[Tuto] Créer des dossiers partagés personnels pour les utilisateurs d’un domaine AD

Dans un précédent article, j’avais vaguement évoqué le sujet des partages personnels pour limiter le volume d’un profil itinérant et inviter les utilisateurs à stocker leurs données dans un dossier situé sur le réseau. Dans ce tuto, nous allons voir ensemble comment mettre en place ces partages personnels, aussi connus sous le nom de « dossier de base ».

Mettre en place des partages privés pour ses utilisateurs AD

Dans ce nouveau post, nous allons mettre à disposition de nos utilisateurs AD un dossier partagé qui sera propre à chacun, accessible seulement à l’utilisateur concerné et faire en sorte qu’il soit disponible automatiquement dès l’ouverture de session. Ce dossier partagé sera stocké sur un serveur de l’entreprise et l’utilisateur y accédera à distance.

Cet article étant un peu dans la continuité de celui concernant les profils itinérants, le schéma de mon labo restera exactement le même (1 seul poste client est nécessaire) :

Nous allons ici traiter deux méthodes différentes pour aboutir au résultat attendu.

La différence entre les deux méthodes réside dans la façon de gérer les droits d’accès aux partages personnels et le chemin réseau final que vous souhaitez avoir/utiliser.

Pour la 1^ère méthode, que nous appellerons ici « gestion automatique des droits d‘accès », nous allons appliquer des autorisations à un dossier global sur le serveur de fichiers, une seule et unique fois et ne plus intervenir sur les droits d’accès. Le chemin réseau du dossier de base prendra cette forme :

\\Nom-du-serveur\Nom-du-partage-global$\Login-de-l’utilisateur

Pour la 2^nde méthode, que nous appellerons ici « gestion manuelle des droits d’accès », nous allons créer un dossier global sur le serveur de fichiers que nous n’allons pas partager. Nous allons ensuite manuellement créer le dossier de l’utilisateur, le partager et gérer ses droits d’accès. Cela implique des manipulations de votre part pour chaque utilisateur ayant besoin d’un dossier personnel. Le chemin réseau du dossier de base prendra cette forme :

\\Nom-du-serveur\Login-de-l’utilisateur$

Je vous laisse choisir la méthode qui vous conviendra le mieux au fil de votre lecture, pour ma part j’utilise les deux selon le contexte ou la demande.

⇒ Accès rapide aux différentes parties de cet article :

1. Introduction

Un partage personnel pour un utilisateur Active Directory s’appelle un « dossier de base ». C’est un dossier stocké quelque part sur un serveur que l’utilisateur peut utiliser à sa guise pour ses données.

Il peut être utile pour éviter de stocker trop de données dans les profils utilisateurs ce qui peut alourdi les délais d’ouverture de session et faire du trafic inutile sur le réseau.

Contrairement à un profil itinérant qui sera partiellement chargé en local, le dossier personnel de l’utilisateur restera sur le serveur où il se trouve et il y accédera à distance et pourra le modifier en temps réel.

Là aussi la matérialisation d’un dossier personnel pour un utilisateur AD est très simple. Sur un serveur de fichiers, nous aurons un dossier général qui contiendra tous les dossiers personnels de nos utilisateurs.

Dans ce dossier, nous aurons le dossier personnel de Pierre, puis un autre dossier pour Paul, etc, etc… Dans le dossier de Paul, nous aurons tous les dossiers/documents/fichiers qu’il souhaitera mettre, c’est un dossier privé donc il fait un peu près ce qu’il veut dedans.

Lorsque Paul se connectera à son PC, son dossier personnel sera chargé depuis le serveur où il est stocké et fonctionnera de la même manière qu’un partage réseau, il sera « mappé » sur une lettre dans « Ce PC ».

Si Paul change de PC demain pour une raison x ou y, il va se connecter et retrouvera l’accès à son dossier comme si rien n’avait changé.

Voyons maintenant comment mettre cela en place dans notre infra et vous allez voir que c’est très très simple, c’est parti !

2. Préparer le serveur de fichiers

Méthode A : Gestion « automatique » des droits d‘accès aux partages personnels

Avec cette méthode, nous allons préparer un dossier et définir dessus des autorisations d’accès afin de ne pas les gérer dossier personnel par dossier personnel.

Sur votre serveur de fichiers, créez un dossier général qui accueillera les dossiers de chaque utilisateur par la suite. Je vais ici le nommer « Homes$ », mettez ce que vous voulez, il faudra juste vous en souvenir par la suite.

Faites un clic droit sur ce nouveau dossier et allez dans ses propriétés, dans l’onglet « Partage », puis cliquez sur « Partage avancé ».

Cochez la case « Partager ce dossier ». Par défaut, le nom du partage deviendra automatiquement le nom du dossier (d’où le fait que je le mets direct dans le nom du dossier, par pure flemme ), si vous n’avez pas mis le symbole $ à la fin du nom du dossier, je vous invite à l’ajouter dans le nom du partage afin qu’il soit masqué sur le réseau. Cliquez sur « Autorisations ».

