GPO Drive Mapping & Item‑Level Targeting (ILT) sous Windows Server : guide complet et dépannage

Vous souhaitez mapper un lecteur réseau via GPO uniquement pour un groupe AD, mais l’Item‑Level Targeting fait disparaître le lecteur ? Voici une procédure éprouvée, des checklists et un guide de dépannage pour sécuriser et fiabiliser le mappage.

Vue d’ensemble du problème

Un administrateur configure une stratégie « Drive Mapping » (préférences de stratégie de groupe) qui fonctionne tant que le Item‑Level Targeting (ILT) est désactivé. Dès qu’il active l’ILT pour restreindre le lecteur à un groupe Active Directory, le lecteur ne se monte plus pour les utilisateurs concernés. L’objectif est de limiter l’accès au dossier partagé aux seuls membres du groupe AD sans rompre le montage du lecteur, et sans stocker d’identifiants dans la GPO.

Ce qui se passe réellement

Trois couches décident si la préférence « Drive Map » s’exécute pour un utilisateur donné :

1. Filtrage de sécurité de la GPO (ACL de la GPO) : détermine qui peut lire la GPO et à qui elle peut s’appliquer.
2. Filtre WMI (s’il existe) : garde/fait tomber l’application de la GPO selon des critères machines ou OS.
3. Item‑Level Targeting (ILT) de la préférence « Drive Map » : décide, GPO déjà lue, si cet item s’exécute pour l’utilisateur courant.

Si le filtrage de sécurité empêche la GPO d’être lue, l’ILT n’est jamais évalué. C’est la confusion la plus fréquente.

Architecture recommandée

• Lier la GPO à l’OU des utilisateurs (et non des ordinateurs) car « Drive Maps » est un paramètre User Configuration.
• Laisser Authenticated Users avec le droit Read sur la GPO (pour qu’elle soit téléchargeable par tout utilisateur) mais sans « Apply Group Policy ».
• Ajouter le groupe AD cible dans la sécurité de la GPO avec Read + Apply Group Policy.
• Configurer l’ILT au niveau de l’item « Drive Map » pour trancher finement (ex. : User → Is a member of → NomDuGroupe).
• Côté partage, aligner SMB share permissions et NTFS pour que seules les personnes mappées puissent réellement lire/écrire.

Synthèse des solutions et bonnes pratiques

Étape	Action recommandée	Pourquoi / Points de contrôle
1	Lier la GPO à l’OU contenant les comptes utilisateurs, pas les ordinateurs.	Les paramètres User Configuration ne s’appliquent qu’aux objets utilisateur présents dans l’OU cible.
2	Security Filtering : • Conserver Authenticated Users (droit Read uniquement). • Ajouter le groupe cible avec Read + Apply Group Policy. • S’assurer qu’aucun autre groupe ne possède Apply Group Policy.	Le filtrage de sécurité décide si la GPO est lue. Sans cette lecture, la préférence et l’ILT ne s’exécutent jamais.
3	Configurer l’ILT dans la préférence « Drive Map » : Item‑Level Targeting ► Security Group ► User → Is a member of → <Nom_du_groupe>.	L’ILT agit après le filtrage de sécurité et contrôle l’exécution de l’item pour l’utilisateur courant.
4	Options de l’item : • Cocher « Run in logged‑on user’s security context ». • Décocher « Apply once and do not reapply » pour les tests. • Cocher « Remove this item when it is no longer applied ».	Garantit l’exécution dans le contexte utilisateur, la réévaluation à chaque logon et le retrait automatique du lecteur si l’utilisateur quitte le groupe.
5	Propagation et diagnostic : • gpupdate /target:user /force sur une station de test. • gpresult /R ou gpresult /H rapport.html pour vérifier l’application. • Consulter le journal Group Policy‑Preferences (Event Viewer).	Permet de valider le chemin GPO → préférence → ILT et de lire les erreurs de l’extension « Drive Maps ».
6	Vérifications supplémentaires : • Contrôler la réplication AD/SYSVOL. • Vérifier les permissions SMB & NTFS du partage.	Évite les faux‑positifs liés à la latence de réplication ou à des droits de fichiers incohérents.

Procédure pas à pas, de A à Z

Préparer le groupe AD et les droits du partage

1. Créer un groupe de sécurité (pas de groupe de distribution) dédié au lecteur, par ex. GG_FIN_DRIVE_USERS. Un groupe Global convient, Universal possible en multi‑domaines.
2. Sur le partage, aligner les droits : Couche Recommandation Permissions SMB (partage) GG_FIN_DRIVE_USERS = Change (ou Read selon besoin). Éviter « Everyone ». Permissions NTFS Définir précisément Read/Modify sur le dossier cible pour GG_FIN_DRIVE_USERS. Principe du moindre privilège.

Créer la GPO et la lier à l’OU des utilisateurs

1. Dans la GPMC, créer « GP‑MapDrives‑FIN » et la lier à l’OU qui contient les comptes utilisateurs.
2. Vérifier qu’elle ne contient que des paramètres User Configuration (les paramètres Computer sont inutiles ici).

