Le profil obligatoire

Le profil obligatoire est un environnement non modifiable qui s'impose à l'utilisateur lorsque ce dernier ouvre une session. Il est particulièrement utile dans les réseaux ouverts au public (cybercafé, bibliothèque, école).

Il est généré à partir d'un profil par défaut. Ce billet décrit les différentes étapes conduisant à la création d'un tel profil pour un client windows 10.

1 : Création du profil par défaut servant de modèle au profil obligatoire

Il s'agit donc de se connecter sur un poste de travail en réseau (exécutant la version du système d'exploitation pour lequel le profil doit être créé : ici windows 10) avec un compte utilisateur n'ayant pas de profil (idéalement un nouveau compte) ou un compte ayant un profil (de type défaut). Pour la clarté de ce billet, je vais supposer qu'un nouveau compte réseau (dans Active Directory) vient d'être créé et que l'identifiant de ce compte est "pierre.duval" (et que ce compte appartient au groupe "admins de domaine" : indispensable pour windows 10).
Lors de la 1ère connexion de ce compte, le système d'exploitation crée pour cet utilisateur, dans le répertoire "utilisateurs" du disque "système" ( normalement c:\users) un dossier personnel portant le nom du compte de cet utilisateur ( c:\users\pierre.duval) ( cf. image ci-dessous). Ce dossier mémorise tout l'environnement numérique de "pierre.duval", c'est son profil.

Ce profil de "pierre.duval" va devenir notre modèle. Il faut donc que "pierre.duval" configure son bureau et ses applications, installe ses raccourcis ...,>

2 : Autorisations

Par défaut le dossier du profil utilisateur créé par (pour) pierre.duval ne sera accessible que par pierre.duval aussi bien pour un accès en local (sur un poste de travail isolé) ou en itinérance ( sur un poste de travail en réseau)

Il est donc nécessaire de  donner un accès au groupe des administrateurs.

Toujours sur le poste de travail, il faut donc ajouter le groupe de sécurité administrateurs au profil des utilisateurs itinérants.
Pour cela, comme le montre l'image ci-dessous, il faut activer avec l'éditeur de stratégie de groupe,  le paramètre  "ajouter le groupe de sécurité administrateurs au profil utilisateurs itinérants"  qui figure dans "configuration ordinateur - modèle d'administration - système - profil utilisateur". L'éditeur de stratégie de groupe s'obtient par exemple en tapant "gpedit.msc" dans la boite "executer" ( touche Windows+R) du bureau.
Profitez-en pour donner une  valeur par exemple 10 au paramètre "supprimer au redémarrage du système les profils utilisateurs plus anciens qu' un nombre de jours spécifiés". Il peut être également utile d'activer "ne pas vérifier les utilisateurs propriétaires des dossiers profils itinérants" lorsque ce profil itinérant est un profil obligatoire.

 

3 : Copie du profil par défaut

Attention:

Avant de réaliser la suite des opérations décrites dans ce paragraphe, il est indispensable de se déconnecter du compte "pierre duval" et se connecter avec un autre compte ayant des droits d'administrateur du domaine, faute de quoi les fichiers ouverts ( par exemple ntuser.dat)  ne seront pas copiés.

Il est obligatoire de suivre la procédure suivante pour copier le profil de "pierre.duval" (autrement dit : le copier-coller ne fonctionne pas).

Tapez "sysdm.cpl" dans la boite "touche Windows+R ou allez dans "Panneau de configuration\Tous les Panneaux de configuration\Système".
Cliquez sur l'onglet "paramètres systèmes avancés" pour ouvrir la fenêtre "propriétés Système".

Dans "Profils des utilisateurs", (cf : image ci-contre), cliquez sur le bouton "paramètres". Choisissez "pierre.duval" et cliquez sur le bouton "Copier dans" (voir le §4 pour rendre le bouton "copier dans" actif).

Indiquez alors le chemin du dossier réseau où sera enregistré votre modèle. Dans mon cas j'utilise "\\g2019\netlogon\mandatory-20-01.v6", (g2019 est le nom du serveur, netlogon est le nom du partage réseau, mandatory-20-01.v6 est le nom du dossier ; les noms en italique souligné sont à adapter à votre situation, mais l'extension (ici .v6) est imposée (cf la note ci-dessous pour connaitre l'extension à utiliser).
Autorisez les utilisateurs qui pourront utiliser ce profil, par exemple "tout le monde".
Cochez la case "profil obligatoire" ( il semble que cela induise un refus d'ouverture de session sur certaines versions de Windows 10).
Validez en cliquant sur le bouton "OK".

information complémentaire disponible en cliquant ici

L'extension .v6 par exemple, est lié au n° de la version windows qui s'exécute sur le poste de travail de l'utilisateur.

  • on utilise .v6 pour les versions 16xx, 17xx, 18xx, 1903 (windows 10)
  • on utilise .v5 pour la version 15xx (windows 10)
  • on utilise .v2 pour windows 7

Pour connaitre la version de windows d'un poste de travail, tapez "winver" dans la barre de recherche (touches windows+R pour faire apparaitre cette barre).

Lorsque plusieurs versions de clients coexistent sur votre réseau, il faut créer, dans le partage réseau, autant de  version du profils que de version de clients disponibles dans le partage réseau..
Par exemple mandatory-20-01.v6  ; mandatory-20-01.v5 pour les clients windows 10, mandatory-20-01.v2 pour les clients windows 7

4 : Rendre le profil obligatoire

Aller dans le dossier où le modèle a été copié (ie : mandatory-20-01.v6). Modifiez l'extension du fichier ntuser (ntuser.dat doit devenir ntuser.man ; attention par défaut ce fichier est caché).

Pour chaque compte utilisateur dont le profil doit être obligatoire entrez "\\g2019\netlogon\mandatory-20-01" comme chemin du profil (attention, il ne faut pas écrire l'extension .v6)

5 : Windows Enabler

Il se peut que le bouton "copier dans" ne s'active pas. L'utilitaire "WindowsEnabler" exécuté en mode administrateur, apporte la solution à ce problème.

6 : Améliorer la rapidité de la connexion

Lorsque le compte de l'utilisateur  a un profil obligatoire, chaque ouverture de session sur le réseau est considérée par windows 10, comme s’il s’agissait de sa première connexion . Pour améliorer les performances de connexion   de ces utilisateurs , il faut modifier les stratégies de groupe locales des ordinateurs pour appliquer les paramètres affichés dans l'image ci-contre.
Pour accéder aux paramètres à modifier, allez dans "configuration ordinateur - modèles d'administration - tous les paramètres".
Puis dans la partie gauche, faire défiler jusqu'à atteindre le paramètre à modifier. Faire un doucle-clic sur ce paramètre pour ouvrir la fenêtre qui le décrit et choisir l'option qui vous convient entre non configuré, activé et désactivé :

  • Afficher l'animation à la 1ère connexion : désactivé
  • Autoriser Cortana : désactivé
  • Désactiver les expériences consommateur de Microsoft : activé

L'éditeur de stratégie de groupe locale

 

La fenêtre d'édition du paramètre "afficher l'animation à la 1ère connexion"