Re-diriger les dossiers de base d'un poste Windows XP via les GPO de Windows 2003 Server
Une fois n'est pas coutume, ce billet présente un aspect informatique très technique qui m'a occupé une bonne partie des trois semaines qui viennent de s'écouler : la re-direction des dossiers de base d'un poste sous Windows XP via les GPO de Windows 2003 Server.Contexte
Renouvellement des postes d'une salle informatique pédagogique et du serveur principal (financement Conseil Régional d'Auvergne).
Les postes (Windows XP) seront déployés à l'aide du RIS, fonctionnalité fournie en standard avec Windows 2003 Server.
La gestion des postes sera automatisée autant que possible en utilisant les GPO.
Nous ne souhaitons pas utiliser les profils itinérants réputés peu fiables !
La configuration des postes doit être aussi stable que possible pour ces raisons :
- assurer une meilleure disponibilité des postes en limitant les plantages potentiels ;
- offrir une configuration standard pérenne afin que chaque utilisateur retrouve à tout moment et quelque soit le poste, les mêmes outils aux mêmes endroits ;
- faciliter la tâche des enseignants qui peuvent se référer aux outils la certitude qu'ils y sont.
- un bureau commun non modifiable (nous verrons que le non modifiable a son importance...) ;
- un menu démarrer commun non modifiable ;
- tous les postes étaient identiques, or le renouvellement n'en concerne qu'une partie ;
- nous avions trouvé plus simple d'inscrire en dure, dans la base de registre et dans le profil utilisateur par défaut, les chemins UNC d'accès aux dossiers contenant les configurations imposés : \nom_srvcheminbureau_commun.
- l'une composée des anciens postes, dont la configuration fait référence à un serveur qui doit disparaître (nous l'appellerons srv_old) ;
- l'autre composée de postes neufs.
Mise en oeuvre des GPO de re-direction
Il faut utiliser la console de gestion des GPO (DémarrerExécuterGPEDIT.MSC).Les règles de re-direction se trouvent dans Configuration UtilisateurParamètres WindowsRe-direction des dossiers de base.
Nous renseignons les champs nécessaires sans difficulté, les dossiers et leur chemin d'accès respectif existent déjà et disposent déjà des autorisations d'accès adéquates.
Nous attribuons notre nouvelle GPO à un utilisateur de test... et... déception !
Notre utilisateur test hérite bien du menu démarrer que nous souhaitions lui imposer, mais pas du bureau.
Nous vérifions que le chemin d'accès UNC est correct, que notre utilisateur dispose des droits suffisants, mais rien n'y fait...
Nous donnons tous les droits à notre utilisateur test sur le dossier du bureau et là, miracle, çà fonctionne !
Mais, la solution ne nous convient pas, puisque nous souhaitons figer le bureau, aucun utilisateur n'étant autorisé à en modifier le contenu...
Solutions envisagées
De nombreux tests, de nombreuses recherches sur Internet nous ont permis de trouver les éléments suivants :- la re-direction du bureau via la règle appropriée des GPO nécessite que l'utilisateur ait des droits suffisants pour qu'il puisse écrire dans le dossier correspondant (cf. le paragraphe Note de cet article tiré du TechNet Microsoft) ;
- il est possible d'ajouter des modèles d'administration aux GPO.
- Copier le fichier .ADM obtenu dans c:windowsinf ;
- Ouvrir GPMC.MMC ;
- Développer Configuration Utilisateur ;
- Cliquer droit sur Modèles d'administration puis Ajout/Suppression de modèles, sélectionner le fichier .ADM que vous avez copié précédemment ;
- Cette procédure ajoute une branche à l'arborescence existante : cette branche porte le nom que vous aurez indiqué dans le fichier .ADM.
- clic droit sur Modèles d'administration ;
- choisir Affichage dans le menu contextuel ;
- puis Filtrage ;
- pour enfin décocher N'afficher que les paramètres de stratégie pouvant être entièrement gérés.
Epilogue :
Résumé technique pour un administrateur réseau pressé :
- Créer autant de dossiers sur le serveur dans lesquels seront stockés les éléments constitutifs des différents bureaux associés aux différentes catégories d'utilisateurs ;
- Partager ces dossiers en lecture seule en choisissant un nom qui facilite la saisie des chemins UNC par la suite ;
- Créer le fichier modèle d'administration avec cet outil ou récupérer ce modèle ;
- Placer le fichier obtenu dans le dossier C:WINDOWSINF du serveur ;
- Charger l'outil GPMC.MMC ;
- Créer une nouvelle stratégie en la nommant de manière significative ;
- Développer Configuration Utilisateur ;
- Cliquer droit sur Modèles d'administration puis Ajout/Suppression de modèles, sélectionner le fichier .ADM que vous avez copié précédemment ;
- Cette procédure ajoute une branche à l'arborescence existante : cette branche porte le nom que vous aurez indiqué dans le fichier .ADM ;
- cliquer droit sur Modèles d'administration ;
- choisir Affichage dans le menu contextuel ;
- puis Filtrage ;
- pour enfin décocher N'afficher que les paramètres de stratégie pouvant être entièrement gérés ;
- Renseigner les champs en indiquant les chemins UNC vers les dossiers de bureaux précédemment définis ;
- Valider ;
- Attribuer votre stratégie aux groupes d'utilisateurs concernés.