Skip to content

📁 Installation d'un Serveur de Profils Itinérants (avec FSLogix)

Un serveur de profils itinérants permet aux utilisateurs d'un domaine Active Directory de conserver leurs paramètres, fichiers et préférences quel que soit le poste sur lequel ils se connectent.


1. Préparer l'arborescence de dossiers

💡 Les chemins ci-dessous utilisent D: comme volume dédié aux données. Adapter selon votre configuration (le volume système est généralement C: — utiliser un disque ou volume séparé est recommandé pour les profils).

  • Créer un dossier sur un volume dédié : D:\PROFILS_RDS
  • Créer le partage réseau :
  • Nom du partage : PROFILS$
  • Désactiver l'héritage NTFS pour gérer les permissions manuellement
  • Créer également un dossier D:\FSLOGIXredir pour la redirection

2. Créer le fichier de registre (share.reg)

Ce fichier génère automatiquement les partages via LanmanServer\Shares, incluant les définitions de PROFILS$ et FSLOGIXredir$ ainsi que leurs ACLs.

Fichier spécifique à l'environnement

Les valeurs hex(7):... sont des données binaires encodées qui contiennent le chemin du partage, les ACLs et le SID de domaine. Elles sont propres à chaque environnement et ne peuvent pas être réutilisées telles quelles.

Pour obtenir ces valeurs sur un serveur déjà configuré :

reg export "HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Shares" share.reg

Pour trouver le SID de votre domaine (à utiliser dans les ACLs) :

Get-ADDomain | Select-Object DomainSID

Ou depuis cmd :

whoami /user

Le SID de domaine correspond à la partie du SID sans le dernier identifiant relatif (RID) — ex. : S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX.

Structure du fichier (valeurs à générer sur un serveur de référence) :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Shares]
"PROFILS$"=hex(7):<données binaires encodées — exporter depuis reg export>
"FSLOGIXredir$"=hex(7):<données binaires encodées — exporter depuis reg export>

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Shares\Security]
"PROFILS$"=hex:<ACL binaire encodée>
"FSLOGIXredir$"=hex:<ACL binaire encodée>

⚠️ Adapter les ACLs selon votre SID de domaine pour garantir les droits adéquats.


3. Créer le fichier de redirection XML

Placer ce fichier dans D:\FSLOGIXredir :

<?xml version="1.0"?>
<FrxProfileFolderRedirection ExcludeCommonFolders="0">
  <Excludes>
    <Exclude Copy="0">Contacts</Exclude>
    <Exclude Copy="0">Music</Exclude>
    <Exclude Copy="0">Pictures</Exclude>
  </Excludes>
</FrxProfileFolderRedirection>

💡 Ce fichier exclut certains dossiers du profil FSLogix afin de réduire la taille et d'optimiser la vitesse de chargement.


4. Installer FSLogix

Lancer l'installation de l'agent FSLogix sur tous les hôtes RDS/Citrix concernés :

\\<serveur_sources>\SOURCES\FSLOGIX\FSLogix_Apps_2.x.xxxxx.xxxxx\x64\Release\FSLogixAppsSetup.exe

5. Configurer via GPO

Groupes restreints

GPO > Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Groupes restreints :

Groupe Membres
FSLogix Profile Exclude List Admins du domaine, Administrateurs (BUILTIN)

Paramètres FSLogix

GPO > Configuration ordinateur > Modèles d'administration > FSLogix :

Clé de registre Valeur
Software\FSLogix\Logging\LoggingEnabled 1
Software\FSLogix\Logging\Profile 1
Software\FSLogix\Profiles\Enabled 1
Software\FSLogix\Profiles\DeleteLocalProfileWhenVHDShouldApply 1
Software\FSLogix\Profiles\IsDynamic 1
Software\FSLogix\Profiles\FlipFlopProfileDirectoryName 1
Software\FSLogix\Profiles\PreventLoginWithFailure 1
Software\FSLogix\Profiles\PreventLoginWithTempProfile 1
Software\FSLogix\Profiles\ProfileType 3 (Multi-user/RDS)
Software\FSLogix\Profiles\RedirXMLSourceFolder \\<serveur>\FSLOGIXredir$
Software\FSLogix\Profiles\VHDLocations \\<serveur>\PROFILS$
Software\FSLogix\Profiles\VolumeType VHDX
Software\FSLogix\Profiles\SetTempToLocalPath 3
Software\FSLogix\Profiles\SizeInMBs 1024
Software\FSLogix\Profiles\ReAttachIntervalSeconds 4
Software\FSLogix\Profiles\ReAttachRetryCount 20
Software\FSLogix\Profiles\LockedRetryCount 5
Software\FSLogix\Profiles\LockedRetryInterval 5

💡 Le type de profil 3 est adapté aux environnements RDS/Citrix partagés.


6. Définir les permissions NTFS sur D:\PROFILS_RDS

Droit Type
Parcourir le dossier/exécuter le fichier Autorisé
Lister le dossier/lecture de données Autorisé
Lire les attributs Autorisé
Créer des dossiers/ajouter des données Autorisé
Écrire des attributs étendus Autorisé

💡 S'assurer que les utilisateurs ont uniquement accès à leur propre dossier via GPO ou permissions dynamiques à la création des profils.


7. Redémarrer et vérifier

  1. Redémarrer le serveur de profils (hébergeant les dossiers partagés).
  2. Redémarrer les serveurs RDS/Citrix ou stations clientes.
  3. Vérifier :
  4. Que le fichier VHDX est bien monté depuis \\<serveur>\PROFILS$
  5. Que les profils FSLogix fonctionnent sans profil temporaire
  6. Que les exclusions définies dans le XML sont appliquées

Résumé des prérequis

Élément Statut attendu
FSLogix installé sur les hôtes ✅ Oui
Partages PROFILS$ et FSLOGIXredir$ configurés ✅ Oui
GPO FSLogix appliquée ✅ Oui
Dossier de redirection XML ✅ Présent
Droits NTFS correctement définis ✅ Oui
SID de domaine géré dans les ACL ✅ Personnalisé