Partager via


Déployer la redirection de dossiers avec Fichiers hors connexion

**

Cet article décrit les exigences à respecter pour déployer simultanément la redirection de dossiers et les fichiers hors connexion, et notamment pour contrôler l’accès aux fichiers redirigés.

Prérequis

Avant de commencer, assurez-vous que votre environnement répond aux exigences suivantes.

Configuration requise de l’administration

  • Pour administrer la redirection de dossiers, vous devez vous connecter en tant que membre du groupe de sécurité Administrateurs de domaine, Administrateurs d’entreprise ou Propriétaires créateurs de la stratégie de groupe.
  • Un ordinateur sur lequel la Gestion des stratégies de groupe et le Centre d’administration Active Directory sont installés doit être disponible.

Configuration requise du serveur de fichiers

Le serveur de fichiers est l’ordinateur qui héberge les dossiers redirigés. Vérifiez que votre serveur de fichiers répond aux exigences suivantes.

Interopérabilité avec les services Bureau à distance

La configuration de l’accès à distance affecte la façon dont vous configurez le serveur de fichiers, les partages de fichiers et les stratégies. Si votre serveur de fichiers héberge également les services Bureau à distance, la procédure de déploiement présente quelques différences.

  • Vous n’êtes pas obligé de créer un groupe de sécurité pour les utilisateurs de la redirection de dossiers.
  • Vous devez configurer des autorisations différentes sur le partage de fichiers qui héberge les dossiers redirigés.
  • Vous devez précréer des dossiers pour les nouveaux utilisateurs et définir des autorisations spécifiques sur ces dossiers.

Important

La plupart des procédures du reste de cette section s’appliquent aux deux configurations d’accès à distance. Les procédures ou les étapes propres à une configuration particulière sont clairement indiquées.

Restriction de l’accès

Appliquez les modifications suivantes au serveur de fichiers en fonction de votre configuration :

  • Toutes les configurations : veillez à ce que seuls les administrateurs informatiques requis disposent d’un accès administratif au serveur de fichiers. La procédure de l’étape suivante configure l’accès pour les partages de fichiers individuels.
  • Serveurs n’hébergeant pas également les services Bureau à distance : désactivez les services Bureau à distance (termserv) sur votre serveur de fichiers s’il n’héberge pas également les services Bureau à distance.

Interopérabilité avec d’autres fonctionnalités de stockage

Pour faire en sorte que la redirection de dossiers et les fichiers hors connexion interagissent correctement avec les autres fonctionnalités de stockage, examinez les configurations suivantes.

  • Si le partage de fichiers utilise des espaces de noms DFS, les dossiers DFS (liens) doivent avoir une seule cible pour éviter que les utilisateurs effectuent des modifications en conflit sur différents serveurs.
  • Si le partage de fichiers utilise la réplication DFS pour répliquer le contenu avec un autre serveur, les utilisateurs doivent pouvoir accéder uniquement au serveur source pour éviter que les utilisateurs effectuent des modifications en conflit sur différents serveurs.
  • Quand vous utilisez un partage de fichiers en cluster, désactivez la disponibilité continue sur le partage de fichiers afin d’éviter les problèmes de performances liés à la redirection de dossiers et aux fichiers hors connexion. Lorsque la disponibilité continue est activée, les fichiers hors connexion peuvent ne pas passer en mode hors connexion pendant trois à six minutes après que l’utilisateur a perdu l’accès au partage de fichiers. Ce délai pourrait mécontenter ceux qui n’utilisent pas encore le mode Toujours hors connexion des fichiers hors connexion.

Configuration requise des clients

  • Les ordinateurs clients doivent exécuter Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 ou Windows Server 2016.
  • Les ordinateurs clients doivent être joints au domaine Active Directory Domain Services (AD DS) que vous gérez.
  • Les ordinateurs clients doivent exécuter des processeurs x64 ou x86. La redirection de dossiers n’est pas prise en charge sur les PC équipés de processeurs ARM.

Important

Certaines fonctionnalités plus récentes de la redirection de dossiers imposent des exigences supplémentaires en ce qui concerne les ordinateurs clients et les schémas Active Directory. Pour plus d’informations, consultez Déploiement d’ordinateurs principaux pour la redirection de dossiers et les profils utilisateur itinérants, Désactivation des fichiers hors connexion sur des dossiers redirigés individuels, Activation du mode Toujours hors connexion pour un accès plus rapide aux fichiers et Activation des déplacements optimisés de dossiers redirigés.

