Le profil obligatoire

Le profil obligatoire est un environnement non modifiable qui s'impose à l'utilisateur lorsque ce dernier ouvre une session. Il est particulièrement utile dans les réseaux ouverts au public (cybercafé, bibliothèque, école).

Il est généré à partir d'un profil par défaut. Ce billet décrit les différentes étapes conduisant à la création d'un tel profil.

 

1 : Création du profil par défaut servant de modèle au profil obligatoire

Il s'agit donc de se connecter sur un poste de travail du réseau avec un compte utilisateur n'ayant pas de profil (idéalement un nouveau compte) ou un compte ayant un profil (de type défaut). Pour la clarté de ce billet, je vais supposer qu'un nouveau compte réseau (dans Active Directory) vient d'être créé  et que l'identifiant de ce compte est "pierre.duval" (  et que, pour windows 10, ce compte appartient au groupe "admins de domaine").
Lors de la 1ère connexion de ce compte, le système d'exploitation Windows 10 crée pour cet utilisateur, dans le répertoire "utilisateurs" du disque "système ( c:\users) un dossier personnel portant le nom du compte de cet utilisateur ( c:\users\pierre.duval) ( cf. image ci-dessous). Ce dossier mémorise tout l'environnement numérique de "pierre.duval", c'est son profil.

Ce profil de "pierre.duval" va devenir notre modèle. Il faut donc que "pierre.duval" configure son bureau et ses applications, installe ses imprimantes, son accès à internet, etc.

2 : Autorisations

Par défaut le dossier du profil utilisateur créé par pierre.duval ne sera accessible que par pierre.duval aussi bien pour un accès en local ( sur le poste de travail) ou en itinérance ( sur le serveur)

Il est donc nécessaire d'y  donner accès au groupe des administrateurs. Pour cela, sur le poste de travail, il faut "Ajouter le groupe de sécurité administrateurs au profil utilisateur itinérant". Ce paramètre de stratégie de groupe figurant dans "configuration ordinateur - modèle d'administration - système - profil utilisateur" doit être activé avec l'éditeur de stratégie de groupe qui figure dans les outils d'administration du PC  ou en validant "gpedit.msc" dans la boite "executer" ( touche Windows+R).
Profitez-en pour donner une  valeur par exemple 10 au paramètre "supprimer au redémarrage du système les profils utilisateurs plus anciens qu' un nombre de jours spécifiés". Il peut être également utile d'activer "ne pas vérifier les utilisateurs propriétaires des dossiers profils itinérants" lorsque ce profil itinérant est un profil obligatoire.

3 : Copie du profil par défaut

Il est obligatoire de suivre la procédure suivante pour copier le profil de "pierre.duval" (autrement dit : le copier coller ne fonctionne pas).

Tapez "sysdm.cpl" dans la boite "touche Windows+R ou  allez dans "Panneau de configuration\Tous les Panneaux de configuration\Système".
Cliquez sur l'onglet "paramètres systèmes avancés" pour ouvrir la fenêtre "propriétés Système".

Dans "Profils des utilisateurs", (cf : image ci-contre), cliquez sur le bouton "paramètres". Choisissez "pierre.duval" et cliquez sur le bouton "Copier dans" (voir le §4 pour rendre le bouton "copier dans" actif).

Indiquez alors le chemin du dossier réseau  où sera enregistré votre modèle. Dans mon cas j'utilise "\\g2019\netlogon\mandatory-20-01.v6", (g2019 est le nom du serveur, netlogon est le nom du partage réseau, mandatory-20-01.v6 est le nom du dossier ; les noms en italique souligné sont à adapter à votre situation, mais l'extension .v6 est obligatoire -cf ci-dessous).
Autorisez les utilisateurs qui pourront utiliser ce profil, par exemple "tout le monde".
Cochez la case "profil obligatoire" ( il semble que cela induise un refus d'ouverure de session sur certaine version de Windows 10.
Validez en cliquant sur le bouton "OK".

Attention : l'extension .v6 est lié au n° de la version windows qui s'exécute sur le poste de travail de l'utilisateur.

  • on utilise .v6 pour les versions 16xx, 17xx, 18xx, 1903 (windows 10)
  • on utilise .v5 pour la version 15xx (windows 10)
  • on utilise .v2 pour windows 7

Pour connaitre la version de windows d'un poste de travail, tapez "winver" dans la barre de recherche (touches windows+R pour faire apparaitre cette barre).

Lorsque plusieurs versions de clients coexistent sur votre réseau, tous les profils doivent être disponibles dans le partage réseau.

 

 

4 : Rendre le profil obligatoire

Aller dans le dossier le modèle a été copié (ie : mandatory-20-01.v6). Modifiez l'extension du fichier ntuser (ntuser.dat doit devenir ntuser.man ; attention par défaut ce fichier est caché).

Pour chaque compte utilisateur dont le profil doit être obligatoire, entrez "\\g2019\netlogon\mandatory-20-01" comme chemin du profil (attention, il ne faut pas écrire l'extension .v6)

5 : Windows Enabler

Il se peut que le bouton "copier dans" ne s'active pas. L'utilitaire "WindowsEnabler" exécuté en mode administrateur, apporte la solution à ce problème

6 : Améliorer la rapidité de la connexion

Lorsque le compte de l'utilisateur  a un profil obligatoire, chaque ouverture de session sur le réseau est considérée par windows 10, comme s’il s’agissait de sa première connexion . Pour améliorer les performances de connexion   de ces utilisateurs , il faut modifier les stratégies de groupe locales des ordinateurs pour appliquer les paramètres affichés dans l'image ci-contre.
Pour accéder aux paramètres à modifier, allez dans "configuration ordinateur - modèles d'administration - tous les paramètres".
Puis dans la partie gauche, faire défiler jusqu'à atteindre le paramètre à modifier. Faire un doucle-clic sur ce paramètre pour ouvrir la fenêtre qui le décrit et choisir l'option qui vous convient entre non configuré, activé et désactivé :

  • Afficher l'animation à la 1ère connexion : désactivé
  • Autoriser Cortana : désactivé
  • Désactiver les expériences consommateur de Microsoft : activé

L'éditeur de stratégie de groupe locale

 

La fenêtre d'édition du paramètre "afficher l'animation à la 1ère connexion"