Mapper un lecteur réseau avec une GPO ou un script sous Active Directory

   -     -     -   (0)  -    9 minutes
Windows Server 2019Windows Server 2022Windows Server 2025

Lors de la mise en place d’un environnement Active Directory, l’un des besoins les plus courants est de faciliter l’accès aux ressources partagées pour les utilisateurs. Plutôt que de configurer manuellement chaque poste, il est possible d’automatiser le mappage des lecteurs réseau dès l’ouverture de session.

Cette automatisation permet de standardiser les postes de travail, de réduire les erreurs de configuration et de simplifier la gestion des accès aux fichiers.

Dans ce tutoriel, nous allons voir deux méthodes pour mapper un lecteur réseau :

  • à l’aide des stratégies de groupe (GPO), qui est la méthode recommandée
  • à l’aide d’un script exécuté à l’ouverture de session

Nous verrons également comment limiter l’accès à un lecteur réseau en fonction des groupes utilisateurs afin d’adapter dynamiquement les ressources disponibles.

Prérequis :

  • Être dans un environnement Active Directory.
  • Avoir un dossier partagé accessible aux utilisateurs à qui celui-ci va être mappé.

Sommaire

Pourquoi automatiser le mappage des lecteurs réseau ?

Dans un environnement professionnel, automatiser le mappage des lecteurs réseau permet d’assurer une cohérence entre les postes utilisateurs et de simplifier considérablement l’administration. Un utilisateur retrouve automatiquement ses lecteurs sans configuration manuelle, ce qui réduit les demandes de support.

Cette approche permet également d’adapter les lecteurs réseau en fonction des services ou des groupes de sécurité, ce qui est particulièrement utile dans les environnements structurés (RH, comptabilité, IT, etc.).

Mappage de lecteur réseau par GPO – Stratégie de groupe

L’utilisation des GPO est aujourd’hui la méthode la plus recommandée pour mapper des lecteurs réseau dans un environnement Active Directory. Elle permet une gestion centralisée, une application automatique des paramètres et une grande souplesse grâce aux options de ciblage.

Contrairement aux scripts, cette méthode ne dépend pas de l’exécution d’un code et s’intègre directement dans les mécanismes natifs de Windows.

1. Ouvrir l’éditeur de stratégie de groupe sur un contrôleur de domaine.

Mappage lecteur réseau : editeur de stratégies de groupe

2. Créer une nouvelle stratégie, faire un clic droit sur le nom domaine 1 ou sur une unité d’organisation et cliquer sur Créer un objet GPO dans ce domaine, et lier ici 2.

Créer une nouvelle stratégie

3. Donner un nom avec stratégie et cliquer sur OK 1.

Nom de la stratégie

4. Faire un clic droit sur la stratégie 1 et cliquer sur Modifier 2 pour ouvrir l’éditeur.

Edition de la strategie

5. Aller sur Configuration utilisateur / Préférences / Paramètres Windows et double cliquer sur Mappages de lecteurs 1.

Chemin d'accès

6. Faire un clic droit  Nouveau 1 / Lecteur mappé 2.

Ajouter un nouveau lecteur

7. Remplir le formulaire :

  • 1 Saisir le chemin UNC du partage réseau (par exemple : \\serveur\partage). Ce chemin doit être accessible par les utilisateurs et les droits doivent être correctement configurés côté serveur.
  • 2 Indiquer la lettre utilisée
  • 3 Appliquer
  • 4 OK
  • A et B pour libeller le lecteur réseau
Formulaire lecteur reseau

8. Le lecteur 1 doit être visible dans Mappages de lecteurs.

Liste des lecteurs

9. Résumé de la GPO, par défaut le lecteur est mappé à tous les utilisateurs.

Détail de la GPO

Limiter le mappage du lecteur réseau à un groupe avec le ciblage au niveau de l’élément

Le ciblage au niveau de l’élément permet de contrôler quels utilisateurs verront le lecteur réseau, mais il ne remplace pas la gestion des permissions.

Il est indispensable de configurer correctement les droits NTFS et les autorisations de partage sur le dossier concerné. Le ciblage GPO agit uniquement sur l’affichage et le mappage du lecteur, pas sur la sécurité réelle des données.

Pour une gestion propre et évolutive, il est recommandé d’utiliser des groupes de sécurité plutôt que d’affecter directement des utilisateurs.