Étape 1 : Créer un groupe de sécurité de redirection de dossiers

Si vous exécutez les services Bureau à distance sur le serveur de fichiers, ignorez cette étape. Attribuez plutôt des autorisations aux nouveaux utilisateurs lorsque vous leur précréez des dossiers.

Cette procédure crée un groupe de sécurité qui contient tous les utilisateurs auxquels vous souhaitez appliquer les paramètres de la stratégie de redirection de dossiers.

  1. Sur un ordinateur sur lequel le Centre d’administration Active Directory est installé, ouvrez le Gestionnaire de serveur.

  2. Sélectionnez Outils>Centre d’administration Active Directory. Le Centre d’administration Active Directory s’affiche.

  3. Cliquez avec le bouton droit sur l’unité d’organisation ou le domaine appropriés, puis sélectionnez Nouveau>Groupe.

  4. Dans la fenêtre Créer un groupe , dans la section Groupe , indiquez les paramètres suivants :

    • Dans Nom du groupe, entrez le nom du groupe de sécurité, par exemple Utilisateurs de la redirection de dossiers.
    • Dans Étendue du groupe, sélectionnez Sécurité>Globale.
  5. Dans la section Membres, sélectionnez Ajouter. La boîte de dialogue Sélectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes s’affiche.

  6. Entrez les noms des utilisateurs ou des groupes sur lesquels vous voulez déployer la redirection de dossiers, puis sélectionnez OK et à nouveau OK.

Étape 2 : Créer un partage de fichiers pour les dossiers redirigés

Si vous ne disposez pas déjà d’un partage de fichiers pour les dossiers redirigés, procédez comme suit pour créer un partage de fichiers sur un serveur Windows Server 2016 (ou version ultérieure).

Notes

Certaines fonctionnalités peuvent être différentes ou non disponibles si vous créez le partage de fichiers sur un serveur exécutant une autre version de Windows Server.

  1. Dans le volet de navigation du Gestionnaire de serveur, sélectionnez Services de fichiers et de stockage>Partages pour afficher la page Partages.

  2. Dans la page Partages, sélectionnez Tâches>Nouveau partage. L'Assistant Nouveau partage s'affiche.

  3. Sur la page Sélectionner un profil, choisissez l’option correspondant à votre configuration d’Outils de gestion de ressources pour serveur de fichiers :

    • Si les Outils de gestion de ressources pour serveur de fichiers sont installés et que vous utilisez des propriétés de gestion des dossiers, sélectionnez Partage SMB - Avancé.
    • Si les Outils de gestion de ressources pour serveur de fichiers ne sont pas installés ou que vous n’utilisez pas de propriétés de gestion des dossiers, sélectionnez Partage SMB – Rapide.
  4. Dans la page Emplacement du partage , sélectionnez le serveur et le volume sur lesquels vous voulez créer le partage.

  5. Sur la page Nom du partage, donnez un nom au partage (par exemple Users$) dans la zone Nom du partage.

    Conseil

    Quand vous créez le partage, masquez-le en plaçant un caractère $ (signe dollar) après son nom. Cette opération masque le partage dans les navigateurs informels.

  6. Dans la page Autres paramètres, décochez la case Activer la disponibilité continue le cas échéant. Vous pouvez éventuellement cocher les cases Activer l’énumération basée sur l’accès et Chiffrer l’accès aux données.

  7. Dans la page Autorisations, sélectionnez Personnaliser les autorisations pour ouvrir la boîte de dialogue Paramètres de sécurité avancés.

  8. Sélectionnez Désactiver l’héritage, puis Convertir les autorisations héritées en autorisations explicites sur cet objet.

  9. Reportez-vous aux tableaux et figures ci-après pour définir les autorisations.

    Important

    Veillez à vous appuyer sur le bon tableau, car les autorisations varient selon la configuration de l’accès à distance.