Configurer le filtrage de sécurité correctement

1. Onglet Scope de la GPO :
   • Ajouter GG_FIN_DRIVE_USERS dans Security Filtering → il recevra Read + Apply Group Policy.
   • Conserver une entrée Authenticated Users avec le droit Read uniquement. Comme l’interface « Security Filtering » force Apply, faites-le via : Delegation → Advanced → Ajouter « Authenticated Users » avec Read (Allow) uniquement, sans « Apply group policy ».
   • S’assurer qu’aucun autre groupe n’a « Apply group policy » par inadvertance (ex. : « Domain Users »).

Pourquoi ? Tous les utilisateurs doivent pouvoir lire la GPO pour que le moteur des préférences se déclenche. Mais seul le groupe cible doit pouvoir l’appliquer. C’est la condition pour que l’ILT soit ensuite évalué.

Créer l’item « Drive Map » avec ILT

1. Éditeur de GPO : User Configuration ► Preferences ► Windows Settings ► Drive Maps.
2. New ► Mapped Drive :
   • Action : Update (souple et idempotent). Replace recrée systématiquement et peut gêner l’utilisateur.
   • Location : \\FS1\FIN.
   • Drive Letter : F: (éviter les collisions, vérifier qu’aucun autre mapping n’utilise cette lettre).
   • Label as : Finances (facilite l’identification dans l’Explorateur).
   • Reconnect : facultatif. Dans un environnement moderne, l’authentification Kerberos suffit.
   • Connect as : laisser vide (ne pas stocker d’identifiants dans la GPO).
3. Onglet Common :
   • Cocher Run in logged‑on user’s security context (user).
   • Cocher Remove this item when it is no longer applied (le lecteur disparaît si l’utilisateur sort du groupe).
   • Décocher Apply once and do not reapply pour que l’item se réévalue à chaque logon.
   • Cliquer Item‑Level Targeting ► New ► Security Group : User ► Is a member of ► GG_FIN_DRIVE_USERS.

Propager et tester

• Sur un PC de test : gpupdate /target:user /force. Si l’utilisateur vient d’être ajouté au groupe, déconnexion/reconnexion (le jeton de sécurité doit être reconstruit).
• Vérifier l’application : gpresult /R /SCOPE USER gpresult /H C:\Temp\RSOP-User.html whoami /groups | findstr /I GG_FIN_DRIVE_USERS net use F: \\FS1\FIN /persistent:no

Comprendre l’ordre d’évaluation

1. Security Filtering (ACL sur la GPO) → la GPO est-elle lue ?
2. WMI filter (s’il existe) → la GPO s’applique-t‑elle dans ce contexte ?
3. Item‑Level Targeting de chaque préférence → l’item « Drive Map » s’exécute-t‑il pour cet utilisateur ?

Retirer « Authenticated Users » de la lecture de la GPO empêche souvent l’ILT d’être atteint. Ne le faites pas : conservez le droit Read, retirez seulement l’Apply.

Diagnostic et journalisation

Si le lecteur ne se monte pas, avancez dans cet ordre :

1. La GPO est-elle lue ? gpresult /R doit lister la GPO dans Applied GPOs. Sinon, problème de linking, d’héritage bloqué ou de filtrage.
2. La préférence « Drive Map » est-elle traitée ? Ouvrir Event Viewer ► Applications and Services Logs ► Microsoft ► Windows ► GroupPolicy ► Operational. Les événements de l’extension « Drive Maps » y apparaissent (les erreurs d’application de préférences sont fréquemment consignées avec l’ID 4098, contenant le code d’erreur et le nom de l’item).
3. L’ILT passe-t‑il ? Si la GPO est lue mais l’item ne s’exécute pas, l’utilisateur n’est peut‑être pas vu membre du groupe au moment du logon. Un logoff/logon est nécessaire après un changement d’appartenance groupe.
4. Le partage est-il accessible ? Tester : \\FS1\FIN dans l’Explorateur ou net use. Un refus SMB/NTFS se manifeste par un lecteur mappé mais inaccessible.

Erreurs fréquentes et corrections rapides

• GPO liée à une OU d’ordinateurs : l’item user ne s’applique pas. Lier à l’OU des utilisateurs.
• Authenticated Users supprimé complètement : la GPO n’est pas lue. Conserver Read (via Delegation > Advanced).
• Groupe de distribution utilisé : il ne porte pas de SID utilisable dans la sécurité GPO ou l’ILT. Utiliser un groupe de sécurité.
• Lettre déjà occupée : choisir une autre lettre ou désactiver d’autres mappings conflictuels. Dans l’item, Update gère mieux les collisions que Replace.
• Stockage d’identifiants « Connect as » : non recommandé (mots de passe en clair/obfusqués). Préférer Kerberos via l’identité de l’utilisateur.
• Latence de réplication AD/SYSVOL : patienter le temps de la convergence ou cibler un même DC pour le test. Valider via un nouveau logon.
• Loopback activé sans nécessité : peut interférer avec les GPO utilisateurs en fonction de la machine. Inutile ici ; désactiver pour tester.
• « Apply once and do not reapply » coché : empêche la réévaluation quand le groupe change. Le décocher.

