Windows : comment ajouter des emplacements réseau par GPO ?
Déployer des emplacements réseau directement dans l’explorateur Windows à l’aide d’une stratégie de groupe permet de mettre à disposition des ressources partagées sans dépendre des lettres de lecteur classiques. Voyons comment effectuer cette configuration.
Avant d’évoquer la configuration technique, nous prendrons un moment pour évoquer les différences entre un lecteur réseau et un emplacement réseau. Pendant longtemps, le lecteur réseau a été le choix par défaut, mais l’emplacement réseau représente une vraie alternative.
Sommaire
Différences entre lecteur réseau et emplacement réseau
Avant de commencer la configuration, il convient de distinguer techniquement ces deux méthodes de mise à disposition de ressources.
Le lecteur réseau associe un chemin réseau UNC, tel que à une lettre logique sur le poste de travail. C’est directement visible dans l’Explorateur de fichiers et cette connexion apparaît comme un lecteur avec sa propre lettre. Cette méthode est ancienne et bien supportée par des applications historiques qui exigent un chemin local (par exemple, ). En revanche, elle ne supporte pas les protocoles web.
L’emplacement réseau est un raccourci spécialisé stocké dans le profil de l’utilisateur. Il ne consomme aucune lettre de lecteur. Il est compatible avec des chemins UNC classiques, mais aussi avec des adresses FTP () ou des URL WebDAV (ce qui permet de se connecter à diverses applications !). Au même titre que le lecteur réseau, il apparaît dans l’explorateur Windows, mais il n’aura aucune lettre associée.
| Caractéristique | Lecteur réseau | Emplacement réseau |
| Assignation de lettre | Oui (par exemple : , , ) | Non |
| Limite de connexions | Restreinte (26 lettres au maximum) | “Illimitée” (aucune restriction liée à l’alphabet) |
| Protocoles supportés | Principalement SMB (CIFS) | SMB, FTP, HTTP / HTTPS (WebDAV) |
| Affichage dans “Ce PC” | Oui | Oui |
| Compatibilité logicielle | Élevée (requis par les anciennes applications nécessitant un chemin absolu) | Standard (parfait pour la navigation utilisateur, moins adapté pour vos vieux scripts Batch) |
| Comportement hors ligne | Fichiers hors connexion configurables | Raccourci inopérant si la cible est injoignable |
| Configuration via stratégie GPP | Configuration utilisateur > Préférences > Paramètres Windows > Mappages de lecteurs | Configuration utilisateur > Préférences > Paramètres Windows > Raccourcis |
Il y a un autre point que je souhaitais aborder et qui est relatif au comportement des logiciels malveillants. Prenons l’exemple d’un ransomware. Sur une machine infectée, il scannera l’ensemble des lecteurs présents : il détectera le volume C et les lecteurs réseau puisqu’ils ont une lettre associée. Cela signifie deux choses :
- Il sera aussi en mesure de chiffrer les données stockées sur les partages (en fonction des permissions et règles de sécurité).
- Il passera à côté des ressources associées à des emplacements réseau car elles ne sont pas répertoriées en tant que lecteur. Pour autant, elles pourront être ciblées par la suite dans la continuité de l’attaque, en fonction des mouvements latéraux effectués et d’autres critères (la ressource est-elle exposée sur le réseau ? Les permissions sont-elles bien gérées ? etc.).
Attention, je ne veux pas dire que les emplacements réseau sont immunisés contre les ransomwares, mais leur découverte est moins évidente si l’analyse est effectuée sur un listing des lecteurs.
Où sont stockés les emplacements réseau ?
Pour être capable de gérer les emplacements réseau via une stratégie de groupe, il est nécessaire de s’intéresser à la façon dont ils sont enregistrés dans la configuration de Windows. Commençons par connecter un emplacement réseau vers un partage SMB distant. Soit :
Cette connexion est en réalité enregistrée dans le profil de l’utilisateur, sous la forme d’un simple raccourci. Ainsi, en accédant au chemin , nous pouvons constater ceci :
Au sein de la stratégie de groupe, c’est ce répertoire qu’il conviendra de cibler (au niveau du profil Windows de chaque utilisateur).
Si vous préférez plutôt mapper un lecteur réseau, consultez ce tutoriel :
Déployer un emplacement réseau par GPO
La première étape consiste à créer l’objet de stratégie de groupe dans l’Active Directory. L’application d’un emplacement réseau étant liée à l’environnement de l’utilisateur (son explorateur de fichiers), la GPO doit s’appliquer sur les objets de type “Utilisateurs“.
Connectez-vous à votre contrôleur de domaine ou à un poste d’administration disposant des outils RSAT. Ouvrez la console “Gestion de stratégie de groupe” ().
