📁 Installation d’un Serveur de Profils Itinérants (avec FSLogix)¶
🧭 Introduction¶
Un serveur de profils itinérants permet aux utilisateurs d’un domaine Active Directory (AD) de conserver leurs paramètres, fichiers et préférences, quel que soit le poste sur lequel ils se connectent. Cela favorise la mobilité, la productivité, la sécurité et une gestion centralisée des environnements de travail.
📌 Définition¶
Un profil itinérant est un profil utilisateur stocké sur un serveur central plutôt que sur l'ordinateur local. Lorsqu’un utilisateur se connecte sur un poste du domaine, son environnement personnel est téléchargé automatiquement depuis ce serveur.
🎯 Avantages¶
- Uniformité de l’expérience utilisateur : même environnement peu importe la machine utilisée.
- Mobilité accrue : l’utilisateur retrouve son espace de travail où qu’il soit.
- Centralisation : facilite les sauvegardes, la gestion et le contrôle des données utilisateurs.
- Sécurité : les données utilisateurs ne résident pas sur les postes locaux, ce qui réduit les risques en cas de perte ou vol.
- Gain de productivité : plus besoin de reconfigurer les environnements à chaque changement de poste.
🧪 Cas d’usage¶
Dans une entreprise où les utilisateurs changent fréquemment de poste ou travaillent en session distante (RDS/Citrix), les profils itinérants permettent de maintenir une expérience cohérente.
⚙️ Mise en place d’un serveur de profils itinérants avec FSLogix¶
1. 📂 Préparation de l’arborescence de dossiers¶
- Créer un dossier sur un volume dédié, par exemple
D:\PROFILS_RDS -
Créer le partage réseau :
-
Nom du partage :
PROFILS$ - Désactiver l’héritage NTFS pour gérer les permissions manuellement
- Créer également un dossier
D:\FSLOGIXredirpour la redirection
2. 🧾 Fichier de registre (Extrait type share.reg)¶
Ce fichier permet de générer automatiquement les partages via le registre Windows (LanmanServer\Shares). Il inclut les définitions de PROFILS$ et FSLOGIXredir$ ainsi que leurs ACLs en hexadécimal.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Shares]
"PROFILS$"=hex(7):...
"FSLOGIXredir$"=hex(7):...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Shares\Security]
"PROFILS$"=hex:...
"FSLOGIXredir$"=hex:...
⚠️ Adapter les ACLs selon votre SID de domaine pour garantir les droits adéquats.
3. 🛠️ Fichier de redirection XML (dans D:\FSLOGIXredir)¶
<?xml version="1.0"?>
<FrxProfileFolderRedirection ExcludeCommonFolders="0">
<Excludes>
<Exclude Copy="0">Contacts</Exclude>
<Exclude Copy="0">Music</Exclude>
<Exclude Copy="0">Pictures</Exclude>
</Excludes>
</FrxProfileFolderRedirection>
Ce fichier permet d’exclure certains dossiers du profil FSLogix afin de réduire la taille et d’optimiser la vitesse de chargement.
4. 🧱 Installation de FSLogix¶
- Lancer l’installation de l’agent FSLogix sur tous les hôtes RDS/Citrix concernés.
- L’installeur se trouve généralement dans un partage de sources centralisé. Exemple :
\\<serveur_sources>\SOURCES\FSLOGIX\FSLogix_Apps_2.x.xxxxx.xxxxx\x64\Release\FSLogixAppsSetup.exe
5. 🛡️ Configuration via GPO (stratégies de groupe)¶
📁 Groupes restreints¶
GPO > Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Groupes restreints :
| Groupe | Membres |
|---|---|
| FSLogix Profile Exclude List | Admins du domaine, Administrateurs (BUILTIN) |
🧩 Paramètres FSLogix (Modèles d'administration)¶
GPO > Configuration ordinateur > Modèles d’administration > FSLogix :
| Clé de registre | Valeur |
|---|---|
| Software\FSLogix\Logging\LoggingEnabled | 1 |
| Software\FSLogix\Logging\Profile | 1 |
| Software\FSLogix\Profiles\Enabled | 1 |
| Software\FSLogix\Profiles\DeleteLocalProfileWhenVHDShouldApply | 1 |
| Software\FSLogix\Profiles\IsDynamic | 1 |
| Software\FSLogix\Profiles\FlipFlopProfileDirectoryName | 1 |
| Software\FSLogix\Profiles\PreventLoginWithFailure | 1 |
| Software\FSLogix\Profiles\PreventLoginWithTempProfile | 1 |
| Software\FSLogix\Profiles\ProfileType | 3 (Multi-user/RDS) |
| Software\FSLogix\Profiles\RedirXMLSourceFolder | \\<serveur>\FSLOGIXredir$ |
| Software\FSLogix\Profiles\VHDLocations | \\<serveur>\PROFILS$ |
| Software\FSLogix\Profiles\VolumeType | VHDX |
| Software\FSLogix\Profiles\SetTempToLocalPath | 3 |
| Software\FSLogix\Profiles\SizeInMBs | 1024 |
| Software\FSLogix\Profiles\ReAttachIntervalSeconds | 4 |
| Software\FSLogix\Profiles\ReAttachRetryCount | 20 |
| Software\FSLogix\Profiles\LockedRetryCount | 5 |
| Software\FSLogix\Profiles\LockedRetryInterval | 5 |
🎯 Remarques :
- Le type de profil
3est adapté aux environnements RDS/Citrix partagés.- Le chemin du profil doit pointer vers un partage de fichiers avec des droits corrects.
6. 🔐 Permissions NTFS à appliquer sur D:\PROFILS_RDS¶
Pour les utilisateurs :¶
| Droit | Type |
|---|---|
| Parcourir le dossier/exécuter le fichier | Autorisé |
| Lister le dossier/lecture de données | Autorisé |
| Lire les attributs | Autorisé |
| Créer des dossiers/ajouter des données | Autorisé |
| Écrire des attributs étendus | Autorisé |
✅ S’assurer que les utilisateurs ont uniquement accès à leur propre dossier (via GPO ou permissions dynamiques à la création des profils).
🔁 Redémarrage et vérification¶
- Redémarrer le serveur de profils (hébergeant les dossiers partagés)
- Redémarrer les serveurs RDS/Citrix ou stations clientes
-
Vérifier :
-
Que le fichier VHDX est bien monté depuis
\\<serveur>\PROFILS$ - Que les profils FSLogix fonctionnent sans profil temporaire
- Que les exclusions définies dans le XML sont appliquées
✅ Résumé des prérequis¶
| Élément | Statut attendu |
|---|---|
| FSLogix installé sur les hôtes | ✅ Oui |
Partages PROFILS$ et FSLOGIXredir$ configurés |
✅ Oui |
| GPO FSLogix appliquée | ✅ Oui |
| Dossier de redirection XML | ✅ Présent |
| Droits NTFS correctement définis | ✅ Oui |
| SID de domaine géré dans les ACL | ✅ Personnalisé |