[Work Folders] Déploiement d’une solution interne

Bonjour à tous,

Dans  ce nouvel article je vous propose de décrire le déploiement d'une solution Work Folders à usage interne. Cette première implémentation permet de se familiariser avec les différents éléments composant cette fonctionnalité.

L'installation d'une solution Work Folders interne suit en règle générale les étapes suivantes :

  • Génération d'un certificat SSL pour le service Web Work Folders
  • Installation du rôle Work Folders
  • Liaison du certificat SSL et du service Web Work Folders
  • Création d'un groupe de sécurité référençant les utilisateurs autorisés à utiliser le service
  • Création d'un groupe de sécurité référençant les utilisateurs "Black listés"
  • Création du dossier dans lequel seront créés les Work Folders des utilisateurs
  • Création d'un partage de synchronisation (SyncShare)
  • Configuration de la découverte automatique du service

Comme vous pouvez le constater cette mise en œuvre est très simple 😉

1. Génération du certificat SSL

Nous allons tout d’abord générer un certificat SSL qui sera utilisé lors de la configuration du service web Work Folders. Ici deux choix se présentent à vous :

  • Générer un certificat SSL à l’aide de votre autorité de certificats interne : cette solution présente l’avantage d’être totalement gratuite, cependant le certificat généré ne sera reconnu que par des terminaux qui reconnaissent votre autorité de certification. Dans l’usage courant, ces terminaux correspondent aux systèmes membres de votre domaine Active Directory. Rien ne vous empêche de faire en sorte que d’autres terminaux reconnaissent votre autorité de certificats (Workgroup, etc.), mais vous devrez au préalable leur ajouter le certificat de votre autorité.
  • Commander un certificat SSL public : cette solution présente l’inconvénient d’être payante car vous devrez acquérir un certificat auprès d’une autorité publique. En revanche ce certificat sera reconnu par tous les terminaux reconnaissant cette autorité publique. Elle est par conséquent particulièrement recommandée si vous souhaitez publier votre service Work Folders sur Internet et sur des terminaux hors domaine.

Le présent exemple vous propose de déployer la solution en interne, par conséquent la procédure ci-contre vous décrit la démarche à suivre pour générer le certificat depuis votre autorité de certificats interne.

Dans un second temps, il va falloir générer un certificat à partir de ce modèle. Pour cela nous allons créer une demande de certificat. Avant tout assurez-vous d’avoir ajouté l’ordinateur au groupe auquel vous avez donné les permissions de requête de certificat (voir ci-dessus).

 

3. Liaison du certificat SSL pour le service Work Folders

Le rôle Work Folders est un service Web, mais il ne s’installe pas l’intégralité du rôle IIS. Seuls les composants IIS Core sont installés. Par conséquent la liaison du certificat au service Web ne peut pas se faire graphiquement. Nous allons devoir utiliser notre bonne vieille invite de commande 😉 Cette procédure consiste dans un premier temps à obtenir la valeur de l’empreinte digitale du certificat SSL, puis de lier le certificat au service Web Work Folders.

4. Création d'un groupe de sécurité référençant les utilisateurs autorisés à utiliser le service

Un groupe utilisateur doit être créé. Ce groupe permet de lister les comptes utilisateurs et autres groupes autorisés à utiliser le service Work Folders

La portion de code PowerShell suivante vous permet de réaliser cette opération. L’invite PowerShell doit être lancée depuis un système équipé du module PowerShell ActiveDirectory :

$GroupName = "DL – WW – Work Folders – Work Folders Users"
$ADGroupPath = "OU=_IT,OU=MYLAB,DC=Mylab,DC=local"
$ADGroupDescription = "Groupe permettant l’accès au service Work Folders"
Import-Module ActiveDirectory
New-ADGroup -GroupCategory:"Security" -GroupScope:"DomainLocal" -Name:$GroupName -Path:$ADGroupPath -SamAccountName:$GroupName -Description $ADGroupDescription
  • $groupName correspond au nom du groupe
  • $ADGroupPath correspond à l’OU dans laquelle sera créé le groupe
  • $ADGroupDescription correspond à la description du groupe