Déployez l’arborescence de votre domaine. Identifiez l’OU contenant les utilisateurs ciblés par l’ajout de cet emplacement réseau. Quand c’est fait, effectuez un clic droit sur cette OU et sélectionnez “Créer un objet GPO dans ce domaine, et le lier ici.”
Nommez cette nouvelle stratégie, par exemple : . Validez en cliquant sur OK.
Une fois la GPO créée et liée, il faut la configurer via les préférences de stratégie de groupe. Faites un clic droit sur votre nouvelle GPO et cliquez sur “Modifier“.
Naviguez dans l’arborescence suivante :
- Configuration utilisateur > Préférences > Paramètres Windows > Raccourcis.
Dans le volet de droite, faites un clic droit, puis choisissez : Nouveau > Raccourci.
La fenêtre des propriétés du raccourci s’affiche. Configurez les champs de la manière suivante :
- Action : choisissez , afin de créer le raccourci s’il n’existe pas, et de mettre à jour ses paramètres s’il a déjà été déployé.
- Nom : le plus simple ici, c’est de mettre le chemin complet vers le dossier où sont stockés les raccourcis tout en finissant par le nom que vous souhaitez donner à cet emplacement réseau dans l’Explorateur. Pour qu’il s’appelle “Partage“, voici ce qu’il faut indiquer :
- Type de cible : pour un partage classique, sélectionnez “Objet du système de fichiers“.
- Emplacement : veillez à sélectionner “Spécifier un chemin d’accès complet“.
- Chemin d’accès cible : saisissez l’adresse de votre partage ou ressource (exemple : ).
Cliquez sur Appliquer puis sur OK. Voilà, votre emplacement réseau est prêt à être déployé !
Dans un environnement de production, il est rare que tous les utilisateurs aient besoin des mêmes emplacements réseau. Le service comptabilité n’a pas forcément accès au même partage que le service marketing. Il y a plusieurs façons de gérer ça au-delà des permissions (énumération basée sur l’accès, par exemple).
Dans le cas présent, au lieu de créer une GPO par service, vous pouvez utiliser le “Ciblage au niveau de l’élément” via l’onglet “Commun“. Ainsi, vous pouvez déterminer une règle de ciblage pour que chaque emplacement réseau cible uniquement les utilisateurs appartenant à un groupe de sécurité spécifique.
Une fois la GPO prête, fermez l’éditeur. Celle-ci est liée à la bonne unité d’organisation, donc il ne reste plus qu’à tester.
Tests et validation côté client
Pour valider le bon fonctionnement de la GPO, connectez-vous sur un poste Windows avec un compte utilisateur ciblé par la GPO (et appartenant au bon groupe de sécurité si vous avez utilisé le ciblage).
Exécutez la commande pour actualiser les stratégies et récupérer la nouvelle configuration depuis le contrôleur de domaine.
Ensuite, ouvrez l’Explorateur de fichiers et cliquez sur “Ce PC” dans le volet de navigation gauche. Observez la section “Emplacements réseau” : votre nouveau raccourci doit y figurer ! Sur mon PC, c’est bien le cas comme le montre l’apparition du raccourci nommé “Partage“.
Conclusion
La création d’emplacements réseau via les préférences de stratégie de groupe représente une méthode moderne, propre et efficace pour mettre à disposition l’accès à des ressources via l’Explorateur de fichiers de Windows. Cette approche prend en charge le SMB (partage habituel), ce qui est une méthode encore très largement utilisée aujourd’hui.
FAQ – Emplacements réseau
Qu’est-ce qu’un emplacement réseau de manière ?
Un emplacement réseau est un raccourci spécial géré par l’Explorateur Windows. Il pointe vers un répertoire distant et se positionne à côté des lecteurs de disques dans l’interface “Ce PC”.
Quelle est la différence avec un lecteur réseau ?
Le lecteur réseau est monté sur une lettre logique (par exemple : ) et limité à l’alphabet. L’emplacement réseau n’utilise pas de lettre et supporte nativement des protocoles web ou de transfert de fichiers.
L’emplacement réseau consomme-t-il une lettre de lecteur ?
Non, c’est l’un de ses avantages. Vous pouvez théoriquement en mapper des dizaines sans saturer l’espace d’adressage logique du système d’exploitation Windows.
Avec la GPO, peut-on cibler des groupes d’utilisateurs spécifiques ?
Oui, via les propriétés de l’élément GPP, en utilisant l’onglet “Commun” puis “Ciblage au niveau de l’élément“. Vous pouvez filtrer le déploiement par groupe de sécurité, adresse IP, type de système d’exploitation, etc… En fonction de votre besoin.
Où sont stockés physiquement ces raccourcis sur le poste client ?
Ils sont stockés dans le profil de l’utilisateur connecté, plus précisément dans le dossier suivant : .