Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

7. VDI : La virtualisation de l'état utilisateur

La technologie VDI de Microsoft est innovante mais nous n’avons pas jusqu’à maintenant abordé la notion de virtualisation de l’état utilisateur (UserState Virtualization). La virtualisation de l’état (paramètres) utilisateur est utilisé pour permettre aux utilisateurs de travailler avec ses données et son profil personnel à partir de n’importe quel ordinateur de l’entreprise. Le but est d’apporter de la souplesse, de réduire les risques de pertes des données en les centralisant sur des zones sécurisées de l’entreprise. Cette notion est un projet à part entière qui doit faire l’objet d’une étude approfondie. La virtualisation de l’état utilisateur prend tout son sens lors de l’implémentation de VDI puisque l’utilisateur doit avoir accès à ses données lors de l’utilisation des pools de machines virtuelles ou de son bureau virtuel personnel. Ces technologies existent depuis la sortie de Windows 2000 et ont évolué au fil des années pour s’adapter aux différentes attentes des utilisateurs de nos jours. Aujourd’hui, Microsoft proposent trois méthodes assimilées à la virtualisation de l’état utilisateur :

  • La fonctionnalité Offline Files permet aux utilisateurs non connectés au réseau, de manipuler des fichiers réseau comme s’ils étaient connectés. L’utilisateur synchronise ses fichiers entre son poste et un serveur de fichiers. Ceci peut être pratique si un utilisateur doit avoir accès à des documents partagés à partir de bureaux appartenant à un pool de machines virtuelles. Nous n’aborderons pas cette fonctionnalité dans cet article, nous vous renvoyons vers la documentation officielle de Microsoft
  • Les profils Itinérants (Roaming User Profiles) permettent aux utilisateurs de conserver leurs documents, paramètres et environnements de travail, quel que soit le poste de travail qu’ils utilisent. Cette méthode synchronise une copie locale du profil utilisateur avec un point de stockage central comme un serveur de fichier.
  • La redirection de dossiers (Folder Redirection) permet de rediriger automatiquement les dossiers d'un utilisateur vers un dossier nouvellement créé pour chaque utilisateur sur un serveur de fichier.

Nous aborderons rapidement les deux dernières technologies dans cet article. Notez qu’il est possible de mixer ces technologies afin de mieux les adapter à vos besoins.

 

 7.1 Les profils Itinérants

Les profils Itinérants (Roaming User Profiles) permettent aux utilisateurs de conserver leurs documents et paramètres, quel que soit le poste de travail qu’ils utilisent. Cette méthode synchronise une copie locale du profil utilisateur avec un point de stockage central comme un serveur de fichier. Lorsque l’utilisateur ouvre sa session, il synchronise une copie de son profil utilisateur stocké sur un serveur sur le poste de travail qu’il utilise. Lors de la fermeture de session, l’ordinateur resynchronise le profil avec la copie sur le serveur afin de reporter les changements opérés. Cette technologie est intéressante mais peut être contraignante si les profils utilisateurs sont lourds. En effet, la synchronisation lors de l’ouverture et de la fermeture de session peut prendre un temps conséquent et immobilisant le poste de travail de l’utilisateur.

Avant de commencer la configuration de cette technologie, vous devez identifier un serveur de fichiers qui fera office de point de stockage central des profils itinérants. Créez un dossier et partagez-le aux utilisateurs avec les permissions adéquates. Il est conseillé de rendre ce dossier caché des utilisateurs en utilisant le signe $ à la fin de son nom. Créez ensuite un sous dossier pour chaque utilisateur en lui attribuant les droits nécessaires.

 

Ouvrez ensuite la console « Active Directory Users and Computer », sélectionnez le compte utilisateur de la personne cible et ouvrez les propriétés du compte. Cliquez sur l’onglet « Profile » et entrez le chemin réseau (UNC) vers le dossier qui stockera le profil itinérant de l’utilisateur : 

 

Lorsque l’utilisateur se connectera, le processus créera les fichiers nécessaires.
Notez que cette technologie engendre des problèmes de compatibilité entre les systèmes Windows XP et Windows 2000 et les systèmes Windows Vista et Windows 7. Ainsi si un utilisateur utilise des machines équipées de systèmes d’exploitation différents, ce système utilisera des profils itinérants différents en créant deux types de dossier. Pour les systèmes postérieurs à Windows Vista, le système créera un dossier « Repertoire_de_stockage_du_profil.V2 ». Ceci est issu des changements opérés entre Windows XP et Windows Vista concernant l’arborescence et l’organisation des profils utilisateurs.

 

 

Cet inconvénient s’ajoute aux longueurs engendrées par la synchronisation de profils lourds à l’ouverture et fermeture de session.

 

 7.2 La redirection de dossiers

La redirection de dossiers (Folder Redirection) permet de rediriger automatiquement les dossiers d'un utilisateur vers un dossier nouvellement créé pour chaque utilisateur sur un serveur de fichier. Ainsi lorsqu’un utilisateur accède à ses documents, ceux-ci pointent sur un dossier du serveur de fichiers.

