Sur des PC Windows 10/11 joints à un domaine, une connexion peut s’ouvrir sous profil temporaire : paramètres perdus à chaque redémarrage, dossiers vides, bureau réinitialisé. Ce guide détaille les causes probables et livre une méthode éprouvée pour diagnostiquer, corriger et prévenir durablement.
Vue d’ensemble
Dans des environnements Active Directory (postes fixes et portables), il arrive que Windows charge un profil temporaire (message : « Vous êtes connecté avec un profil temporaire »). Tant que le profil utilisateur normal n’est pas monté, toute personnalisation est perdue à la fermeture de session. Les raisons usuelles : profil corrompu (fichiers ntuser.dat/UsrClass.dat verrouillés), manque d’espace disque, ACL NTFS erronées, latence réseau sur un profil itinérant, clé de registre ProfileList incohérente (.bak), ou interférence d’un antivirus.
Objectif : fournir un plan d’action progressif : diagnostic ⇒ réparation/recréation ⇒ prévention, afin d’éviter une réinstallation complète tout en sécurisant les données locales.
Symptômes et messages courants
- Message à la connexion : « Windows ne peut pas trouver le profil local et vous connecte avec un profil temporaire ».
- Dossier de profil attendu (
C:\Users\username) absent, vide, ou remplacé parC:\Users\TEMP/C:\Users\TEMP.DOMAIN. - Paramètres et icônes du Bureau perdus à chaque redémarrage.
- Événements Observateur : source User Profile Service (IDs fréquents : 1500, 1502, 1508, 1509, 1511, 1515, 1530).
- Pour profils itinérants : délais d’ouverture de session très longs, puis bascule en profil temporaire si le partage SMB est lent/inaccessible.
Procédure rapide (résumé exécutable)
- Se connecter avec un compte admin local (ou un autre compte admin du domaine) sur la machine concernée.
- Vérifier
C:\UsersetHKLM\...\ProfileList: existence d’un.bak, dossierusernameverrouillé, espace disque. - Renommer le dossier utilisateur (
username→username.old), corriger la clé.bak, mettre State/RefCount à 0, redémarrer. - Reconnexion de l’utilisateur : Windows régénère un profil sain. Migrer ensuite les données utiles depuis
username.old. - Si profil itinérant : tester la latence SMB et la disponibilité du partage ; envisager redirection de dossiers ou FSLogix.
- Prévenir : GPO de nettoyage des profils, contrôles d’arrêt propre, exclusions AV, surveillance des quotas et de la santé disque.
Synthèse des solutions proposées
| Étape | Action | Détails utiles |
|---|---|---|
| Diagnostiquer la corruption de profil | Se connecter avec un admin local, ouvrir C:\Users et repérer le dossier de l’utilisateur (p.ex. username, username.V2 ou username.old). Inspecter la ruche ProfileList. | La présence d’un suffixe .bak dans HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList est un classique. Consulter l’Observateur (Application → User‑Profile‑Service, IDs 1502/1508/1511…). |
| Réparer ou recréer le profil | Renommer le dossier (username.old) et la clé registre .bak (ou la supprimer), puis redémarrer. Windows recrée un profil sain à la prochaine connexion. | Méthode non destructive : l’ancienne copie reste disponible pour récupérer des fichiers. |
| Vérifier les ressources locales | Contrôler l’espace disque et les permissions NTFS sur C:\Users\username. | Disque plein ou ACL incorrectes : la déconnexion n’enregistre pas le profil ⇒ temp profile. |
| Contrôler la couche réseau | Pour profil itinérant, tester la latence et la santé du partage SMB. | Un timeout réseau déclenche un profil temporaire. Prévoir Redirection de dossiers / FSLogix / UE‑V pour plus de robustesse. |
| Restauration système (optionnel) | Rétablir un point de restauration antérieur à un patch/driver suspect. | Particulièrement utile après une mise à jour majeure de Windows, pilote ou logiciel de sécurité. |
| Prévenir sur le long terme | GPO de nettoyage (Delete cached copies of roaming profiles, Delete user profiles older than N days), scripts programmés, mises à jour AV, extinction propre. | Limiter l’accumulation et la détérioration des profils, réduire les risques de temp profile. |
Avant de commencer : sécurité, sauvegardes et bonnes pratiques
- Informer l’utilisateur que les fichiers créés sous le profil temporaire peuvent disparaître au prochain redémarrage. Demander de ne rien fermer de critique le temps de la copie.
- Sauvegarder avant toute modification :
robocopy "C:\Users\username" "D:\Sauvegardes\username_yyyymmdd" /MIR /R:0 /W:0reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" "%TEMP%\ProfileList_backup.reg"
- Travail hors ligne si possible (déconnecter le réseau pour éviter des locks pendant l’opération, surtout avec profils itinérants).