    • Autorisations pour les serveurs de fichiers sans les services Bureau à distance

      Compte d’utilisateur Autorisation S’applique à
      System Contrôle total Ce dossier, les sous-dossiers et les fichiers
      Administrateurs Contrôle total Ce dossier uniquement
      Propriétaire créateur Contrôle total Sous-dossiers et fichiers uniquement
      Groupe de sécurité des utilisateurs devant placer des données sur le partage (Utilisateurs de la redirection de dossiers) Liste du dossier/lecture de données1
      Création de dossier et ajout de données1
      Lecture des attributs1
      Lecture des attributs étendus1
      Lecture1
      Parcours du dossier/exécuter le fichier1
      Ce dossier uniquement
      Autres groupes et comptes Aucune (supprimer les comptes qui ne figurent pas dans ce tableau)

      1 Autorisations avancées

      Capture d’écran de la page Autorisations avancées montrant la définition des autorisations dans le cadre de la configuration d’un serveur distinct.

    • Autorisations pour les serveurs de fichiers avec les services Bureau à distance

      Compte d’utilisateur ou rôle Autorisation S’applique à
      System Contrôle total Ce dossier, les sous-dossiers et les fichiers
      Administrateurs Contrôle total Ce dossier, les sous-dossiers et les fichiers
      Propriétaire créateur Contrôle total Sous-dossiers et fichiers uniquement
      Autres groupes et comptes Aucune (supprimer tous les autres comptes de la liste de contrôle d’accès)

      Capture d’écran de la page Autorisations avancées montrant la définition des autorisations dans le cadre de la configuration d’un serveur colocalisé.

  10. Si vous avez choisi le profil Partage SMB – Avancé au début de cette procédure, suivez ces étapes supplémentaires :

    • Dans la page Propriétés de gestion, sélectionnez la valeur Utilisation du dossier Fichiers utilisateur.
    • Si vous le souhaitez, sélectionnez un quota à appliquer aux utilisateurs du partage.
  11. Dans la page Confirmation, sélectionnez Créer.

Étape 3 : Précréer les dossiers des nouveaux utilisateurs sur des serveurs qui hébergent également les services Bureau à distance

Si le serveur de fichiers héberge également les services Bureau à distance, suivez cette procédure pour précréer les dossiers des nouveaux utilisateurs et leur attribuer les autorisations appropriées.

  1. Dans le partage de fichiers que vous avez créé au cours de la procédure précédente, accédez au dossier racine du partage de fichiers.

  2. Appliquez l’une des méthodes suivantes pour créer un dossier.

    • Cliquez avec le bouton droit sur le dossier racine, puis sélectionnez Nouveau>Dossier. Entrez le nom d’utilisateur du nouvel utilisateur comme nom du dossier.

    • Ou, pour créer le dossier avec Windows PowerShell, ouvrez une fenêtre d’invite de commandes PowerShell et exécutez l’applet de commande suivante :

      New-Item -Path 'c:\shares\frdeploy\<newuser>' -ItemType Directory
      

      Dans cette commande, <newuser> représente le nom du nouvel utilisateur.

  3. Cliquez avec le bouton droit sur le nouveau dossier, puis sélectionnez Propriétés>Sécurité>Avancé>Propriétaire. Vérifiez que le propriétaire du dossier est le groupe Administrateurs.

  4. Reportez-vous au tableau et à la figure ci-après pour définir les autorisations. Supprimez les autorisations de tous les groupes et comptes qui ne figurent pas dans cette liste.

    Compte d’utilisateur Autorisation S’applique à
    System Contrôle total Ce dossier, les sous-dossiers et les fichiers
    Administrateurs Contrôle total Ce dossier, les sous-dossiers et les fichiers
    Propriétaire créateur Contrôle total Sous-dossiers et fichiers uniquement
    newuser1 Contrôle total Ce dossier, les sous-dossiers et les fichiers
    Autres groupes et comptes Aucune (supprimer tous les autres comptes de la liste de contrôle d’accès)

    1 newuser représente le nom d’utilisateur du compte du nouvel utilisateur.

    Capture d’écran de la définition des autorisations du dossier d’un nouvel utilisateur sous la racine du partage Redirection de dossiers.

Étape 4 : Créer un objet de stratégie de groupe pour la redirection de dossiers

Si vous ne disposez pas déjà d’un objet stratégie de groupe (GPO) qui gère les fonctionnalités de redirection de dossiers et de fichiers hors connexion, suivez cette procédure pour en créer un.

