WindowsWindows Server

Windows Server 2022 – Serveur de fichiers, mappage lecteurs avec GPO et ciblage

Introduction

Dans cet article, on va voir le serveur de fichiers sur Windows Server 2022, le montage des lecteurs réseaux par GPO
et en bonus, on verra le ciblage, c’est-à-dire que seuls certains groupes verront les lecteurs réseaux de montés.
Je vais reprendre le fichier Excel, j’avais recréé dans l’Active Directory tous les utilisateurs que l’on voit et déjà affectés aux groupes.

Création des lecteurs réseaux

Maintenant on va créer les lecteurs partagés.
On va ouvrir le gestionnaire de serveurs.
Les services de fichiers et de stockage sont déjà pré-installés dans les rôles : on a donc pas à l’installer.

Services de fichiers et de stockage
Services de fichiers et de stockage

On va aller sur Partages.
Il y a déjà deux partages : le dossier SYSVOL est déjà partagé.

Clic droit et Nouveau partage...
Clic droit et Nouveau partage…

On va faire un clic droit > Nouveau partage.
On laisse cocher Partage SMB – Rapide.
En dessous, on peut choisir le volume, je n’ai que le volume C: dans mon exemple.
Sur cette ligne, on peut créer un nom personnalisé.

Sélection du chemin d'accès au partage
Sélection du chemin d’accès au partage

Par défaut, c’est « Shares » mais on peut très bien l’appeler partages.
Dans mon cas, je vais laisser par défaut.
On fait Suivant et un lecteur va être créé.
Il s’appellera Compta.

Nom du partage
Nom du partage

Paramétrage du lecteur réseau

Le chemin d’accès sera C:\Shares\Compta et le chemin d’accès distant c’est \\SERV-DOM\Compta
On fait Suivant, il y a différents paramètres : je vous conseille de les cocher tous les trois.

Cocher les trois paramètres de partage
Cocher les trois paramètres de partage

Pour la ligne « Chiffrer l’accès aux données« , on ne parle pas du chiffrage du disque mais de l’accès aux données, du transfert.
Sur cette fenêtre, il faut bien faire attention et personnaliser les autorisations.

Personnaliser les autorisations
Personnaliser les autorisations

Par défaut, le partage est autorisé à tout le monde en contrôle total.
Je me réfère au tableau Excel pour respecter ce que je me suis fixé comme droits.
Seuls les groupes Direction et Comptabilité sont autorisés à lire et écrire sur le lecteur Compta.

Ajout du groupe Direction en contrôle total
Ajout du groupe Direction en contrôle total

On va dans l’onglet Partage puis Ajouter et je fais Sélectionner un principal puis je vais chercher mon groupe Direction.
Je vais le mettre en contrôle total, on fait OK.
Et ensuite je vais aller chercher mon groupe Comptabilité et lui sera en lecture et modification, on fait Appliquer et OK puis Suivant, Créer, Fermer.
Comme on peut le voir, un dossier Shares a été créé sur C:\ avec un sous-dossier Compta.

Dossier Shares créé avec le sous dossier Compta
Dossier Shares créé avec le sous dossier Compta

De cette façon, je vais créer mes lecteurs réseaux, j’en ai six au total.
On ajoute les groupes Direction en contrôle total, Commercial en lecture seule et Communication en lecture et écriture.

Ajout des groupes pour accéder à Comm
Ajout des groupes pour accéder à Comm

On fait Appliquer, OK, Suivant, Créer.
Tous nos lecteurs réseaux sont prêts.

Vérification des lecteurs

Pour vérifier, il suffit d’aller sur un poste client et se connecter en administrateur.
On va aller à travers le réseau avec le chemin : \\SERV-DOM et le nom du lecteur réseau.

Connexion à un poste client pour vérifier la création des lecteurs
Connexion à un poste client pour vérifier la création des lecteurs

On tape ce chemin dans l’explorateur et tous les lecteurs réseaux disponibles vont être remontés.
Pour les connecter, vous pouvez le faire manuellement mais on le déconseille dans un réseau.
C’est ici qu’interviennent les GPO, c’est-à-dire une règle qui va monter automatiquement les lecteurs réseaux.
En même temps, nous verrons le ciblage.

Création d’une GPO

Pour mapper les lecteurs réseaux par GPO, on va dans Gestion des stratégies de groupes, on étend notre forêt.

Création d'une GPO
Création d’une GPO

On va dans notre domaine et en faisant un clic droit, on peut créer une GPO.
On va l’appeler Lecteurs_reseaux par exemple.

Modification de la GPO créée
Modification de la GPO créée

On retrouve cet élément dans Objets de stratégie de groupe, on fait un clic droit > Modifier sur cette GPO Lecteurs_reseaux
Puis dans Préférences, Paramètres Windows, Mappages de lecteurs , on fait un clic droit > Nouveau > Lecteur mappé

Options possibles d’une GPO

Options disponibles sur un lecteur mappé
Options disponibles sur un lecteur mappé

Sur cette fenêtre, on a un petit peu de spécificité : on a les options Créer, Remplacer, Mettre à jour ou Supprimer.
Ces quatre choix sont les lignes de commandes du temps où l’on montait les lecteurs réseaux avec des fichiers .bat
– Pour l’option Créer, Windows va connecter un nouveau lecteur réseau pour cet utilisateur.
Attention : la lettre utilisée ne doit pas déjà être prise car sinon le lecteur ne pourra pas être monté.
– L’option Supprimer va retirer le lecteur réseau.
– L’option Remplacer va le déconnecter puis le reconnecter
– et Mettre à jour va le connecter s’il ne l’est pas et si le lecteur est connecté, il va être mis à jour.
Il est donc préférable de sélectionner Mettre à jour.
Pour l’emplacement, soit vous l’écrivez à la main, soit vous allez chercher manuellement votre lecteur et on copie/colle le chemin d’accès.