- Redémarrage contrôlé avant/après intervention pour libérer les verrous de fichiers.
Diagnostic détaillé côté poste
Observer les entrées de l’Observateur d’événements
Ouvrir eventvwr.msc → Journaux Windows → Application → Filtrer le journal actuel → Sources : User Profile Service. Rechercher les IDs : 1500/1502/1508/1509/1511/1515/1530. Ils indiquent souvent :
- 1500/1502 : échec de chargement du profil (fichiers verrouillés ou corrompus).
- 1508/1509 : erreurs de copie/lecture de la ruche (droits, disque, antivirus).
- 1511 : profil introuvable ⇒ ouverture sous profil temporaire.
- 1515 : profil sauvegardé, Windows utilisera un profil temporaire.
- 1530 : handles laissés ouverts à la fermeture (souvent par un service/AV), source de corruption.
Vérifier l’espace disque et la santé du volume
Get-PSDrive -PSProvider FileSystem
chkdsk C: /scan
Conserver une marge ≥ 10 % de C: sur des postes à profils locaux/cache d’Office/Teams. Sur SSD fatigué (SMART dégradé), prioriser un remplacement.
Contrôler les permissions NTFS
Sur C:\Users\username : l’utilisateur doit avoir Contrôle total (hérité), le groupe Administrators accès approprié. Pour réparer :
takeown /F "C:\Users\username" /R /D Y
icacls "C:\Users\username" /inheritance:e
icacls "C:\Users\username" /grant:r "DOMAIN\username:(OI)(CI)F" /T
Déceler le classique « .bak » dans ProfileList
Ouvrir regedit.exe → HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList. Vous trouverez deux sous-clés portant le même SID :
S-1-5-21-…-1001(temporaire) etS-1-5-21-…-1001.bak(profil d’origine), ou inversement.- Vérifier
ProfileImagePath(doit pointer versC:\Users\username). - Mettre
StateetRefCountà0sur la bonne clé.
Réparation : méthodes éprouvées
Méthode A — Réparer via renommage de la clé .bak
- Dans
ProfileList, repérer la paire de SIDs (avec et sans.bak). - Renommer la clé sans
.baken.bad(sécurité). - Renommer la clé avec
.bakpour retirer le suffixe.bak(elle redevient la clé active). - Sur cette clé, s’assurer que
ProfileImagePathpointe bien versC:\Users\username, puis mettreState= 0 etRefCount= 0. - Redémarrer le poste et reconnecter l’utilisateur.
Méthode B — Recréation du profil local (sans perdre les données)
- Déconnecter l’utilisateur problématique. Se connecter en admin.
- Renommer
C:\Users\usernameenusername.old. - Dans
ProfileList, supprimer (ou renommer) la clé du SID de l’utilisateur. - Redémarrer, laisser l’utilisateur se reconnecter ⇒ Windows crée
C:\Users\usernametout neuf. - Migrer sélectivement depuis
username.old:- Bureau, Documents, Images, Favoris
AppData\Roaming\Microsoft\Signatures(Outlook),AppData\Local\Microsoft\Teams(à éviter si corrompu), modèles Office, profils de navigateurs si nécessaire.
Astuce : éviter de recopier tout AppData; privilégier une migration ciblée pour ne pas réimporter la corruption.
Méthode C — Profils itinérants et dossiers redirigés
- Vérifier la latence/fiabilité du partage :
Test-NetConnection fileserver01 -Port 445 Get-SmbMapping - Si le profil itinérant time‑out : privilégier la Redirection de dossiers (Documents/Bureau) et/ou FSLogix (conteneur VHD/VHDX) pour une meilleure tolérance aux interruptions réseau.
- Contrôler Offline Files si activé : purger le cache en dernier recours après sauvegarde.
Récupération de fichiers créés sous le profil temporaire
Les fichiers créés pendant la session temporaire peuvent résider dans :
C:\Users\TEMPouC:\Users\TEMP.<Domaine>C:\Users\username.<Domaine>.000(variantes numérotées)C:\Users\username.old(si vous avez renommé l’ancien profil)
Copier vers un emplacement sûr (D:\Sauvegardes\ ou réseau) avant tout redémarrage. Informer l’utilisateur que ces emplacements ne sont pas pérennes.
