VDI 7 : Virtualisation de l’état utilisateur

 7.1 Les profils Itinérants

Les profils Itinérants (Roaming User Profiles) permettent aux utilisateurs de conserver leurs documents et paramètres, quel que soit le poste de travail qu’ils utilisent. Cette méthode synchronise une copie locale du profil utilisateur avec un point de stockage central comme un serveur de fichier. Lorsque l’utilisateur ouvre sa session, il synchronise une copie de son profil utilisateur stocké sur un serveur sur le poste de travail qu’il utilise. Lors de la fermeture de session, l’ordinateur resynchronise le profil avec la copie sur le serveur afin de reporter les changements opérés. Cette technologie est intéressante mais peut être contraignante si les profils utilisateurs sont lourds. En effet, la synchronisation lors de l’ouverture et de la fermeture de session peut prendre un temps conséquent et immobilisant le poste de travail de l’utilisateur.

Avant de commencer la configuration de cette technologie, vous devez identifier un serveur de fichiers qui fera office de point de stockage central des profils itinérants. Créez un dossier et partagez-le aux utilisateurs avec les permissions adéquates. Il est conseillé de rendre ce dossier caché des utilisateurs en utilisant le signe $ à la fin de son nom. Créez ensuite un sous dossier pour chaque utilisateur en lui attribuant les droits nécessaires.

Ouvrez ensuite la console « Active Directory Users and Computer », sélectionnez le compte utilisateur de la personne cible et ouvrez les propriétés du compte. Cliquez sur l’onglet « Profile » et entrez le chemin réseau (UNC) vers le dossier qui stockera le profil itinérant de l’utilisateur :

Lorsque l’utilisateur se connectera, le processus créera les fichiers nécessaires. Notez que cette technologie engendre des problèmes de compatibilité entre les systèmes Windows XP et Windows 2000 et les systèmes Windows Vista et Windows 7. Ainsi si un utilisateur utilise des machines équipées de systèmes d’exploitation différents, ce système utilisera des profils itinérants différents en créant deux types de dossier. Pour les systèmes postérieurs à Windows Vista, le système créera un dossier « Repertoire_de_stockage_du_profil.V2 ». Ceci est issu des changements opérés entre Windows XP et Windows Vista concernant l’arborescence et l’organisation des profils utilisateurs.

Cet inconvénient s’ajoute aux longueurs engendrées par la synchronisation de profils lourds à l’ouverture et fermeture de session.

 7.2 La redirection de dossiers

La redirection de dossiers (Folder Redirection) permet de rediriger automatiquement les dossiers d’;un utilisateur vers un dossier nouvellement créé pour chaque utilisateur sur un serveur de fichier. Ainsi lorsqu’un utilisateur accède à ses documents, ceux-ci pointent sur un dossier du serveur de fichiers.

Avant de commencer la configuration de cette technologie, vous devez identifier un serveur de fichiers qui fera office de point de stockage central des profils itinérants. Créez un dossier et partagez-le aux utilisateurs avec les permissions adéquates. Il est conseillé de rendre ce dossier caché des utilisateurs en utilisant le signe $ à la fin de son nom. Pour configurer la redirection de dossiers, Créez et Editez une nouvelle stratégie de groupe.

Ouvrez l’arborescence « User Configuration => Policies => Windows Settings => Folder Redirection » de la console d’administration des stratégies de groupe (GPMC)Une fois l’arborescence ouverte, on distingue l’ensemble des dossiers que l’on peut retrouver dans un profil utilisateur :

Ouvrez les propriétés d’un dossier. L’onglet « Target » permet de paramétrer la redirection du dossier. On distingue trois types de paramétrages :

  • « Not Configured » : Aucune redirection de dossiers n’est paramétrée pour ce dossier.
  • « Basic – Redirect everyone’s folder to the same location » permet de rediriger le dossier vers une destination quel que soit l’utilisateur. L’encadrée « Target Folder location » permet de spécifier la façon dont sera stockée le dossier. On distingue les options suivantes :
    • « Create a folder for each user under the root path » permet de spécifier un chemin qui stockera un ensemble de répertoire portant le nom de chaque utilisateur et contenant les fichiers du dossier redirigé.
    • « Redirect to the following location » permet de rediriger le répertoire de tous les utilisateurs vers un chemin spécifié. (Il vous est possible de spécifier une variable comme %username%…)
    • « Redirect to the local user profile location » permet de redonner le comportement par défaut dans l’absence de redirection. Ceci permet de ne pas rediriger les dossiers.
    • Elle permet de rediriger le dossier si vous avez renseigné le dossier de base (Home Folder) à l’utilisateur.
    • « Follow the Documents folder » : Ce paramètre sert uniquement pour les dossiers Pictures, Videos, Music. Ceci permet de résoudre les problèmes de compatibilité entre Windows Vista et les systèmes d’exploitation antérieurs. Ce comportement est le même si vous configurez l’option « Also apply redirection policy to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating systems »

  • « Advanced – Specify locations for various user groups » permet de spécifier des chemins de stockage en fonction de groupe de sécurité Active Directory. Il est ainsi possible de stocker les répertoires utilisateurs pour un groupe sur un serveur et les répertoires utilisateurs d’un autre groupe sur un autre serveur.

L’onglet « Settings » permet de spécifier des paramétrages supplémentaires à la redirection de dossiers. Cet onglet offre les paramètres suivants :

  • « Grand the user exclusive rights to Documents » permet de ne donner les droits nécessaires qu’à l’utilisateur concerné par la redirection de dossier.
  • « Move the contents of <Répertoire> to the new location » permet de déplacer le contenu du dossier rediriger dans la nouveau répertoire de stockage.
  • « Also apply redirection policy to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating systems » permet d’appliquer la redirection de dossiers aux systèmes d’exploitation antérieurs à Windows Vista. Il est possible d’appliquer ce paramétrage pour les dossiers « Application Data, Desktop, My Documents, My Pictures, et Start Menu »
  • L’encart « Policy Removal » permet de configurer le comportement de la redirection de dossiers lorsque la stratégie de groupe n’est plus appliquée :
    • « Redirect the folder back to the user profile location when policy is removed » : Le dossier anciennement redirigé est copié sur le profil local de l’utilisateur. L’utilisateur utilise son profil local et a pleinement accès à ses ressources.
    • « Leave the folder in the new location when policy is removed » : cette option permet à l’utilisateur de continuer à avoir accès au contenu du dossier redirigé. Il continue à être redirigé vers le dossier spécifié.

Après avoir configuré les dossiers, on peut attester avoir correctement accès aux fichiers que l’on se connecte à notre poste Windows 7 ou à une machine virtuelle du pool de bureaux virtuels Windows XP :

La virtualisation de l’état utilisateur est une notion importante dans l’implémentation de votre infrastructure VDI. Vous serez amené à revoir la stratégie que vous avez mis en place ou à en construire une afin d’apporter la meilleure expérience utilisateur possible.

Pour plus d’informations sur la virtualisation de l’état utilisateur, je vous renvoie vers un article du laboratoire : /articles/win/profil-redirection-quotas/Vous pouvez aussi consulter le guide « Choosing an Appropriate User State Virtualization Solution » de Microsoft : https://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=fd01ed7a-c603-4f7c-8a60-8e4872b58bdf