Avant de commencer la configuration de cette technologie, vous devez identifier un serveur de fichiers qui fera office de point de stockage central des profils itinérants. Créez un dossier et partagez-le aux utilisateurs avec les permissions adéquates. Il est conseillé de rendre ce dossier caché des utilisateurs en utilisant le signe $ à la fin de son nom. Pour configurer la redirection de dossiers, Créez et Editez une nouvelle stratégie de groupe.

 

 Ouvrez l’arborescence « User Configuration => Policies => Windows Settings => Folder Redirection » de la console d’administration des stratégies de groupe (GPMC). Une fois l’arborescence ouverte, on distingue l’ensemble des dossiers que l’on peut retrouver dans un profil utilisateur :

 

Ouvrez les propriétés d’un dossier.
L’onglet « Target » permet de paramétrer la redirection du dossier. On distingue trois types de paramétrages :

  • « Not Configured » : Aucune redirection de dossiers n’est paramétrée pour ce dossier.
  • « Basic – Redirect everyone’s folder to the same location » permet de rediriger le dossier vers une destination quel que soit l’utilisateur. L’encadrée « Target Folder location » permet de spécifier la façon dont sera stockée le dossier. On distingue les options suivantes :
    • « Create a folder for each user under the root path » permet de spécifier un chemin qui stockera un ensemble de répertoire portant le nom de chaque utilisateur et contenant les fichiers du dossier redirigé.
    • « Redirect to the following location » permet de rediriger le répertoire de tous les utilisateurs vers un chemin spécifié. (Il vous est possible de spécifier une variable comme %username%...)
    • « Redirect to the local user profile location » permet de redonner le comportement par défaut dans l’absence de redirection. Ceci permet de ne pas rediriger les dossiers.
    • « Redirect to the user’s home directory ». Elle permet de rediriger le dossier si vous avez renseigné le dossier de base (Home Folder) à l’utilisateur.
    • « Follow the Documents folder » : Ce paramètre sert uniquement pour les dossiers Pictures, Videos, Music.  Ceci permet de résoudre les problèmes de compatibilité entre Windows Vista et les systèmes d’exploitation antérieurs. Ce comportement est le même si vous configurez l’option « Also apply redirection policy to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating systems »

 

  • « Advanced – Specify locations for various user groups »  permet de spécifier des chemins de stockage en fonction de groupe de sécurité Active Directory. Il est ainsi possible de stocker les répertoires utilisateurs pour un groupe sur un serveur et les répertoires utilisateurs d’un autre groupe sur un autre serveur.

 

 

L’onglet « Settings » permet de spécifier des paramétrages supplémentaires à la redirection de dossiers. Cet onglet offre les paramètres suivants :

  • « Grand the user exclusive rights to Documents » permet de ne donner les droits nécessaires qu’à l’utilisateur concerné par la redirection de dossier.
  • « Move the contents of <Répertoire> to the new location » permet de déplacer le contenu du dossier rediriger dans la nouveau répertoire de stockage.
  • « Also apply redirection policy to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating systems » permet d’appliquer la redirection de dossiers aux systèmes d’exploitation antérieurs à Windows Vista. Il est possible d’appliquer ce paramétrage pour les dossiers « Application Data, Desktop, My Documents, My Pictures, et Start Menu »
  • L’encart « Policy Removal » permet de configurer le comportement de la redirection de dossiers lorsque la stratégie de groupe n’est plus appliquée :
    • « Redirect the folder back to the user profile location when policy is removed » : Le dossier anciennement redirigé est copié sur le profil local de l’utilisateur. L’utilisateur utilise son profil local et a pleinement accès à ses ressources.
    • « Leave the folder in the new location when policy is removed » : cette option permet à l’utilisateur de continuer à avoir accès au contenu du dossier redirigé. Il continue à être redirigé vers le dossier spécifié.

 

Après avoir configuré les dossiers, on peut attester avoir correctement accès aux fichiers que l’on se connecte à notre poste Windows 7 ou à une machine virtuelle du pool de bureaux virtuels Windows XP :

 

 

La virtualisation de l’état utilisateur est une notion importante dans l’implémentation de votre infrastructure VDI. Vous serez amené à revoir la stratégie que vous avez mis en place ou à en construire une afin d’apporter la meilleure expérience utilisateur possible.

Pour plus d’informations sur la virtualisation de l’état utilisateur, je vous renvoie vers un article du laboratoire : http://www.laboratoire-microsoft.org/articles/win/profil-redirection-quotas/
Vous pouvez aussi consulter le guide « Choosing an Appropriate User State Virtualization Solution » de Microsoft : http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=fd01ed7a-c603-4f7c-8a60-8e4872b58bdf

 

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/microsoft-virtual-desktop-infrastructure-vdi-sous-tous-ses-angles.aspx

Facebook Like