A l’intérieur de la création de profils

– que ce soit caché sur la
station de travail ou sur un partage de serveur itinérant –
Windows crée un nouveau profil par défaut pour cet utilisateur.
Mais c’est plus compliqué qu’il n’y paraît. Suivons donc
la création d’un profil utilisateur afin de bien la comprendre.
Au passage, nous examinerons quelques détails de création
des profils qui vous aideront si vous devez un jour dépanner
des problèmes de profil. Comme il existe de subtiles différences
dans le comportement des profils entre les différentes versions OS de Microsoft, je vais me limiter à  XP dans
mon exemple. Cet exemple suppose qu’un nouvel utilisateur
de domaine AD pour lequel vous avez défini un chemin de
profil itinérant se connecte au domaine et à  sa station de travail
pour la première fois :

1. Quand un utilisateur se connecte, Windows examine
d’abord son compte AD pour voir si un chemin de profil
itinérant est défini.

2. Ensuite, Windows fait un ping de la connexion vers le partage
de profil pour déterminer si c’est une liaison lente.Un téléchargement de profil itinérant se comporte différemment
si l’OS détecte une liaison lente. Ce seuil de liaison
lente est défini par les stratégies de groupe et est de
500 Kbps par défaut.

3. Après avoir déterminé que vous n’êtes pas sur une liaison
lente, Windows examine que NTFS possède le répertoire
de profils itinérants pour s’assurer qu’il appartient
soit à  l’utilisateur qui se connecte, soit au groupe
Administrators local. Cette étape est une nouvelle vérification
à  partir de XP Service Pack 1 (SP1) et Win2K SP4 et
elle indique que personne n’a essayé de créer un profil
itinérant falsifié que l’utilisateur téléchargerait par inadvertance.

4. En supposant la vérification de l’étape 3 concluante,
Windows examine le répertoire de profils itinérants pour
vérifier l’existence de ntuser.dat ou de ntuser.man (indiquant
un profil obligatoire). Si aucun d’eux n’existe,
comme dans le cas d’un utilisateur entièrement nouveau,
Windows passe à  l’étape suivante.

5. Windows détermine si la station de travail a une copie cachée
du profil de l’utilisateur dans C:\documents and settings.
Mais, au lieu de regarder dans le système de fichiers
sur la station de travail, l’OS consulte le registre : tous les
profils d’utilisateurs légitimes qui sont mis en cache sur la
station de travail doivent être enregistrés sous la sous-clé
de registre HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows NT\CurrentVersion\ProfileList. Dans la
sous-clé ProfileList, tous les utilisateurs qui ont un profil
en cache local auront une clé qui contient un site unique
faisant référence à  cet utilisateur. Cette clé contient des
valeurs qui indiquent dans quel dossier le profil
local de l’utilisateur est mis en cache, le chemin
vers le profil itinérant de l’utilisateur, et
d’autres informations qui indiquent quand le
profil a été écrit pour la dernière fois et son
état.

6. Si Windows détermine qu’aucun profil itinérant
ou local n’existe, il crée l’entrée appropriée
dans le registre, comme je l’ai décrit
à  l’étape 5, puis crée le répertoire de
profils locaux de l’utilisateur dans le dossier
Documents and Settings.

7. Ensuite, Windows octroie à  l’utilisateur un nouveau profil
par défaut. Vous pouvez contrôler quel profil par défaut
un utilisateur reçoit, par l’une de deux méthodes.
Premièrement, vous pouvez placer un profil utilisateur
par défaut sur le share Netlogon de vos DC (domain
controllers) AD – spécifiquement sous \\\netlogon\default user. Windows examine d’abord
ce dossier pour voir si vous y avez mis un profil utilisateur
par défaut ; si vous ne l’avez pas fait, Windows prend le
profil par défaut qu’il trouve sur la station de travail locale sous \ % systemroot %\documents and settings\default
user. Si vous donnez votre propre profil par défaut soit au
share Netlogon, soit au dossier utilisateur par défaut local,
le profil doit être complet : il doit contenir tous les dossiers
et le fichier ntuser.dat qu’un profil s’attend à  avoir.
L’approche Netlogon est beaucoup plus simple à  maintenir
mais, si vous décidez d’utiliser le dossier utilisateur par
défaut sur la machine locale, vous pouvez inclure un profil
par défaut dans votre image de station de travail standard.