1. Éditer votre lecteur clic droit dessus 1 et Propriétés.

Edition proprietes

2. Aller sur l’onglet Commun 1, cocher « Ciblage au niveau de l’élément » 2 et cliquer sur Ciblage 3.

Activer le ciblage

3. Cliquer sur Nouvel élément 1 et sélectionner Groupe de sécurité 2.

Ciblage sur un groupe de sécurité

4. Ajouter votre groupe 1 et cliquer sur OK 2.

Selection de groupe : Grp_Partage_RW

5. C’est fini, le lecteur P sera mappé seulement aux utilisateurs étant dans le groupe Grp_Partage_RW. Si vous retourner sur l’aperçu des paramètres de la stratégie, vous pouvez voir les éléments du ciblage 1.

Parametres du ciblage.

Script Powershell pour mapper un lecteur réseau

Le script présenté dans ce tutoriel est écrit en VBS.

Dans les prochaines version de Windows 11, le langage VBS va devenir une fonctionnalité facultative car le langage VBS est maintenant déprécié.

Vous trouverez dans l’article suivant : Script d’ouverture de session (Logon Script) en PowerShell, un exemple de script écrit en PowerShell.

Source : Resources for deprecated features

1. Créer un nouveau fichier Powershell .ps1

2. Editer le fichier et ajoute les codes ci-dessous :

$Drive = "P:"
$Path  = "\\LAB-AD1\partage"

# Vérifie si le lecteur P: est déjà utilisé
if (!(Get-PSDrive -Name $Drive.Replace(":", "") -ErrorAction SilentlyContinue)) {
    New-PSDrive -Name $Drive.Replace(":", "") -PSProvider FileSystem -Root $Path -Persist
} else {
    Write-Host "Le lecteur $Drive est déjà connecté."
}

3. Ajouter le script à l’ouverture de session par stratégie de groupe pour effectuer le mappage du lecteur réseau.

Limiter le mappage du lecteur à un groupe par script

Comme pour la GPO, nous allons maintenant modifier le script pour limiter le mappage lecteur réseau au groupe Grp_partage_RW.

1. Éditer le fichier :

# 1. Gestion des erreurs (On Error Resume Next)
$ErrorActionPreference = "SilentlyContinue"

# 2. Définition des variables
$Drive     = "P"
$Path      = "\\LAB-AD1\partage"
$GroupName = "Grp_Partage_RW"

# 3. Récupération des jetons de groupe de l'utilisateur (Méthode rapide sans module AD)
$Identity  = [Security.Principal.WindowsIdentity]::GetCurrent()
$Principal = New-Object Security.Principal.WindowsPrincipal($Identity)

# 4. Vérification du groupe et mappage
if ($Principal.IsInRole($GroupName)) {
    
    # On vérifie si le lecteur P: existe déjà pour éviter l'erreur de collision
    if (!(Get-PSDrive -Name $Drive)) {
        
        # New-PSDrive avec -Persist pour l'affichage dans l'Explorateur Windows
        New-PSDrive -Name $Drive -PSProvider FileSystem -Root $Path -Persist
        
    }
}

Comment vous pouvez le voir, on a ajouté deux fonctions à la fin du code, qui permettent la vérification de l’appartenance au groupe de l’utilisateur connecté. Le mappage du lecteur est maintenant soumit à condition (if).

Dépannage : problèmes courants de mappage de lecteur réseau

Même si le mappage de lecteur réseau est relativement simple à mettre en place, il arrive fréquemment que celui-ci ne fonctionne pas comme prévu. Voici les principaux points à vérifier en cas de problème.

Si le lecteur réseau ne s’affiche pas, la première chose à contrôler est l’application de la stratégie de groupe. Il est possible que la GPO ne soit pas correctement liée à l’unité d’organisation ou que l’utilisateur ne soit pas concerné par celle-ci. Pour vérifier cela, vous pouvez utiliser la commande gpresult /r ou rsop.msc afin de voir les stratégies réellement appliquées sur le poste.

Un autre point essentiel concerne les droits d’accès. Même si le lecteur est bien mappé, il peut être inaccessible si les permissions NTFS ou de partage ne sont pas correctement configurées. Il est donc important de vérifier que l’utilisateur ou son groupe dispose bien des autorisations nécessaires sur le dossier partagé.

