Dans une ferme RDS Windows Server 2022 avec FSLogix (ODFC), OneDrive se met en défaut dès qu’une GPO “bloque” l’accès au lecteur C:. Voici pourquoi, comment le diagnostiquer et les architectures de durcissement qui laissent OneDrive fonctionner sans exposer le système.
OneDrive sur hôtes RDS : panne dès que le lecteur C: est « bloqué »
Vue d’ensemble de l’environnement et du symptôme
Contexte : ferme RDS Windows Server 2022 (3 hôtes), profils utilisateurs gérés par FSLogix (dernière version « U4 »), OneDrive installé avec Files On‑Demand et Storage Sense. Les fichiers OneDrive résident dans le conteneur ODFC de FSLogix.
Problème : dès que la GPO qui empêche l’accès au lecteur C: est activée (et pas seulement le masquage), OneDrive ne fonctionne plus : démarrage aléatoire ou impossible, icône grisée, hydratation/déshydratation qui échoue, erreurs de synchronisation dans le Shell, Known Folder Move qui ne migre plus, etc.
Pourquoi OneDrive tombe en panne quand C: est bloqué
- Même lorsque les données utilisateur sont externalisées via FSLogix ODFC, le client OneDrive s’exécute depuis C:\Program Files (ou Program Files (x86)) et écrit des caches, journalisations et paramètres sous
%LOCALAPPDATA%. - La pile Cloud Files (CldFlt) et l’intégration Shell (Files On‑Demand) s’appuient sur des API et chemins locaux : certaines opérations déclenchées dans l’Explorateur (hydrate, dehydrate, placeholders, policies) transitent par des composants sur C:.
- La GPO « Empêcher l’accès aux lecteurs à partir de l’Explorateur de fichiers » ne prévoit aucune exception granulaire. Lorsqu’elle cible C:, elle peut bloquer Explorer.exe, le filtre Cloud Files et le client OneDrive dans leurs accès aux zones C: exigées au runtime, d’où la panne.
Ce que fait réellement la GPO “Empêcher l’accès aux lecteurs…”
Cette stratégie agit au niveau de l’Explorateur et de certaines boîtes de dialogue communes du Shell. Elle n’est pas un contrôle de sécurité à granularité NTFS ; c’est un frein d’UX qui empêche d’ouvrir le lecteur dans l’interface, et que d’autres composants respectent par design. Quand elle cible C:, elle peut couper des accès nécessaires au client OneDrive et à Cloud Files, notamment lorsqu’un composant Shell exécute une opération avec contexte utilisateur.
Approches de remédiation recommandées
Masquer C: au lieu de le bloquer
But : conserver une expérience utilisateur “propre” (C: invisible) tout en laissant le système et OneDrive opérer normalement.
- Activez la stratégie Masquer ces lecteurs spécifiés pour l’Explorateur.
- Désactivez la stratégie Empêcher l’accès aux lecteurs… (le “blocage dur”).
- Appuyez le durcissement sur des contrôles réels :
- NTFS/ACL : lecture seule sur
C:\pour les utilisateurs standards, droits complets exclusivement sur les profils (C:\Users\%username%) et chemins applicatifs autorisés. - Contrôle d’exécution via AppLocker ou WDAC (seuls les binaires approuvés sont exécutables).
- NTFS/ACL : lecture seule sur
| Objectif | Mécanisme | Réglage conseillé | Impact OneDrive |
|---|---|---|---|
| Cacher C: à l’utilisateur | GPO Masquer lecteurs | Masquer C: (ou C+D) | OK (aucun blocage runtime) |
| Empêcher manipulations système | ACL NTFS | Lecture seule sur C:\ hors profils | OK (OneDrive opère via profils + Program Files) |
| Limiter l’exécution | AppLocker/WDAC | Autoriser OS + OneDrive + apps métier | OK si règles bien posées |
| Bloquer C: dans l’UX | GPO Empêcher l’accès | À éviter | Risque de panne |
Installer OneDrive “par machine” (mode /allusers)
Sur RDS, le modèle per‑machine est plus robuste : le binaire est commun, le service de mise à jour fonctionne sans élévations répétées, et les chemins sont prévisibles.
OneDriveSetup.exe /allusers
À vérifier/autoriser (AppLocker/WDAC, antivirus, ACL) :
%PROGRAMFILES%\Microsoft OneDrive\OneDrive.exe%PROGRAMFILES%\Microsoft OneDrive\OneDriveStandaloneUpdater.exe%LOCALAPPDATA%\Microsoft\OneDrive\*(journal, cache, settings)%LOCALAPPDATA%\Microsoft\OneAuth\*,%LOCALAPPDATA%\Microsoft\IdentityCache\*
Remarque : l’ODFC continue d’héberger le cache de contenu (fichiers utilisateur) ; les chemins ci‑dessus concernent le runtime et l’authentification.