8. Une fois que le système a trouvé le chemin correct pour
le profil utilisateur par défaut, il copie le contenu de ce
dossier dans le dossier spécifique de l’utilisateur, sous
Documents and Settings. Plus important, Windows établit
la sécurité du système de fichiers sur le dossier \ % systemroot
%\documents and settings\ % username % afin
que seuls le compte de l’utilisateur et le groupe
Administrators local sur la station de travail aient l’accès
Full Control. Et, comme ntuser.dat est un fichier hive de
registre et que des permissions de sécurité sont associées
au registre, quand le système copie ce fichier à  partir de
l’emplacement de profil utilisateur par défaut, les clés de
registre dans la ruche sont définies avec la même permission
que pour la portion fichier du profil utilisateur. Par
conséquent, seuls l’utilisateur et les membres du groupe
Administrators local peuvent accéder aux paramètres de
ce profil. C’est un point important car il signifie que vous
ne pouvez pas simplement copier le répertoire de profils
d’un utilisateur sur un autre. Même si vous changez les permissions sur la portion fichier du profil, les permissions
de registre pointeront encore vers l’utilisateur original.
Vous pouvez résoudre ce problème de deux manières
: vous pouvez ouvrir l’applet Control Panel System,
sélectionner l’onglet Advanced, cliquer sur Settings sous
la section User Profiles pour ouvrir la boîte de dialogue que montre la figure 3, et cliquer sur Copy To; ou vous
pouvez bénéficier de l’utilitaire moveuser.exe du
Microsoft Windows 2000 Resource Kit. Pour plus d’informations
sur cet utilitaire, lisez l’article « Déplacer les profils
utilisateur », novembre 2004 ou www.itpro.fr .

Une fois que le système a créé un profil utilisateur, il ne
l’écrit sur le serveur qu’après que l’utilisateur se soit déconnecté.
Quand l’utilisateur se déconnecte, Windows vérifie
d’abord si certaines parties du profil ne sont pas supposées
se déplacer (être itinérantes). Par défaut, tout ce qui est
stocké dans le dossier History, Local Settings, Temp ou
Temporary Internet Files sous le profil de l’utilisateur n’est
pas copié sur le serveur et ne sera pas itinérant. Ces fichiers
incluent, par exemple, les fichiers temporaires cachés par
Microsoft IE (Internet Explorer) et certaines données
propres aux applications comme les fichiers de stockage offline
Outlook (fichiers .ost). Vous pouvez allonger la liste en
établissant une stratégie Administrative Template sur l’ordinateur
dans un GPO (Group Policy Object). Vous trouverez
cette stratégie sous User Configuration\Administrative
Templates\System\User Profiles\Exclude Directories dans
Roaming Profile.
Win2K a beaucoup amélioré l’écriture des changements
de profils utilisateur : c’est le comportement par défaut
quand Windows copie des fichiers dans le profil itinérant lors
de la déconnexion. Dans NT 4.0, Windows copiait tous les fichiers
du profil sur le serveur pendant chaque déconnexion,
sans se préoccuper si tous les fichiers avaient changé ou non.
Dans Win2K ou ultérieur, Windows compare les tampons horodateurs
des fichiers dans les profils locaux
et itinérants pour déterminer lesquels
doivent être écrits lors de la
déconnexion, puis n’écrit que ceux-là .
L’avantage est double : des temps de déconnexion
beaucoup plus rapides que
dans NT 4.0 et une utilisation plus efficace
du réseau. L’OS recherche aussi les
changements quand l’utilisateur se
connecte, de sorte que si quelque
chose a changé sur le profil itinérant
basé sur le serveur, qui est plus récent
que la copie en cache locale de l’utilisateur,
le système écrit les fichiers modifiés
au moment de la connexion.