Windows Server 2022 – Serveur de fichiers, mappage lecteurs avec GPO et ciblage

Introduction

Dans cet article, on va voir le serveur de fichiers sur Windows Server 2022, le montage des lecteurs réseaux par GPO
et en bonus, on verra le ciblage, c’est-à-dire que seuls certains groupes verront les lecteurs réseaux de montés.
Je vais reprendre le fichier Excel, j’avais recréé dans l’Active Directory tous les utilisateurs que l’on voit et déjà affectés aux groupes.

Création des lecteurs réseaux

Maintenant on va créer les lecteurs partagés.
On va ouvrir le gestionnaire de serveurs.
Les services de fichiers et de stockage sont déjà pré-installés dans les rôles : on a donc pas à l’installer.

On va aller sur Partages.
Il y a déjà deux partages : le dossier SYSVOL est déjà partagé.

On va faire un clic droit > Nouveau partage.
On laisse cocher Partage SMB – Rapide.
En dessous, on peut choisir le volume, je n’ai que le volume C: dans mon exemple.
Sur cette ligne, on peut créer un nom personnalisé.

Par défaut, c’est « Shares » mais on peut très bien l’appeler partages.
Dans mon cas, je vais laisser par défaut.
On fait Suivant et un lecteur va être créé.
Il s’appellera Compta.

Paramétrage du lecteur réseau

Le chemin d’accès sera C:\Shares\Compta et le chemin d’accès distant c’est \\SERV-DOM\Compta
On fait Suivant, il y a différents paramètres : je vous conseille de les cocher tous les trois.

Pour la ligne « Chiffrer l’accès aux données« , on ne parle pas du chiffrage du disque mais de l’accès aux données, du transfert.
Sur cette fenêtre, il faut bien faire attention et personnaliser les autorisations.

Par défaut, le partage est autorisé à tout le monde en contrôle total.
Je me réfère au tableau Excel pour respecter ce que je me suis fixé comme droits.
Seuls les groupes Direction et Comptabilité sont autorisés à lire et écrire sur le lecteur Compta.

On va dans l’onglet Partage puis Ajouter et je fais Sélectionner un principal puis je vais chercher mon groupe Direction.
Je vais le mettre en contrôle total, on fait OK.
Et ensuite je vais aller chercher mon groupe Comptabilité et lui sera en lecture et modification, on fait Appliquer et OK puis Suivant, Créer, Fermer.
Comme on peut le voir, un dossier Shares a été créé sur C:\ avec un sous-dossier Compta.

De cette façon, je vais créer mes lecteurs réseaux, j’en ai six au total.
On ajoute les groupes Direction en contrôle total, Commercial en lecture seule et Communication en lecture et écriture.

On fait Appliquer, OK, Suivant, Créer.
Tous nos lecteurs réseaux sont prêts.

Vérification des lecteurs

Pour vérifier, il suffit d’aller sur un poste client et se connecter en administrateur.
On va aller à travers le réseau avec le chemin : \\SERV-DOM et le nom du lecteur réseau.

On tape ce chemin dans l’explorateur et tous les lecteurs réseaux disponibles vont être remontés.
Pour les connecter, vous pouvez le faire manuellement mais on le déconseille dans un réseau.
C’est ici qu’interviennent les GPO, c’est-à-dire une règle qui va monter automatiquement les lecteurs réseaux.
En même temps, nous verrons le ciblage.

Création d’une GPO

Pour mapper les lecteurs réseaux par GPO, on va dans Gestion des stratégies de groupes, on étend notre forêt.

On va dans notre domaine et en faisant un clic droit, on peut créer une GPO.
On va l’appeler Lecteurs_reseaux par exemple.

On retrouve cet élément dans Objets de stratégie de groupe, on fait un clic droit > Modifier sur cette GPO Lecteurs_reseaux
Puis dans Préférences, Paramètres Windows, Mappages de lecteurs , on fait un clic droit > Nouveau > Lecteur mappé

Options possibles d’une GPO

Sur cette fenêtre, on a un petit peu de spécificité : on a les options Créer, Remplacer, Mettre à jour ou Supprimer.
Ces quatre choix sont les lignes de commandes du temps où l’on montait les lecteurs réseaux avec des fichiers .bat
– Pour l’option Créer, Windows va connecter un nouveau lecteur réseau pour cet utilisateur.
Attention : la lettre utilisée ne doit pas déjà être prise car sinon le lecteur ne pourra pas être monté.
– L’option Supprimer va retirer le lecteur réseau.
– L’option Remplacer va le déconnecter puis le reconnecter
– et Mettre à jour va le connecter s’il ne l’est pas et si le lecteur est connecté, il va être mis à jour.
Il est donc préférable de sélectionner Mettre à jour.
Pour l’emplacement, soit vous l’écrivez à la main, soit vous allez chercher manuellement votre lecteur et on copie/colle le chemin d’accès.