Cliquez une fois sur la ligne « Tout le monde » puis sur le bouton « Supprimer ».

Cliquez ensuite sur le bouton « Ajouter » puis recherchez « Utilisateurs authentifiés ». Cliquez sur OK quand ce groupe a bien été trouvé.

Attribuez à Utilisateurs authentifiés les autorisations de Lecture et de Modification.

Cliquez deux fois de suite sur les boutons « OK » pour terminer. De retour dans l’onglet « Partage », vous pouvez voir le chemin d’accès réseau de ce dossier, souvenez vous en pour la suite.

Rendez-vous maintenant dans l’onglet « Sécurité ». Cliquez sur « Avancé ».

Cliquez sur le bouton « Désactiver l’héritage » puis sur « Convertir les autorisations héritées en autorisations explicites ».

Supprimez les deux lignes attribuant des droits au groupe « Utilisateurs » en les sélectionnant une par une et en cliquant sur le bouton « Supprimer ».

Une fois terminée, vous devriez avoir cette vue-là :

Cliquez sur OK et fermez les propriétés du dossier Homes$.

C’est tout ce qu’il y a à faire, le serveur de fichier est désormais prêt, rendez-vous directement au chapitre 3.

Méthode B : Gestion « manuelle » des droits d’accès aux partages personnels

Avec cette seconde méthode, nous allons créer directement le partage d’un utilisateur et gérer ses droits d’accès. Cette opération sera à répéter pour chaque utilisateur auquel vous voulez attribuer un partage personnel.

Sur votre serveur de fichiers, créez un dossier général qui accueillera les dossiers de chaque utilisateur par la suite. Je vais ici le nommer « Homes » mais le nom n’est pas vraiment important, c’est juste pour s’organiser proprement.

Le but désormais est de créer un partage personnel, un « home » pour un utilisateur de mon AD dont le login est « poseidon ».

Dans le dossier que l’on vient de créer, créez un dossier qui portera le login de l’utilisateur, j’utilise une fois encore le login car c’est censé être unique dans un AD donc pas de risque de dossier déjà existant. Je vais également faire suivre le login du symbole $ pour éviter d’avoir à la faire par la suite (mais c’est par pur flemme…).

Faites un clic droit sur le nom de ce nouveau dossier et allez dans ses propriétés, dans l’onglet « Partage » et cliquez sur « Partage avancé ».

Cochez la case « Partager ce dossier », le nom du partage sera automatiquement celui du dossier. Si dans le nom du dossier nous n’avez pas mis de symbole « $ », je vous conseille de l’ajouter ici dans le nom du partage afin de masquer sa présence sur le réseau. Cliquez ensuite sur « Autorisations ».

Supprimez le groupe « Tout le monde » en cliquant une fois dessus puis sur le bouton « Supprimer ».

Cliquez sur « Ajouter » et recherchez le login de votre utilisateur, chez moi je rappelle que c’est « poseidon », et cliquez sur OK.

Donnez à l’utilisateur les droits « Lecture » et « Modifier » sur ce partage.

Comme il s’agit d’un dossier censé être « privé », réservé à l’utilisateur lui-même, il n’est pas nécessaire d’ajouter des droits à un administrateur (qui de toutes façons pourra quand même y accéder grâce aux permissions de sécurité…).

Une fois terminé, cliquez sur OK deux fois pour valider le partage du dossier. Vous verrez alors le chemin réseau permettant d’accéder au contenu de ce dossier à distance. Notez bien ce chemin pour la suite.

Info ++ : Ne touchez à rien dans l’onglet « Sécurité », nous n’avons pas besoin de modifier les permissions dites « NTFS » car en l’état avec les autorisations de partage dites « SMB », seul l’utilisateur pourra y accéder à distance.

Le serveur de fichiers est prêt, nous pouvons passer dans l’AD pour déclarer le chemin réseau dans les propriétés de l’utilisateur en question.

3. Définir un partage personnel pour un utilisateur AD

Allons maintenant dans notre AD, dans les propriétés de l’utilisateur que nous sommes en train de gérer, onglet « Profil ».

La partie qui nous intéresse est dans le cadre « Dossier de base », plus précisément le deuxième point « Connecter » et « à ». Cochez le point « Connecter ».

Définissez une lettre de lecteur sur lequel le dossier sera « mappé » automatiquement lors de la connexion de l’utilisateur, c’est-à-dire que le partage sera directement connecté et accessible dans « Ce PC » sur le PC de l’utilisateur dès qu’il se sera authentifié.

Dans le champ « à », saisissez simplement le chemin réseau que vous avez vu après avoir partagé le dossier de l’utilisateur.

Méthode A :

Dans mon cas, je vais mapper le partage sur la lettre « Y » et le chemin de mon partage est « \\srv-fichiers\homes$\poseidon ».

