Windows Server 2003 recherche des dossiers Profils itinérants pré-créés lorsque vous constituez un profil utilisateur itinérant

Dans les versions de Microsoft Windows 2000 antérieures au Service Pack 4 (SP4) et dans les versions de Microsoft Windows XP antérieures au Service Pack 1 (SP1), Windows ne vérifie pas les autorisations du dossier Profils itinérants cible s'il existe déjà lors de la création d'un profil utilisateur itinérant. Ce problème pourrait permettre ainsi à un individu de créer à l'avance un autre dossier Profils itinérants d'un utilisateur et de définir des autorisations qui permettraient au créateur du dossier de le visiter ultérieurement. Le créateur pourrait par la suite modifier le profil utilisateur itinérant de l'utilisateur ou refuser l'accès à l'utilisateur légitime. Windows Server 2003, Windows XP SP1 et Windows 2000 SP4 vérifient les autorisations nécessaires et n'acceptent pas les profils itinérants si les autorisations ne correspondent pas à celles requises par Windows. Cet article décrit ce nouveau comportement dans les produits répertoriés au début de cet article.

Windows Server 2003 procède comme suit pour confirmer que la sécurité des dossiers des profils utilisateurs itinérants est correcte :

• Windows Server 2003 détermine si le dossier Profils itinérants existe et si le propriétaire du dossier est l'utilisateur ou le groupe Administrateurs.
• Windows Server 2003 considère que le dossier est légitime et copie des fichiers dans le dossier pendant le processus de fermeture de session et à partir du dossier pendant le processus d'ouverture de session si les conditions suivantes sont remplies.
  • L'utilisateur ou le groupe Administrateurs est le propriétaire du dossier.
  • La stratégie "Ne pas vérifier les utilisateurs propriétaires des dossiers Profils itinérants" n'est pas activée.
• Lorsque les conditions énoncées ci-dessus sont remplies, Windows Server 2003 ne copie aucun fichier depuis ou vers le dossier. Windows Server 2003 affiche un message d'erreur et enregistre un événement dans le journal des événements du système.
• Windows Server 2003 crée le dossier de la manière sécurisée habituelle. Si aucun profil mis en cache n'existe, le profil de l'utilisateur mis en cache ou un profil temporaire est employé.
• Windows Server 2003 considère que le dossier est légitime si vous activez la stratégie "Ne pas vérifier les utilisateurs propriétaires des dossiers Profils itinérants" ; le propriétaire du dossier n'est alors pas vérifié.

Messages d'erreur

Lorsque vous ouvrez une session en tant qu'utilisateur possédant un profil itinérant et que Windows Server 2003 détermine que le dossier Profils itinérants n'est pas légitime, le message d'erreur suivant apparaît :Cette nouvelle stratégie évite à Windows Server 2003 d'avoir à rechercher des autorisations correctes sur le dossier Profils itinérants d'un utilisateur. Windows Server 2003 ne copie pas des fichiers vers ou à partir du dossier Profils itinérants si les conditions suivantes sont remplies :

• Vous désactivez ou ne configurez pas ce paramètre.
• Le dossier des profils utilisateurs itinérants existe.
• Ni l'utilisateur ni le groupe Administrateur n'est propriétaire du dossier.

Si vous activez ce paramètre, le problème est le même que pour des versions de Windows qui sont antérieures à Windows Server 2003 ou Microsoft Windows XP sans SP1.

Pour modifier le paramètre de stratégie "Ne pas vérifier les utilisateurs propriétaires des dossiers Profils itinérants", procédez comme suit :

1. Démarrez le composant logiciel enfichable Stratégie de groupe.
2. Repérez le dossier suivant :
   
   Configuration ordinateur\Modèles d'administration\Système\Profils utilisateur
3. Dans le volet droit, double-cliquez sur Ne pas vérifier les utilisateurs propriétaires des dossiers Profils itinérants.
4. Pour activer la stratégie, cliquez sur Activer. Pour désactiver la stratégie, laissez-la non définie ou cliquez sur Désactiver.
5. Cliquez sur OK.