Le chemin réseau est également une source fréquente d’erreur. Une faute dans le chemin UNC (par exemple \\serveur\partage) empêchera le mappage du lecteur. Il est recommandé de tester ce chemin directement depuis l’explorateur Windows afin de valider son accessibilité.

Dans le cas d’un ciblage par groupe, il faut s’assurer que l’utilisateur est bien membre du groupe de sécurité utilisé dans la GPO. Il faut également prendre en compte les délais de réplication dans Active Directory, qui peuvent retarder la prise en compte des modifications.

L’observateur d’événements Windows est un outil très utile pour diagnostiquer les problèmes de mappage. En consultant les journaux dans Journaux des applications et services > Microsoft > Windows > GroupPolicy > Operational, il est possible d’identifier précisément les erreurs liées à l’application des GPO. Ces événements permettent de comprendre pourquoi un lecteur réseau ne s’est pas mappé, notamment en cas de problème de ciblage, de permissions ou de configuration.

Si vous utilisez un script de connexion, il faut garder en tête que celui-ci ne sera exécuté qu’à l’ouverture de session. Contrairement aux GPO, la commande gpupdate ne permet pas de relancer un script déjà exécuté. Une déconnexion puis reconnexion de l’utilisateur est donc nécessaire pour appliquer les modifications.

Enfin, sur les versions récentes de Windows, certains problèmes peuvent être liés à des restrictions de sécurité ou à l’évolution des technologies utilisées. Le langage VBS étant progressivement abandonné, il est recommandé de privilégier des solutions basées sur les GPO ou PowerShell pour garantir une meilleure compatibilité dans le temps.

Pour une analyse plus approfondie, il est possible d’activer le mode de journalisation avancé des stratégies de groupe ou d’utiliser des outils comme gpresult /h pour générer un rapport HTML détaillé. Cela permet d’avoir une vue complète des paramètres appliqués et de faciliter le diagnostic en environnement complexe

Conclusion

Le mappage de lecteurs réseau est une configuration essentielle dans un environnement Active Directory. Bien que plusieurs méthodes existent, l’utilisation des stratégies de groupe reste aujourd’hui la solution la plus simple, la plus fiable et la plus facile à maintenir.

Les scripts de connexion peuvent encore être utilisés dans certains contextes spécifiques, mais ils tendent à être remplacés par des solutions plus modernes, notamment basées sur PowerShell ou les préférences de stratégie de groupe.

Pour une infrastructure propre et évolutive, il est recommandé de privilégier les GPO avec un ciblage basé sur des groupes de sécurité.

FAQ

Pourquoi mon lecteur réseau ne se mappe pas ?

Dans la majorité des cas, le problème vient d’une GPO qui ne s’applique pas correctement, d’un utilisateur qui n’est pas dans le bon groupe ou d’un problème de droits sur le partage. Il est également important de vérifier que le chemin UNC est correct.

Peut-on appliquer le mappage sans redémarrer le poste ?

Il est possible de forcer l’application des GPO avec la commande gpupdate /force, mais cela ne relance pas les scripts d’ouverture de session. Dans ce cas, une reconnexion utilisateur est nécessaire.

Quelle méthode faut-il privilégier entre GPO et script ?

Les GPO sont à privilégier car elles sont plus fiables, plus simples à maintenir et mieux intégrées à Windows. Les scripts sont à réserver à des cas spécifiques.

Peut-on mapper plusieurs lecteurs réseau ?

Oui, il est possible de créer plusieurs mappages dans une même GPO ou dans un script afin de fournir plusieurs accès réseau aux utilisateurs.

Le ciblage GPO remplace-t-il les permissions NTFS ?

Non, le ciblage GPO ne fait que contrôler l’affichage et le mappage du lecteur. Les permissions NTFS restent indispensables pour sécuriser l’accès aux données.

GPO - Stratégie de groupe
Active DirectoryDomaineGPOLecteur réseauScriptsvbs
Soutenir
LinkedInReddit

📚 Articles similaires

Romain Drouche
Romain Drouche
Architecte Système | MCSE: Core Infrastructure
Expert en infrastructures IT avec plus de 15 ans d’expérience sur le terrain. Actuellement Chef de projet Systèmes et Réseaux et Référent SSI (Sécurité des Systèmes d’Information), je mets mon expertise au service de la fiabilité et de la sécurité des environnements technologiques.

Laisser un commentaire