Scripts PowerShell d’audit et de remédiation
Inventaire des profils et détection des .bak
# À exécuter en PowerShell (Administrateur)
$root = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList'
Get-ChildItem $root | ForEach-Object {
$sid = $_.PSChildName
$p = (Get-ItemProperty $_.PSPath).ProfileImagePath
$state = (Get-ItemProperty $_.PSPath).State
$ref = (Get-ItemProperty $_.PSPath).RefCount
[pscustomobject]@{ SID=$sid; Path=$p; State=$state; RefCount=$ref; HasBak=($sid -like '*.bak') }
} | Sort-Object HasBak -Descending | Format-Table -Auto
Réparation semi‑automatique d’un profil .bak
# Sécuriser: export du hive
reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" "$env:TEMP\ProfileList_backup.reg" > $null
$root = 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList'
$bakKeys = Get-ChildItem $root | Where-Object { $_.PSChildName -like '*.bak' }
foreach ($bak in $bakKeys) {
$goodSid = $bak.PSChildName -replace '.bak$',''
$goodPath = Join-Path $root $goodSid
# Renommer la clé sans .bak (temporaire) par sécurité
if (Test-Path $goodPath) {
Rename-Item -Path $goodPath -NewName ($goodSid + '.bad') -ErrorAction SilentlyContinue
}
# Activer la clé .bak
Rename-Item -Path $bak.PSPath -NewName $goodSid
# Remise à zéro des compteurs
Set-ItemProperty -Path (Join-Path $root $goodSid) -Name State -Value 0 -ErrorAction SilentlyContinue
Set-ItemProperty -Path (Join-Path $root $goodSid) -Name RefCount -Value 0 -ErrorAction SilentlyContinue
}
Write-Host 'Terminé. Redémarrez et reconnectez l’utilisateur concerné.' -ForegroundColor Green Nettoyage des profils locaux inactifs > N jours
# Exemple: supprimer les profils non utilisés depuis 60 jours (sauf admin & système)
$days = 60
Get-CimInstance -ClassName Win32_UserProfile |
Where-Object { -not $_.Special -and -not $_.Loaded -and $_.LastUseTime -lt (Get-Date).AddDays(-$days) } |
ForEach-Object {
try {
$_.Delete() | Out-Null
Write-Host "Profil supprimé: $($_.LocalPath)"
} catch {
Write-Warning "Échec suppression: $($_.LocalPath) - $($_.Exception.Message)"
}
}
Note : testez toujours ces scripts sur un poste pilote et conservez une sauvegarde.
Vérifications réseau clés pour profils itinérants
- Latence et stabilité SMB : contrôlez la cohérence DNS, la bande passante (Wi‑Fi des portables), la qualité du câble/du switch.
- Quota de partage : un quota saturé empêche l’écriture du profil à la déconnexion.
- Permissions du partage/profil : utilisateur : Contrôle total sur son dossier de profil ; Administrators selon vos pratiques.
- Offline Files : désynchronisation ou cache CSC corrompu → envisager une réinitialisation contrôlée après sauvegarde.
Prévention à long terme : GPO, hygiène, modernisation
Stratégies de groupe utiles
- Computer Configuration → Administrative Templates → System → User Profiles :
- Delete cached copies of roaming profiles : supprime les copies locales après déconnexion.
- Delete user profiles older than a specified number of days on system restart : nettoyage périodique.
- Do not forcefully unload the user registry at user logoff : à ajuster selon l’environnement ; évite les déchargements brutaux.
- Set roaming profile path for all users logging onto this computer : cohérence du chemin.
- Always wait for the network at computer startup and logon : utile en domaine pour profils réseau.
Antivirus et agents EDR
Les verrous sur ntuser.dat/UsrClass.dat sont une cause récurrente de corruption. Bonnes pratiques :
- Maintenir l’agent à jour ; privilégier les modules « journaling » plutôt que la surveillance intrusive des dossiers profil.
- Exclure (si politique sécurité le permet) :
C:\Users\*\ntuser.dat*,C:\Users\*\AppData\Local\Microsoft\Windows\UsrClass.dat, caches Teams/Office temporaires. - Planifier les scans complets en dehors des plages de logon/logoff massifs.
Gestion moderne des profils : FSLogix & alternatives
FSLogix (inclus dans certains plans M365) encapsule le profil dans un conteneur VHD/VHDX monté à la connexion : meilleure résilience aux latences, idéal pour VDI/RDS/Cloud PC mais également pertinent en environnement hybride.
Paramètres de base (via GPO/registry) :
HKLM\SOFTWARE\FSLogix\Profiles
Enabled = 1 (DWORD)
VHDLocations = \\fileserver\FSLogix\Profiles (REG_SZ)
VolumeType = VHDX (REG_SZ)
SizeInMBs = 30720 (ou supérieur selon besoin)
Alternatives/compléments : Redirection de dossiers, OneDrive Known Folder Move pour déplacer Bureau/Documents/Images dans le cloud et réduire la dépendance au profil local.