Le nom du lecteur est demandé en dessous sur la ligne Libeller en tant que, on l’appellera Communication
Une lettre est également demandée, on choisit S: dans notre cas, on applique et on fait OK.
Voilà, le montage du lecteur est bien ajouté dans la GPO.

Validation du montage du lecteur sur une session utilisateur

On va le valider avec la session de Romu, qui a les droits de lecture seule sur ce lecteur partagé.
On va tout de suite valider qu’il ne puisse pas créer un document.

Un message apparait indiquant que l’utilisateur n’a pas l’autorisation.
Quand on monte des lecteurs ainsi, même des utilisateurs qui n’ont pas du tout accès aux lecteurs voient quand même les intitulés sur le réseau.

Validation avec une autre session et des droits différents

On va tester avec l’utilisateur Claire car elle fait juste partie du groupe Comptabilité et n’a pas le droit d’accéder au lecteur Communication

Elle n’a donc pas accès mais elle le voit quand même : si vous avez pleins de lecteurs réseaux, elle va être polluée par ces lecteurs auxquels elle n’a pas accès.
C’est ici qu’on rentre dans le petit bonus annoncé en début de vidéo : c’est le ciblage.

Notion de « ciblage »

On retourne sur le lecteur réseau dans Mappage de lecteurs, Propriétés

On peut très bien le faire à la création du lecteur réseau.
On va dans l’onglet Commun, cocher Ciblage au niveau de l’élément puis Ciblage… > Nouvel élément, Groupe de sécurité ou Utilisateurs

En respectant le tableau initial, on va chercher le groupe Direction dans l’Active Directory
On fait Nouvel élément, Groupe de sécurité, on va chercher le groupe Commercial dans l’Active Directory.
De même pour le groupe Communication.

On fait Appliquer et OK.

Vérification des lecteurs après modification du ciblage

Je vais retourner sur l’utilisateur Claire et on lance une invite de commandes et taper un « gpupdate /force » pour forcer la mise à jour de la stratégie de groupe (GPO).

On va fermer la session Claire et se reconnecter dessus.

Le lecteur n’est plus vu par Claire alors qu’il est vu par les trois autres membres de groupe qui ont été désignés.
A savoir qu’on peut copier/coller les lecteurs réseaux si on a une configuration pour tout ce qui est ciblage.

Attention à bien modifier la lettre du lecteur réseau.
L’avantage est de garder la configuration du ciblage, c’est-à-dire nos groupes. Il suffira de modifier son nom et sa lettre de lecteur réseau.

Supprimer un groupe qui ne fait plus parti d’un lecteur

Dernière astuce : si vous voulez supprimer un groupe qui ne fait plus parti d’un lecteur réseau, on va créer un nouveau lecteur mappé.

On va mettre l’option Supprimer cette fois-ci, on va aller chercher le lecteur à retirer du groupe, donc S: dans mon exemple.

Dans l’onglet Commun, je vais cocher Ciblage et aller chercher le groupe et dans Options de l’élément, j’irai spécifié que le groupe n’est pas membre du groupe de sécurité.

Je peux aller chercher mon groupe, ici Commercial.
On fait OK, Appliquer et OK.
A la prochaine connexion des utilisateurs affectés au groupe Commercial, cette règle Supprimer va démapper le lecteur réseau S:

Conclusion

Voilà pour cet article sur le serveur de fichiers, il n’y a rien de compliqué pour ceux qui ont l’habitude d’utiliser du Windows Server.
On peut tout faire avec des clics droits > Partager > Nouveau dossier.
On est passé par du Microsoft pur.
L’avantage de monter les lecteurs réseaux par GPO est d’éviter les fichiers exécutables .bat qui s’additionnnent, qui s’amoncèlent et deviennent compliqués à gérer avec le temps.
Avec les GPO c’est plus simple et avec le ciblage, cela ne pollue pas les environnements des utilisateurs.
Seuls les groupes qui ont besoin de ces lecteurs réseaux sont mappés.