Un profil contient notamment :

  • les paramètres du bureau (fond d'écran, icônes)
  • les documents, images, musique, vidéos et téléchargement enregistrés à leur emplacement par défaut
  • la partie du registre contenue dans HKEY_CURRENT_USER
  • le paramétrage des applications propres à l'utilisateur (Internet Explorer, messagerie Outlook, Firefox et autres programmes)

 

Un profil ne contient notamment pas :

  • les programmes (il faudra les réinstaller le cas échéant)
  • les documents qui ne sont pas enregistrés à leur emplacement par défaut (exemple C:\toto\ ou D:\data\)
  • le système d'exploitation (il faudra aussi le réinstaller)
  • les parties du registre telles que HKEY_LOCAL_MACHINE
  • le paramétrage global des applications (contenu dans C:\ProgramData pour les Windows récents)
  • les raccourcis et documents du bureau qui sont communs à l'ensemble des utilisateurs (contenus dans C:\Users\Public)

Profil local :

Par défaut un profil est stocké sur le disque local. On parle donc de profil local.

  • Pour les versions de Windows telles que Windows XP, WindowsServer2003R2 et antérieur on parle de profils V1. Ils sont stockés dans C:\Documents and Settings\%username%\
  • Pour les versions de Windows telles que Windows Vista, WindowsServer2008 et plus récents on parle de profils V2. Ils sont stockés dans C:\Users\%username%\

Profil itinérant :

Un profil itinérant est un profil qui est contenu sur le réseau. Par exemple sur un serveur de fichiers.

Le nom du profil d'un utilisateur déprendra si le profil itinérant est un profil V1 ou un profil V2.

  • Pour un profil V1, le chemin du profil sera du type \\srv-fichiers\profils$\toto\
  • Pour un profil V2, le chemin du profil sera du type \\srv-fichiers\profils$\toto.v2\

 

Il est intéressant d'utiliser un profil itinérant lorsque :

  • Un utilisateur change de poste de travail (renouvellement de parc informatique par exemple) et que vous ne voulez par avoir à tout refaire à zéro. Dans ce cas vous passez temporairement le profil local en profil itinérant et vous le repassez en profil local lorsque le profil de l'utilisateur a été copié sur la nouvelle machine
  • Un utilisateur peut se connecter sur plusieurs postes (cas d'un utilisateur se connectant à une ferme de serveurs TSE)

Mais alors pourquoi ne pas tout passer en profils itinérant ?? Deux raisons : 1) ça prend de la place un profil de 5Go sur le réseau 2) Ca met beaucoup de temps à copier un profil de 5Go sur le réseau !!! Alors, à moins de vous amuser avec les quotas (le jour où ça bloquera l'utilisateur vous ne viendrez pas vous plaindre) il vaut mieux y réfléchir à deux fois. La prévention reste une bonne chose : le strict minimum dans le profil + un lecteur réseau pour les documents communs + un lecteur réseau personnel pour la messagerie et les photos de famille (et la musique, et les vidéos, etc.)

Paramétrage d'un profil itinérant (dans un domaine ADDS) :

Initial :

  • un poste de travail avec le profil local de l'utilisateur "jdupont"
  • un contrôleur de domaine

Marche à suivre :

sur le poste de travail contenant le profil local :

  • fermer la session de jdupont

sur le contrôleur de domaine, créez un dossier "C:\profils\" :

  • partager ce dossier en tant que "Profils$" (partage administratif = invisible dans le voisinage réseau)
  • droits du partage : tout le monde = contrôle total
  • sécurité du dossier : utilisateurs du domaine = tout coché sauf "contrôle total"
  • sécurité du dossier : administrateurs = contrôle total
  • le chemin est donc du genre \\adds\profils$\
  • bon, dans la pratique on utilisera un serveur de fichiers et pas le contrôleur de domaine pour créer des dossiers partagés.

dans la console "Utilisateurs et Ordinateurs Active Directory", modifier les propriétés du profil de jdupont :

  • onglet "profil"
  • chemin du profil = \\adds\profils$\%username% (le %username% va changer automatiquement en "jdupont")
  • valider

sur le poste de travail contenant le profil local :

  • ouvrir la session de jdupont
  • fermer la session de jdupont <-- le profil est copié (synchronisé plus exactement) dans \\adds\profils$\jdupont.v2 (si c'est un profil v2)

Erreurs diverses :

[box title="Erreur : Le profil itinérant n'est pas synchronisé avec le profil local ou bien la session s'ouvre avec un profil temporaire." box_color="#3C46A4"]Solution : désactivez le pare-feu et vérifiez que le poste de travail peut communiquer avec le partage réseau. Attention : c'est une erreur difficile à détecter car lors de mes tests sur des VM, j'ai pu mapper les partages réseau mais les profils ne se chargeaient pas. Après avoir modifié le routage NAT par du routage Bridge, ça fonctionnait ![/box]

[box title="Erreur : la commande robocopy ne veut pas copier/coller mon profil car il bloque sur le raccourci vers ApplicationData" box_color="#3C46A4"]Solution : Faites un copier/coller sans robocopy (eh oui) et pensez à remettre les droits sur le répertoire du profil C:\users\jdupont, à savoir :

  • Sécurité avancée du répertoire : enlever l'héritage
  • Sécurité du répertoire : Administrateurs = controle total + appliquer aux sous répertoires
  • Sécurité du répertoire : jdupont = contrôle total + appliquer aux sous répertoires
  • Sécurité du répertoire : utilisateurs = enlever de la liste[/box]

Transformer un profil V1 en profil V2 :

La réponse est simple : ce n'est pas possible ! il vous faudra utiliser la redirection des dossiers pour le mappage de "mes documents" par exemple, mais de toute façon ça ressemblera à de la rustine avec de la colle bon marché puisqu'il faudra de toute façon paramétrer de nouveau la messagerie, le fond d'écran (super important) et les favoris d'internet explorer.

De plus, certains sites traitent ça dans les détails, vous trouverez bien votre bonheur (ou pas).

 

Edit : j'ai eu l'occasion de bosser sur RDS et VDI 2016, dont un des schémas résume bien tout l'article. Le titre de l'article est "Windows Server 2016 RDS et VDI"

Profils utilisateurs