Info + : Le nom du partage dans mon cas est le login de l’utilisateur. Dans la capture précédente, j’utilise donc la variable « %username% » qui va automatiquement devenir le login de l’utilisateur en cours de modification.

Cliquez sur OK pour valider l’opération.

Si nous regardons sur le serveur de fichiers, dans le dossier Homes$, nous allons d’ores et déjà trouver un dossier portant le login de l’utilisateur.

Si on jette un coup d’œil à ses propriétés, onglet « Sécurité », nous pouvons constater que l’utilisateur a automatiquement reçu des droits d’accès Contrôle total du côté des permissions de sécurité NTFS.

C’est tout bon pour cette partie, rendez-vous maintenant au chapitre 4 pour tester ce que nous venons de mettre en place.

Méthode B :

Dans mon cas, je vais mapper le partage sur la lettre « Y » et le chemin de mon partage est « \\srv-fichiers\poseidon$ ».

Info + : Le nom du partage dans mon cas est le login de l’utilisateur suivi d’un $, dans la capture précédente, j’utilise donc la variable « %username% » qui va automatiquement devenir le login de l’utilisateur en cours de modification.

Cliquez sur OK. Un message d’avertissement va s’ouvrir indiquant que le dossier de base n’a pas été créé car l’on ne dispose pas des droits suffisants (dans le cadre de la méthode B, c’est normal). Vous pouvez ignorer ce message sans problème en cliquant sur OK, nous avons fait la création manuelle en amont.

C’est terminé, connectons maintenant l’utilisateur sur un poste client pour voir le résultat.

4. Test du mappage et de l’accès au dossier de base

Une fois l’utilisateur connecté sur son poste, allez dans « Ce PC ».

Vous trouverez dans la partie inférieure « Emplacements réseau », un mappage, sur la lettre ici « Y » qui pointe vers le partage personnel de mon utilisateur Poséidon.

Méthode A :

Méthode B :

Créons un fichier à l’intérieur pour s’assurer que l’utilisateur peut bien écrire dans son propre dossier personnel.

Côté serveur de fichiers qui hébergent le dossier, nous retrouvons bien ce fichier, en temps réel, contrairement à un profil itinérant, pas besoin de déconnecter l’utilisateur car les données ne transitent pas sur le réseau, elles restent sur le serveur de fichiers.

Toujours depuis le compte de Poséidon, tentons d’accéder au partage personnel d’un autre utilisateur, par exemple ici Athéna (qui a été préalablement créé sur le serveur de fichiers) en saisissant le chemin réseau.

Vérification avec chemin réseau Méthode A :

Vérification avec chemin réseau Méthode B :

Dans les deux cas, la réponse sera sans appel : Poséidon n’a pas le droit d’aller fourrer son nez dans le partage privé d’Athéna.

Les droits d’accès sont donc conformes pour les partages perso de nos utilisateurs AD.

5. Bonus : Appliquer un dossier de base en PowerShell

Si vous utilisez un script PowerShell pour la création/gestion de vos utilisateurs AD, il faudra ajouter cette commande pour définir un dossier de base et le mapper automatiquement à la connexion de l’utilisateur sur son PC :

Set-ADUser -Identity "athena" -HomeDirectory "\\srv-fichiers\homes$\athena" -HomeDrive "Y:"

Cette commande va modifier les champs « Connecter » et « à » directement dans les propriétés de l’user AD ciblé (ici le login est toujours « Athena ») en ajoutant le chemin réseau du dossier personnel de l’utilisateur qui est hébergé sur un serveur de fichiers et en mappant ce partage sur la lettre Y par exemple.

Si vous utilisez la méthode B, il faudra modifier le chemin du partage, la commande sera la suivante :

Set-ADUser -Identity "athena" -HomeDirectory "\\srv-fichiers\athena$" -HomeDrive "Y:"

Attention toutefois, je vous rappelle que pour la méthode B, c’est à vous de créer le dossier de l’utilisateur, de le partager et d’y attribuer des autorisations d’accès, ça ne sera pas automatique ! Ces manipulations sont bien entendu réalisables via PowerShell, à vous de trouver les bonnes commandes pour cela.

Info + : La commande Set-ADUser modifie un utilisateur déjà existant dans l’AD. Vous pouvez ajouter les paramètres « -HomeDirectory » et « -HomeDrive » directement dans la commande « New-ADUser » pour créer un nouvel utilisateur et en même temps lui assigner et mapper un lecteur réseau pointant vers son partage personnel.

C’est terminé pour cet article consacré au dossier de base des utilisateurs Active Directory. Couplé à un profil itinérant (et une petite redirection de dossiers aussi car faut pas trop faire confiance à ses utilisateurs hein ), vous assurerez une bonne gestion des données des utilisateurs de votre entreprise. Ce qu’il faut bien retenir c’est que tout ce qui est stocké sur un serveur est centralisé et est censé être mieux sauvegardé.