Si un “blocage dur” de C: est imposé par la sécurité
Évitez la GPO “Empêcher l’accès…”, car elle ne gère pas d’exceptions. Recombinez plutôt :
- Masquage C: via GPO (UX uniquement).
- ACL NTFS fines : lecture seule hors profils et zones applicatives écrites par des services.
- AppLocker/WDAC : “liste blanche” des exécutables (Windows, OneDrive, applications signées de l’éditeur).
- À défaut : Software Restriction Policies en mode restreint.
| Composant | Chemin | Accès requis | Raison |
|---|---|---|---|
| OneDrive (binaire) | %PROGRAMFILES%\Microsoft OneDrive\* | Lecture/Exécution | Exécution du client et des MAJ |
| OneDrive (profil) | %LOCALAPPDATA%\Microsoft\OneDrive\* | Lecture/Écriture | Caches, logs, settings |
| Identité | %LOCALAPPDATA%\Microsoft\OneAuth\*, ...\IdentityCache\* | Lecture/Écriture | Jetons et comptes |
| Cloud Files | Filtre CldFlt (driver) | Chargement driver + accès Shell | Hydratation/déshydratation |
| FSLogix ODFC | VHD(X) réseau dédié | Montage en session | Roaming du contenu |
Checklist FSLogix ODFC (RDS)
- ODFC activé ; conteneur séparé du Profile Container (recommandé).
- Stockage VHD(x) sur un partage hautes performances (SMB multicanal/scale‑out quand possible).
- Quotas/limites adaptés à l’usage (éviter la saturation).
- Exclusions antivirus sur le chemin du VHD (pas sur tout
C:\).
; Exemple de fslogix.ini
[ODFC]
Enabled=1
SizeInMBs=50000
VHDLocations=\\filesrv\FSLogix\ODFC
IsDynamic=1
VolumeType=VHDX
Checklist GPO utiles pour OneDrive en RDS
| Catégorie | Stratégie | Réglage recommandé | Commentaire |
|---|---|---|---|
| OneDrive | Activer Files On‑Demand | Activé | Réduit E/S réseau et stockage |
| OneDrive | Utiliser Known Folder Move | Selon besoin | Valider avec ODFC avant de généraliser |
| Explorateur | Masquer ces lecteurs | Masquer C: | UX épurée |
| Explorateur | Empêcher l’accès aux lecteurs… | Désactivé | Évite de casser Cloud Files/OneDrive |
| AppLocker/WDAC | Règles éditeur/publisher | Autoriser OS + OneDrive + apps métier | Modèle allow‑list |
| Storage Sense | Nettoyage + libération d’espace | Activé (paramétré) | Complémentaire avec FOD |
Dépannage : que vérifier en premier
- Isoler la cause : désactivez uniquement la GPO “Empêcher l’accès…”. Si OneDrive repart immédiatement, la stratégie est le déclencheur.
- Montage ODFC : contrôler les journaux FSLogix et la présence du VHD(x) en session.
- Filtre Cloud Files : s’assurer que CldFlt est chargé et attaché.
- Journaux OneDrive : consulter
%LOCALAPPDATA%\Microsoft\OneDrive\logs\Business1\pour des erreurs d’initialisation. - Autorisations : vérifier que les ACL NTFS sur
%LOCALAPPDATA%n’ont pas été restreintes outre mesure.
:: Vérifier les filtres de pilotes (élevé)
fltmc filters
:: Vérifier le service Cloud Files
sc query cldflt
:: Forcer un redémarrage propre de OneDrive pour un utilisateur
%LOCALAPPDATA%\Microsoft\OneDrive\OneDrive.exe /shutdown
%LOCALAPPDATA%\Microsoft\OneDrive\OneDrive.exe
Indicateurs typiques en cas de blocage de C:
- Icône OneDrive qui clignote entre “Connexion…” et “Non synchronisé”.
- Fichiers avec statut “En ligne uniquement” qui ne s’hydratent pas au double‑clic.
- Erreurs KFM “impossible de rediriger Documents” lors de l’ouverture de session.
- Entrées d’événements du Cloud Files indiquant une opération refusée.
Modèle de durcissement recommandé (RDS + OneDrive)
- Masquez C: pour l’UX (GPO “Masquer lecteurs”).
- Ne bloquez pas C: via la GPO “Empêcher l’accès…”.
- Figez les droits NTFS : lecture seule sur
C:\pour les utilisateurs standards ; permissions explicites surC:\Users\%username%. - Activez AppLocker/WDAC : autorisez OS, OneDrive, Office, applications signées et scripts approuvés.
- Installez OneDrive en /allusers et contrôlez les mises à jour.
- FSLogix ODFC : séparez profil et ODFC, quotas adaptés, résilience SMB.
- Surveillez via journaux (FSLogix, Cloud Files, OneDrive) et métriques SMB.
Exemples de règles et commandes utiles
AppLocker – squelette minimal (à adapter)
# Publisher rule (exécution autorisée)
- Publisher: O=Microsoft Corporation, CN=Microsoft Windows, ...
