📁 Installation d'un Serveur de Profils Itinérants (avec FSLogix)¶
Un serveur de profils itinérants permet aux utilisateurs d'un domaine Active Directory de conserver leurs paramètres, fichiers et préférences quel que soit le poste sur lequel ils se connectent.
1. Préparer l'arborescence de dossiers¶
💡 Les chemins ci-dessous utilisent
D:comme volume dédié aux données. Adapter selon votre configuration (le volume système est généralementC:— utiliser un disque ou volume séparé est recommandé pour les profils).
- Créer un dossier sur un volume dédié :
D:\PROFILS_RDS - Créer le partage réseau :
- Nom du partage :
PROFILS$ - Désactiver l'héritage NTFS pour gérer les permissions manuellement
- Créer également un dossier
D:\FSLOGIXredirpour la redirection
2. Créer le fichier de registre (share.reg)¶
Ce fichier génère automatiquement les partages via LanmanServer\Shares, incluant les définitions de PROFILS$ et FSLOGIXredir$ ainsi que leurs ACLs.
Fichier spécifique à l'environnement
Les valeurs hex(7):... sont des données binaires encodées qui contiennent le chemin du partage, les ACLs et le SID de domaine. Elles sont propres à chaque environnement et ne peuvent pas être réutilisées telles quelles.
Pour obtenir ces valeurs sur un serveur déjà configuré :
reg export "HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Shares" share.reg
Pour trouver le SID de votre domaine (à utiliser dans les ACLs) :
Get-ADDomain | Select-Object DomainSID
Ou depuis cmd :
whoami /user
Le SID de domaine correspond à la partie du SID sans le dernier identifiant relatif (RID) — ex. : S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX.
Structure du fichier (valeurs à générer sur un serveur de référence) :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Shares]
"PROFILS$"=hex(7):<données binaires encodées — exporter depuis reg export>
"FSLOGIXredir$"=hex(7):<données binaires encodées — exporter depuis reg export>
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Shares\Security]
"PROFILS$"=hex:<ACL binaire encodée>
"FSLOGIXredir$"=hex:<ACL binaire encodée>
⚠️ Adapter les ACLs selon votre SID de domaine pour garantir les droits adéquats.
3. Créer le fichier de redirection XML¶
Placer ce fichier dans D:\FSLOGIXredir :
<?xml version="1.0"?>
<FrxProfileFolderRedirection ExcludeCommonFolders="0">
<Excludes>
<Exclude Copy="0">Contacts</Exclude>
<Exclude Copy="0">Music</Exclude>
<Exclude Copy="0">Pictures</Exclude>
</Excludes>
</FrxProfileFolderRedirection>
💡 Ce fichier exclut certains dossiers du profil FSLogix afin de réduire la taille et d'optimiser la vitesse de chargement.
4. Installer FSLogix¶
Lancer l'installation de l'agent FSLogix sur tous les hôtes RDS/Citrix concernés :
\\<serveur_sources>\SOURCES\FSLOGIX\FSLogix_Apps_2.x.xxxxx.xxxxx\x64\Release\FSLogixAppsSetup.exe
5. Configurer via GPO¶
Groupes restreints¶
GPO > Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Groupes restreints :
| Groupe | Membres |
|---|---|
| FSLogix Profile Exclude List | Admins du domaine, Administrateurs (BUILTIN) |
Paramètres FSLogix¶
GPO > Configuration ordinateur > Modèles d'administration > FSLogix :
| Clé de registre | Valeur |
|---|---|
| Software\FSLogix\Logging\LoggingEnabled | 1 |
| Software\FSLogix\Logging\Profile | 1 |
| Software\FSLogix\Profiles\Enabled | 1 |
| Software\FSLogix\Profiles\DeleteLocalProfileWhenVHDShouldApply | 1 |
| Software\FSLogix\Profiles\IsDynamic | 1 |
| Software\FSLogix\Profiles\FlipFlopProfileDirectoryName | 1 |
| Software\FSLogix\Profiles\PreventLoginWithFailure | 1 |
| Software\FSLogix\Profiles\PreventLoginWithTempProfile | 1 |
| Software\FSLogix\Profiles\ProfileType | 3 (Multi-user/RDS) |
| Software\FSLogix\Profiles\RedirXMLSourceFolder | \\<serveur>\FSLOGIXredir$ |
| Software\FSLogix\Profiles\VHDLocations | \\<serveur>\PROFILS$ |
| Software\FSLogix\Profiles\VolumeType | VHDX |
| Software\FSLogix\Profiles\SetTempToLocalPath | 3 |
| Software\FSLogix\Profiles\SizeInMBs | 1024 |
| Software\FSLogix\Profiles\ReAttachIntervalSeconds | 4 |
| Software\FSLogix\Profiles\ReAttachRetryCount | 20 |
| Software\FSLogix\Profiles\LockedRetryCount | 5 |
| Software\FSLogix\Profiles\LockedRetryInterval | 5 |
💡 Le type de profil
3est adapté aux environnements RDS/Citrix partagés.
6. Définir les permissions NTFS sur D:\PROFILS_RDS¶
| Droit | Type |
|---|---|
| Parcourir le dossier/exécuter le fichier | Autorisé |
| Lister le dossier/lecture de données | Autorisé |
| Lire les attributs | Autorisé |
| Créer des dossiers/ajouter des données | Autorisé |
| Écrire des attributs étendus | Autorisé |
💡 S'assurer que les utilisateurs ont uniquement accès à leur propre dossier via GPO ou permissions dynamiques à la création des profils.
7. Redémarrer et vérifier¶
- Redémarrer le serveur de profils (hébergeant les dossiers partagés).
- Redémarrer les serveurs RDS/Citrix ou stations clientes.
- Vérifier :
- Que le fichier VHDX est bien monté depuis
\\<serveur>\PROFILS$ - Que les profils FSLogix fonctionnent sans profil temporaire
- Que les exclusions définies dans le XML sont appliquées
Résumé des prérequis¶
| Élément | Statut attendu |
|---|---|
| FSLogix installé sur les hôtes | ✅ Oui |
Partages PROFILS$ et FSLOGIXredir$ configurés |
✅ Oui |
| GPO FSLogix appliquée | ✅ Oui |
| Dossier de redirection XML | ✅ Présent |
| Droits NTFS correctement définis | ✅ Oui |
| SID de domaine géré dans les ACL | ✅ Personnalisé |