Outils d’entretien
- DelProf2 (communauté) : purge fine des profils locaux — à tester en pré‑prod.
- User Profile Hive Cleanup Service : composant historique aujourd’hui intégré au service de profils Windows ; inutile de l’installer séparément sur Windows modernes.
- ProcMon : tracer les processus qui verrouillent
ntuser.dat(filter : Path ends with ntuser.dat / USRCLASS.DAT).
Tableaux d’aide au diagnostic
Événements « User Profile Service » : traduction en actions
| ID | Symptôme | Cause probable | Action recommandée |
|---|---|---|---|
| 1500 / 1502 | Échec de chargement de profil | Fichiers ruche verrouillés ou corrompus | Réparer .bak, State/RefCount=0, vérifier AV |
| 1508 / 1509 | Échec lecture/copie de registre | Droits NTFS, disque plein, erreurs de disque | Libérer l’espace, corriger ACL, chkdsk |
| 1511 | Connexion avec profil temporaire | Profil introuvable/indisponible | Recréer profil, valider chemin réseau |
| 1515 | Profil sauvegardé (fallback) | Corruption détectée | Migration sélective de données, nouveau profil |
| 1530 | Handles ouverts à la fermeture | Service/AV garde la ruche ouverte | Identifier le processus (ProcMon), ajuster exclusions |
Arbre de décision express
- Temp profile + .bak présent → renommer clés,
State/RefCount=0, redémarrer. - Temp profile + disque plein → libérer espace, redémarrer, retenter la connexion.
- Profil itinérant + latence → tester SMB, basculer dossiers redirigés/FSLogix.
- ACL cassées →
takeown/icacls, recréer profil si besoin.
Cas particuliers et pièges fréquents
- Changement de SID utilisateur (réintégration au domaine, restauration image) : le SID référencé par
ProfileListn’est plus celui de l’utilisateur. Vérifierwhoami /useret réaligner la clé. - Profils en suffixe .000/.001 : des résidus de profils éphémères créent des collisions de chemin. Nettoyer les entrées orphelines dans
ProfileListet dansC:\Users. - Extinction brutale : favorise les ruines de ruche. Mettre en place une GPO empêchant l’arrêt forcé tant que la session n’est pas complètement déchargée.
- Applications bavardes (Teams, navigateurs, add‑ins Office) : caches lourds dans
AppData\Local. Prévoir exclusions de roaming/redirections pour réduire la surface.
Checklist de validation (après remédiation)
- L’utilisateur se connecte sans message d’erreur ; le chemin actif est
C:\Users\username(vérifierecho %USERPROFILE%). - Le journal User Profile Service ne génère plus d’erreurs aux prochains logons/logoffs.
- Les données utiles ont été migrées depuis
username.old; les caches corrompus n’ont pas été réimportés. - Un redémarrage test confirme la persistance des paramètres (fond d’écran, favoris, signatures).
- Si pertinent : tests réseau sur le partage de profils, latence stable, quotas suffisants.
FAQ
Q : Puis‑je réparer sans perdre les données ?
R : Oui. Renommez le dossier en username.old, corrigez ProfileList, laissez Windows recréer un profil vierge, puis migrez uniquement les dossiers nécessaires.
Q : Où sont passés mes fichiers créés sous le profil temporaire ?
R : Recherchez dans C:\Users\TEMP* et dans d’éventuels username.000. Copiez‑les avant redémarrage.
Q : DelProf2 est‑il indispensable ?
R : Non. Windows sait déjà lister/supprimer des profils via WMI/PowerShell. DelProf2 reste utile pour des scénarios avancés, mais testez‑le d’abord en pré‑prod.
Q : FSLogix est‑il uniquement pour VDI ?
R : Non. Il est plébiscité en VDI/RDS mais rend aussi les profils plus robustes sur des postes hybrides avec profil itinérant, car le profil devient un conteneur unique.
Q : Les GPO « Delete user profiles older than N days » risquent‑elles de supprimer des comptes inactifs temporairement ?
R : Oui, d’où l’importance de calibrer N (ex. > 30 jours) et d’exclure les profils spéciaux (salles de réunion, kiosks).
Conclusion
Dans la majorité des cas, un profil temporaire sur un poste joint au domaine se résout sans réinstaller Windows. Le triptyque gagnant : diagnostic précis (événements, ProfileList, ressources locales), remédiation ciblée (renommer clé .bak, recréer profil, corriger ACL), et prévention (GPO de nettoyage, hygiène AV, solutions modernes comme FSLogix/Redirection/KFM). En appliquant cette méthode, on supprime durablement le phénomène tout en minimisant l’impact utilisateur.