Product name: Microsoft OneDrive
Binary: OneDrive.exe, OneDriveStandaloneUpdater.exe
# Chemins autorisés
%PROGRAMFILES%\Microsoft OneDrive\*
%LOCALAPPDATA%\Microsoft\OneDrive\*
%LOCALAPPDATA%\Microsoft\OneAuth\*
%LOCALAPPDATA%\Microsoft\IdentityCache\* WDAC – point de départ
# Générer une politique basée sur l'éditeur (mode audit d'abord)
New-CIPolicy -FilePath C:\WDAC\Base.xml -Level Publisher -UserPEs 3 -Fallback Hash
ConvertFrom-CIPolicy C:\WDAC\Base.xml C:\WDAC\Base.bin
# Déployer en mode Audit, puis passer en mode Enforce après validation
Audit rapide des ACL sur C:
icacls C:\ /t /c > C:\temp\acl_c_drive.txt
# Rechercher des Deny excessifs sur Users/Authenticated Users
Procédure de validation en pré‑production
- OU de test : clonez les GPO et désactivez uniquement “Empêcher l’accès…”.
- Scénarios utilisateurs : ouverture de session, KFM, ouverture de fichiers “online‑only”, mise en cache locale, déconnexion/reconnexion, bascule d’hôtes RDS.
- Charge : sessions simultanées (pics du matin), surveillance IOPS du partage FSLogix.
- Rollback : plan clair (GPO Link Order, versionning) et documentation.
FAQ express
FSLogix ODFC ne suffit‑il pas à isoler OneDrive de C: ?
Non. ODFC s’occupe du contenu (fichiers utilisateur). Le client OneDrive, ses caches et l’intégration Shell utilisent toujours des composants sur C:.
Le masquage de C: n’est‑il pas insuffisant pour la sécurité ?
Le masquage n’est pas un contrôle de sécurité. Le durcissement doit reposer sur NTFS + AppLocker/WDAC, pas sur un blocage UX indiscriminé qui casse des dépendances système légitimes.
Peut‑on faire une exception OneDrive dans la GPO “Empêcher l’accès…” ?
Non. Cette stratégie ne gère pas d’exceptions par application ; elle s’applique globalement au Shell.
Faut‑il installer OneDrive par utilisateur ?
En RDS, préférez l’installation par machine (/allusers) : maintenance simplifiée, stabilité accrue.
Storage Sense et Files On‑Demand cohabitent‑ils ?
Oui. Storage Sense complète FOD en libérant l’espace selon des politiques ; validez toutefois les délais et exclusions en pré‑prod.
Plan d’action concret
- Désactiver la GPO “Empêcher l’accès aux lecteurs…”.
- Activer le masquage de C: et durcir NTFS.
- Déployer OneDrive en /allusers et vérifier les chemins d’exécution.
- Mettre en place AppLocker/WDAC (mode Audit puis Enforce).
- Contrôler FSLogix ODFC (montage, quotas, performances).
- Superviser : journaux OneDrive, Cloud Files et FSLogix ; corriger tout Deny inattendu.
Résumé opérationnel
Dans un environnement RDS Windows Server 2022 avec FSLogix ODFC, OneDrive dépend toujours de C: pour son exécution, ses caches et l’intégration Cloud Files. La GPO qui bloque l’accès à C: empêche le Shell et le client d’accéder à ces chemins, et provoque la panne. La stratégie gagnante est simple : ne pas bloquer C:, le masquer seulement, et confier le durcissement à NTFS + AppLocker/WDAC. Ainsi, vous protégez la plateforme tout en préservant la stabilité de OneDrive et l’expérience utilisateur.
Annexe : contrôle rapide
- OneDrive démarre‑t‑il sans la GPO de blocage ? Oui → GPO en cause.
- Le conteneur ODFC est‑il monté ? Oui → stockage OK.
fltmc filtersmontre‑t‑il CldFlt ? Oui → pile Cloud Files chargée.- Des Access Denied sur
%LOCALAPPDATA%\Microsoft\OneDrive? Corriger ACL/AppLocker.
Bonnes pratiques complémentaires
- Images serveur homogènes : version OneDrive verrouillée et testée, puis mise à jour contrôlée par lots.
- Observabilité : journalisation OneDrive (niveau par défaut), alertes en cas de montée d’échecs d’hydratation.
- Capacité FSLogix : surveillez la croissance des VHDX ODFC, mettez en place l’archivage si nécessaire.
- Éducation utilisateur : expliquer “En ligne uniquement” vs “Toujours conserver sur cet appareil”.
Conclusion
Bloquer C: via la GPO “Empêcher l’accès aux lecteurs…” sur des hôtes RDS casse OneDrive car le client et Cloud Files ont besoin de chemins locaux. Masquez C:, durcissez avec NTFS + AppLocker/WDAC, installez OneDrive en mode /allusers et validez vos GPO en pré‑prod : c’est la voie pragmatique, robuste et pérenne pour concilier sécurité et productivité.