  1. Sur un ordinateur sur lequel la Gestion des stratégies de groupe est installée, ouvrez le Gestionnaire de serveur.

  2. Sélectionnez Outils>Gestion des stratégies de groupe.

  3. Dans la Gestion des stratégies de groupe, cliquez avec le bouton droit sur le domaine ou l’unité d’organisation où vous voulez configurer la redirection de dossiers, puis sélectionnez Créer un objet GPO dans ce domaine, et le lier ici.

  4. Dans la boîte de dialogue Nouvel objet GPO, donnez un nom à l’objet de stratégie de groupe (par exemple, Paramètres de redirection de dossiers), puis sélectionnez OK.

  5. Cliquez avec le bouton droit sur l’objet de stratégie de groupe nouvellement créé, puis décochez la case Lien activé. Cette opération empêche l’objet de stratégie de groupe d’être appliqué tant que vous n’avez pas terminé de le configurer.

  6. Sélectionnez l'objet de stratégie de groupe. Sélectionnez Étendue>Filtrage de sécurité>Utilisateurs authentifiés, puis sélectionnez Supprimer pour empêcher l’objet GPO d’être appliqué à tout le monde.

  7. Dans la section Filtrage de sécurité, sélectionnez Ajouter.

  8. Dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur ou un groupe, configurez l’option correspondant à votre configuration :

  9. Sélectionnez Délégation>Ajouter, puis entrez Utilisateurs authentifiés. Sélectionnez OK, puis à nouveau OK pour accepter l’autorisation Lecture par défaut.

    Important

    Cette étape est nécessaire en raison des modifications de sécurité apportées dans MS16-072. Vous devez accorder au groupe Utilisateurs authentifiés des permissions de lecture déléguées sur l’objet de stratégie de groupe Redirection de dossiers. À défaut, l’objet de stratégie de groupe ne sera pas appliqué aux utilisateurs ; s’il l’est déjà, il sera supprimé, ce qui redirigera les dossiers vers le PC local. Pour plus d’informations, consultez Déploiement du correctif de sécurité des stratégies de groupe MS16-072.

Étape 5 : Configurer les paramètres de stratégie de groupe pour les fonctionnalités Redirection de dossiers et Fichiers hors connexion

Une fois que vous avez créé un objet de stratégie de groupe pour les paramètres de redirection de dossiers, effectuez les étapes suivantes pour modifier les paramètres de stratégie de groupe qui activent et configurent la redirection de dossiers.

Notes

Par défaut, la fonctionnalité Fichiers hors connexion est activée pour les dossiers redirigés sur les ordinateurs clients Windows et désactivée sur les ordinateurs Windows Server. Les utilisateurs peuvent activer cette fonctionnalité, ou vous pouvez utiliser une stratégie de groupe pour la contrôler. Cette stratégie est Autoriser ou interdire l’utilisation de la fonctionnalité de fichiers hors connexion.

Pour plus d’informations sur d’autres paramètres de stratégie de groupe pour Fichiers hors connexion, consultez Activer des fonctionnalités Fichiers hors connexion avancées et Configuration d’une stratégie de groupe pour Fichiers hors connexion.

  1. Dans Gestion des stratégies de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous avez créé (par exemple, Paramètres de redirection de dossiers), puis sélectionnez Modifier.

  2. Dans la fenêtre de l’Éditeur de gestion des stratégies de groupe, accédez à Configuration utilisateur>Stratégies>Paramètres Windows>Redirection de dossiers.

  3. Cliquez avec le bouton droit sur un dossier que vous souhaitez rediriger (par exemple, documents), puis sélectionnez Propriétés.

  4. Dans la boîte de dialogue Propriétés, dans la boîte Paramètres, sélectionnez De base - Rediriger les dossiers de tout le monde vers le même emplacement.

    (Facultatif) Dans la section Suppression de stratégie, sélectionnez Rediriger le dossier vers l’emplacement local userprofile une fois la stratégie supprimée. Ce paramètre permet de rendre le comportement de la redirection de dossiers plus prévisible pour les administrateurs et les utilisateurs.

  5. Dans la section Emplacement du dossier cible, sélectionnez Créer un dossier pour chaque utilisateur sous le chemin racine.

  6. Dans la zone Chemin racine, entrez le chemin du partage de fichiers qui stocke les dossiers redirigés, par exemple \\fs1.corp.contoso.com\users$.

