, aux utilisateurs d'un réseau Windows XP / Windows 2003 Server en utilisant les GPO.
  1. Créer autant de dossiers sur le serveur dans lesquels seront stockés les éléments constitutifs des différents bureaux associés aux différentes catégories d'utilisateurs ;
  2. Partager ces dossiers en lecture seule en choisissant un nom qui facilite la saisie des chemins UNC par la suite ;
  3. Créer le fichier modèle d'administration avec cet outil ou récupérer ce modèle ;
  4. Placer le fichier obtenu dans le dossier C:WINDOWSINF du serveur ;
  5. Charger l'outil GPMC.MMC ;
  6. Créer une nouvelle stratégie en la nommant de manière significative ;
  7. Développer Configuration Utilisateur ;
  8. Cliquer droit sur Modèles d'administration puis Ajout/Suppression de modèles, sélectionner le fichier .ADM que vous avez copié précédemment ;
  9. Cette procédure ajoute une branche à l'arborescence existante : cette branche porte le nom que vous aurez indiqué dans le fichier .ADM ;
  10. cliquer droit sur Modèles d'administration ;
  11. choisir Affichage dans le menu contextuel ;
  12. puis Filtrage ;
  13. pour enfin décocher N'afficher que les paramètres de stratégie pouvant être entièrement gérés ;
  14. Renseigner les champs en indiquant les chemins UNC vers les dossiers de bureaux précédemment définis ;
  15. Valider ;
  16. Attribuer votre stratégie aux groupes d'utilisateurs concernés.

          1 commentaires:

          gabidospi a dit…

          Super bien fait (moi avec XP je n'ai pas dans GPO la redirection des dossiers de base).

          En tout cas, bon tuto