5. Création d'un groupe de sécurité référençant les utilisateurs Black listés

Ce groupe permet de lister les comptes utilisateurs et autres groupes qui ne sont pas autorisés à utiliser les Work Folders. Ce groupe vous sera utile lorsqu’un employé quitte l’entreprise et disposant d’un accès aux Work Folders depuis un terminal personnel. Le fait de l’ajouter à cette liste noire lui empêchera l’accès.

La portion de code PowerShell suivante vous permet de réaliser cette opération. L’invite PowerShell doit être lancée depuis un système équipé du module PowerShell ActiveDirectory :

$GroupName = "DL – WW – Work Folders – Black Listed Users"
$ADGroupPath = "OU=_IT,OU=MYLAB,DC=Mylab,DC=local"
$ADGroupDescription = "Groupe interdisant l’accès au service Work Folders"
Import-Module ActiveDirectory
New-ADGroup -GroupCategory:"Security" -GroupScope:"DomainLocal" -Name:$GroupName -Path:$ADGroupPath -SamAccountName:$GroupName -Description $ADGroupDescription
  • $groupName correspond au nom du groupe
  • $ADGroupPath correspond à l’OU dans laquelle sera créé le groupe
  • $ADGroupDescription correspond à la description du groupe

7. Création d'un partage de synchronisation (SyncShare)

Nous sommes désormais prêts à configurer le service Work Folders.

La portion de code PowerShell suivante vous permet également de réaliser cette opération. L’invite PowerShell doit être lancée depuis le serveur WorkFolders :

Import-Module SyncShare
New-SyncShare –Name UserData –Path D:UserData –UserFolderName [User] –User "DL – WW – Work Folders – Work Folders Users" -RequirePasswordAutoLock $true -RequireEncryption $true -PasswordAutolockExcludeDomain @("Mylab.local") -InheritParentFolderPermission

Notez qu’en PowerShell les options de configuration du partage de synchronisation sont plus nombreuses qu’à travers l’interface graphique.
Vous pouvez par exemple imposer le verrouillage de l’écran et la configuration d’un mot de passe pour tous les terminaux à l’exception des terminaux membres d’un des domaines référencés dans le paramètre PasswordAutolockExcludeDomain.

8. Configuration de la découverte automatique du service

La découverte automatique fonctionne de la même manière que le traditionnel AutoDiscover introduit avec Exchange. Il permet la découverte automatique d’un serveur WorkFolders lorsqu’un enregistrement DNS nommé workfolders existe.
Lorsqu’un utilisateur souhaite activer Work Folders sur son terminal, il doit saisir son adresse mail.
037

Le processus autodiscover va extraire le nom de domaine de cette adresse mail pour automatiquement construire l’URL du service Work folders.
Exemple : si l’adresse mail saisie est rlaine@mylab.com alors l’url auto-générée sera https://workfolders.mylab.com/Sync/1.0
Si un enregistrement DNS nommé workfolders existe alors tout se passera automatiquement. Vous n’aurez pas à transmettre une URL de connexion à l’utilisateur final.

Par conséquent la seule chose que nous ayant à faire consiste à créer un enregistrement DNS répondant au nom WorkFolders

La portion de code PowerShell suivante vous permet également de réaliser cette opération. L’invite PowerShell doit être lancée depuis le serveur DNS :

Add-DnsServerResourceRecordA -Name "workfolders" -IPv4Address 192.168.122.203 -ZoneName "Mylab.local"

Cet article vous a donc permis de découvrir l'installation du rôle Work Folders.

La prochaine étape consiste à configurer le client Work Folder sur les terminaux.

Enjoy 😉

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.