  7. Sélectionnez OK, puis Oui dans la boîte de dialogue Avertissement.

Étape 6 : Activer l’objet de stratégie de groupe de redirection de dossiers

Une fois la configuration des paramètres de la stratégie de groupe de redirection de dossiers terminée, l’étape suivante consiste à activer l’objet de stratégie de groupe. Cette opération permet à l’objet de stratégie de groupe d’être appliqué aux utilisateurs affectés.

Conseil

Si vous envisagez d'implémenter la prise en charge des ordinateurs principaux ou d'autres paramètres de stratégie, faites-le maintenant, avant d'activer l'objet de stratégie de groupe. Ces paramètres permettent d’éviter que des données utilisateur soient copiées sur des ordinateurs non principaux avant que la prise en charge des ordinateurs principaux soit activée.

  1. Ouvrez Gestion des stratégies de groupe.
  2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous avez créé, puis sélectionnez Lien activé. Une coche s'affiche en regard de l'élément de menu.

Étape 7 : Tester la redirection de dossiers

Pour tester la redirection de dossiers, connectez-vous à un ordinateur à l’aide d’un compte d’utilisateur configuré pour utiliser des dossiers redirigés. Vérifiez ensuite que les dossiers et les profils sont redirigés.

  1. Connectez-vous à un ordinateur principal (si vous avez activé la prise en charge des ordinateurs principaux) avec un compte d’utilisateur pour lequel vous avez activé la redirection de dossiers.

  2. Si l’utilisateur s’est connecté à l’ordinateur, ouvrez une invite de commandes avec élévation de privilèges, puis entrez la commande suivante pour que les derniers paramètres de stratégie de groupe soient appliqués à l’ordinateur client :

    gpupdate /force
    
  3. Ouvrez l’Explorateur de fichiers.

  4. Cliquez avec le bouton droit sur un dossier redirigé (par exemple, le dossier Mes documents dans la bibliothèque Documents), puis sélectionnez Propriétés.

  5. Sélectionnez l’onglet Emplacement, puis vérifiez que le chemin indique le partage de fichiers que vous avez spécifié au lieu d’un chemin local.

Annexe A : Liste de vérification du déploiement de la redirection de dossiers

Terminé Tâche ou élément
Préparer le domaine et autres prérequis
- Joindre les ordinateurs au domaine
- Créer des comptes d’utilisateur
- Vérifier les prérequis du serveur de fichiers et la compatibilité avec d’autres services
- Le serveur de fichiers héberge-t-il également les services Bureau à distance ?
- Restreindre l’accès au serveur de fichiers
Étape 1 : Créer un groupe de sécurité de redirection de dossiers
- Nom du groupe :
- Membres :
Étape 2 : Créer un partage de fichiers pour les dossiers redirigés
- Nom du partage de fichiers :
Étape 3 : Précréer les dossiers des nouveaux utilisateurs sur des serveurs qui hébergent également les services Bureau à distance
Étape 4 : Créer un objet de stratégie de groupe pour la redirection de dossiers
- Nom de l’objet de stratégie de groupe :
Étape 5 : Configurer les paramètres de stratégie de groupe pour les fonctionnalités Redirection de dossiers et Fichiers hors connexion
- Dossiers redirigés :
- Prise en charge de Windows 2000, Windows XP et Windows Server 2003 activée ?
- Fonctionnalité Fichiers hors connexion activée ? (activée par défaut sur les ordinateurs clients Windows)
- Mode Toujours hors connexion activé ?
- Synchronisation des fichiers en arrière-plan activée ?
- Déplacement optimisé des dossiers redirigés activé ?
(Facultatif) Activer la prise en charge des ordinateurs principaux :
- Basée sur les ordinateurs ou basée sur les utilisateurs ?
- Désigner les ordinateurs principaux pour les utilisateurs
- Emplacement des mappages des utilisateurs et des ordinateurs principaux :
- (Facultatif) Activer la prise en charge des ordinateurs principaux pour la redirection de dossiers
- (Facultatif) Activer la prise en charge des ordinateurs principaux pour les profils utilisateur itinérants
Étape 6 : Activer l’objet de stratégie de groupe de redirection de dossiers
Étape 7 : Tester la redirection de dossiers