Modèle prêt à l’emploi

Vous pouvez regrouper plusieurs lecteurs dans une seule GPO, chacun avec son ILT :

GPO: GP-MapDrives-ENT
  OU ciblée : OU=Utilisateurs,DC=contoso,DC=local
  Security Filtering :
    - GG_FIN_DRIVE_USERS (Read + Apply)
    - GG_RH_DRIVE_USERS  (Read + Apply)
  Delegation (Advanced) :
    - Authenticated Users : Read

Items Drive Maps :

* F: => \FS1\FIN
  Action: Update
  Label: Finances
  Common: Run in logged-on user, Remove when not applied, ILT: User ∈ GG\_FIN\_DRIVE\_USERS

* R: => \FS1\RH
  Action: Update
  Label: Ressources Humaines
  Common: Run in logged-on user, Remove when not applied, ILT: User ∈ GG\_RH\_DRIVE\_USERS 

Ce patron simplifie la maintenance : un seul objet GPO, des items indépendants, chacun auto‑documenté par son libellé et son ILT.

Bonnes pratiques supplémentaires

• Nommer clairement groupes et items (ex. : GG_APP_Compta_RW, « F: Finances (FS1) »).
• Éviter « Replace » sauf nécessité (risque de déconnexion/reconnexion visibles par l’utilisateur).
• Activer “Always wait for the network at computer startup and logon” dans des environnements lents ou pour fiabiliser le chargement des CSE de préférences.
• Préférer les chemins UNC stables (DNS + DFS Namespaces le cas échéant) pour masquer les migrations de serveurs.
• Tester sur un poste propre (pas de scripts tiers ni d’outils de logon additionnels qui mappent des lecteurs en parallèle).

Checklist de résolution en 60 secondes

1. La GPO apparaît‑elle dans Applied GPOs (gpresult /R) ?
2. Dans la GPMC, Delegation > Advanced montre‑t‑il Authenticated Users : Read uniquement ?
3. Le groupe cible possède‑t‑il Read + Apply Group Policy sur la GPO ?
4. L’item « Drive Map » a‑t‑il Run in logged‑on user + ILT User is a member of … ?
5. L’utilisateur est‑il réellement dans le groupe au moment du logon (nouvelle ouverture de session) ?
6. Le partage \\FS1\FIN est‑il atteignable et autorisé par SMB/NTFS ?

FAQ ciblée

Faut‑il activer le Loopback Processing ? Non. Le besoin concerne des paramètres Utilisateur, appliqués sur des comptes utilisateurs, indépendamment du poste.

L’ILT protège‑t‑il le dossier ? Non. L’ILT contrôle l’exécution du mapping. La sécurité réelle est assurée par les ACL SMB/NTFS.

Un utilisateur ajouté au groupe n’a toujours pas le lecteur. Demander une déconnexion/reconnexion (reconstruction du jeton). Vérifier la réplication AD et que la GPO est bien lue.

Plusieurs lecteurs échouent, de façon aléatoire. Inspecter le journal GroupPolicy/Operational. Revoir « Always wait for the network », la stabilité DNS, et bannir les identifiants « Connect as ».

Exemples de commandes utiles

:: Forcer le rafraîchissement côté utilisateur
gpupdate /target:user /force

\:: Diagnostiquer les GPO utilisateur appliquées
gpresult /R /SCOPE USER
gpresult /H C:\Temp\RSOP-User.html

\:: Vérifier l’appartenance groupe côté session
whoami /groups | findstr /I GG\_FIN\_DRIVE\_USERS

\:: Tester manuellement le mapping
net use F: \FS1\FIN /persistent\:no

\:: Purger les tickets Kerberos (si nécessaire), puis se reconnecter
klist purge 

Conclusion

Pour que l’Item‑Level Targeting de vos « Drive Maps » tienne ses promesses, traitez l’ILT comme une dernière étape de décision et assurez‑vous que la GPO est correctement lue via le filtrage de sécurité : Authenticated Users = Read, groupe cible = Read + Apply, GPO liée à l’OU des utilisateurs. Côté item, exécutez dans le contexte utilisateur, réévaluez à chaque logon, retirez le mapping quand il n’est plus applicable, et alignez les permissions SMB/NTFS. Avec cette méthode, le lecteur réseau se montera uniquement pour les membres du groupe AD voulu, de façon prévisible et maintenable.

---

Informations complémentaires utiles

• Ordre d’évaluation :
  1. Filtrage de sécurité (ACL sur la GPO)
  2. WMI filter (s’il existe)
  3. Item‑Level Targeting dans chaque préférence
• Ne jamais retirer « Authenticated Users » de la lecture : ce principal virtuel doit pouvoir lire la GPO. C’est l’absence d’Apply Group Policy qui bloque l’application pour les autres.
• Loopback processing inutile ici, le besoin vise les comptes utilisateurs.
• En environnement multi‑sites, surveiller la latence de réplication SYSVOL et AD qui peut retarder la prise en compte.