Configuration du lecteur mappé Comm
Configuration du lecteur mappé Comm

Le nom du lecteur est demandé en dessous sur la ligne Libeller en tant que, on l’appellera Communication
Une lettre est également demandée, on choisit S: dans notre cas, on applique et on fait OK.
Voilà, le montage du lecteur est bien ajouté dans la GPO.

Validation du montage du lecteur sur une session utilisateur

On va le valider avec la session de Romu, qui a les droits de lecture seule sur ce lecteur partagé.
On va tout de suite valider qu’il ne puisse pas créer un document.

Impossible de créer un document sur le lecteur Communication avec la session de Romu
Impossible de créer un document sur le lecteur Communication avec la session de Romu

Un message apparait indiquant que l’utilisateur n’a pas l’autorisation.
Quand on monte des lecteurs ainsi, même des utilisateurs qui n’ont pas du tout accès aux lecteurs voient quand même les intitulés sur le réseau.

Validation avec une autre session et des droits différents

On va tester avec l’utilisateur Claire car elle fait juste partie du groupe Comptabilité et n’a pas le droit d’accéder au lecteur Communication

Lecteur réseau visible sur la session de Claire qui n'a pas le droit d'accès
Lecteur réseau visible sur la session de Claire qui n’a pas le droit d’accès

Elle n’a donc pas accès mais elle le voit quand même : si vous avez pleins de lecteurs réseaux, elle va être polluée par ces lecteurs auxquels elle n’a pas accès.
C’est ici qu’on rentre dans le petit bonus annoncé en début de vidéo : c’est le ciblage.

Notion de « ciblage »

On retourne sur le lecteur réseau dans Mappage de lecteurs, Propriétés

Ciblage du lecteur réseau
Ciblage du lecteur réseau

On peut très bien le faire à la création du lecteur réseau.
On va dans l’onglet Commun, cocher Ciblage au niveau de l’élément puis Ciblage… > Nouvel élément, Groupe de sécurité ou Utilisateurs

Groupe de sécurité ou Utilisateur
Groupe de sécurité ou Utilisateur

En respectant le tableau initial, on va chercher le groupe Direction dans l’Active Directory
On fait Nouvel élément, Groupe de sécurité, on va chercher le groupe Commercial dans l’Active Directory.
De même pour le groupe Communication.

Ajout des groupes de sécurité à cibler pour les accès réseaux
Ajout des groupes de sécurité à cibler pour les accès réseaux

On fait Appliquer et OK.

Vérification des lecteurs après modification du ciblage

Je vais retourner sur l’utilisateur Claire et on lance une invite de commandes et taper un « gpupdate /force » pour forcer la mise à jour de la stratégie de groupe (GPO).

Commande gpupdate pour mettre à jour la GPO fraichement créée
Commande gpupdate pour mettre à jour la GPO fraichement créée

On va fermer la session Claire et se reconnecter dessus.

Lecteur réseau invisible sur la session de Claire grâce au ciblage
Lecteur réseau invisible sur la session de Claire grâce au ciblage

Le lecteur n’est plus vu par Claire alors qu’il est vu par les trois autres membres de groupe qui ont été désignés.
A savoir qu’on peut copier/coller les lecteurs réseaux si on a une configuration pour tout ce qui est ciblage.

Possibilité de copier et coller un mappage de lecteurs
Possibilité de copier et coller un mappage de lecteurs

Attention à bien modifier la lettre du lecteur réseau.
L’avantage est de garder la configuration du ciblage, c’est-à-dire nos groupes. Il suffira de modifier son nom et sa lettre de lecteur réseau.

Supprimer un groupe qui ne fait plus parti d’un lecteur

Dernière astuce : si vous voulez supprimer un groupe qui ne fait plus parti d’un lecteur réseau, on va créer un nouveau lecteur mappé.

Supprimer un lecteur réseau d'un groupe
Supprimer un lecteur réseau d’un groupe

On va mettre l’option Supprimer cette fois-ci, on va aller chercher le lecteur à retirer du groupe, donc S: dans mon exemple.

Ciblage sur le lecteur à supprimer
Ciblage sur le lecteur à supprimer

Dans l’onglet Commun, je vais cocher Ciblage et aller chercher le groupe et dans Options de l’élément, j’irai spécifié que le groupe n’est pas membre du groupe de sécurité.

Options de l'élément
Options de l’élément

Je peux aller chercher mon groupe, ici Commercial.
On fait OK, Appliquer et OK.
A la prochaine connexion des utilisateurs affectés au groupe Commercial, cette règle Supprimer va démapper le lecteur réseau S:

Résultat de l'action Supprimer du mappage de lecteur
Résultat de l’action Supprimer du mappage de lecteur

Conclusion

Voilà pour cet article sur le serveur de fichiers, il n’y a rien de compliqué pour ceux qui ont l’habitude d’utiliser du Windows Server.
On peut tout faire avec des clics droits > Partager > Nouveau dossier.
On est passé par du Microsoft pur.
L’avantage de monter les lecteurs réseaux par GPO est d’éviter les fichiers exécutables .bat qui s’additionnnent, qui s’amoncèlent et deviennent compliqués à gérer avec le temps.
Avec les GPO c’est plus simple et avec le ciblage, cela ne pollue pas les environnements des utilisateurs.
Seuls les groupes qui ont besoin de ces lecteurs réseaux sont mappés.

Afficher plus

Yves KLINGER

Passionné d'informatique depuis plus de 20 ans, touche à tout, j'essaie d'expliquer l'informatique pour qu'il soit compris par le plus grand nombre et pour que vous puissiez vous dépanner à bas cout.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Bouton retour en haut de la page