2. Configuration des services Terminal Server
Disponible à partir des Outils d'Administration,
cette console permet de configurer les services Terminal Server. Par configurer,
il faut comprendre ajouter, modifier ou supprimer des connexions pour le service
Terminal Server. Ces connexions permettront aux clients de se connecter au serveur
TS.
La gestion de ces paramètres nous permet de configurer la
façon dont va agir notre serveur lorsque des utilisateurs vont se connecter.
Pour ce faire voyons tout d'abord comment se compose notre console :
2 nœuds : Connexions et Paramètres du serveur
2.1. Connexions
Le premier nœud contient toutes les connexions que nous allons
créer et qui permettront à nos clients de se connecter au serveur TS.
Par défaut, il existe déjà une connexion. Voyons ses propriétés
(clic droit => Propriétés). Nous avons droit à une fenêtre avec différents
onglets que nous allons examinés :
L'onglet Général
En plus de pouvoir ajouter un commentaire à notre connexion
RDP, il est possible dans cet onglet de définir le niveau de cryptage entre
le client et le serveur :
-
faible
: ce niveau utilise un cryptage de 56 bits du client vers le serveur (uniquement
dans ce sens).
-
client compatible : ce niveau utilise le niveau de cryptage le plus élevé
supporté en commun par le client et le serveur. Il s'agit du niveau de cryptage
par défaut.
-
élevée
: ce cryptage de 128 bits s'effectue dans le sens client/serveur et serveur/client.
Si le client ne supporte pas le cryptage 128 bits, il ne pourra pas se connecter
au server Terminal Server.
-
compatible FIPS : ici les données circulant entre le serveur et le client
sont cryptés grâce à un algorithme conforme à la norme
FIPS 140-1. Pour plus d'information sur la norme FIPS, vous pouvez consulter
le site suivant : http://www.microsoft.com/technet/security/topics/issues/fipseval.mspx
L'onglet Paramètres d'ouverture de session
Cet onglet nous permet de contrôler la façon dont nos utilisateurs
vont se connecter au serveur TS. Nous avons la possibilité de forcer tous les
clients à utiliser le compte d'utilisateur que nous spécifierons ici en choisissant
le bouton radio "toujours utiliser les informations d'ouverture de session
suivantes". Dans le cas contraire, les informations d'authentification
seront renseignées par chaque utilisateur.
La case à cocher "Toujours demander un mot de passe"
forcera l'utilisateur à rentrer un mot de passe même si ce dernier est déjà
renseigné au niveau du client.
L'onglet Session
Grâce aux paramètres disponibles ici, nous allons pouvoir
gérer le temps d'activité ou d"inactivité des sessions avant de déconnecter
ou de terminer la session. De même nous pourrons définir l'action à réaliser
lorsque la limite de session est atteinte.
-
Fin de session déconnectée : spécifie une durée maximale pendant laquelle une session
déconnectée reste ouverte sur le serveur. Une fois cette limite de temps atteinte,
la session est fermée. Cela permet de libérer des ressources pour des utilisateurs
qui seraient encore connectés ou pour ceux qui se connecteront par la suite
(au cas où un utilisateur aurait oublié de fermer sa session).
-
Limite de session active : défini la durée pendant laquelle une session peu rester
active sur le serveur. La session est déconnectée ou fermée une fois la limite
de temps atteinte. Cela peut-être utile dans les environnements où les ressources
réseaux (pour des clients distants par exemple) sont limitées. Nous leur attribuons
une limite de temps d'utilisation de leur session puis elle se ferme automatiquement
afin de permettre à d'autres utilisateurs d'utiliser le serveur TS.
-
Limite de session inactive : spécifie une limite de temps au bout de laquelle une session
pour laquelle aucune activité côté client n'est détectée, est déconnectée ou
interrompue. De la même manière, cela permet d'économiser des ressources.
-
Les boutons
radio Déconnexion de la session et Fin de session
nous permettent de choisir l'action qui sera effectuée en rapport avec les paramètres
ci-dessus.
Quelle est la différence entre une session déconnectée et
une session fermée ?
Une
session déconnectée est une session toujours ouverte.
Les applications ouvertes continuent de tourner et les ressources sont toujours
prises par cette session sur le serveur. Une session fermée ne consomme
plus aucune ressource sur le serveur.
Pour en terminer avec cet onglet, nous pouvons ajouter que
l'option "Autoriser la reconnexion" n'est disponible que pour
des clients Citrix (ICA).
Ces options ont pour but d'optimiser les ressources du serveur
Terminal Server.
L'onglet Environnement
Il est possible via cet onglet de restreindre les utilisateurs
à une seule application. De cette façon lorsque la connexion au serveur est
établie, l'application sélectionnée est lancée et lors de la fermeture de cette
dernière, la session TS est fermée.
L'onglet Contrôle à distance
Comme son nom l'indique nous pouvons configurer le contrôle
à distance grâce à cet onglet.
La 1ère option spécifie que ce paramètre sera appliqué
conformément aux options configurées au niveau des propriétés du compte de l'utilisateur
ou des stratégies de groupes qui lui seront appliquées.
La 2nd option ne nous autorise pas à prendre le
contrôle de la session de l'utilisateur.
La 3e option nous autorise à prendre le contrôle
à distance avec cependant un bémol : l'autorisation de l'utilisateur est requise.
De plus il nous est alors possible d'agir de 2 façons différentes sur la session
de l'utilisateur : soit nous ne faisons qu'observer ce qu'il fait (pratique
pour du dépannage) ou bien nous pouvons prendre le contrôle de la souris et
du clavier de l'utilisateur (pour réaliser des opérations bien précises par
exemple…).
L'onglet Paramètres du client
Cet onglet nous donne la possibilité de paramétrer le client
à partir duquel nos utilisateurs vont se connecter. Ces paramètres remplaceront
ceux définis par défaut. Nous pouvons donc choisir de connecter les lecteurs
du client ou non, d'utiliser les imprimantes des utilisateurs ou non ou encore
de mapper des ressources.
L'onglet Carte réseau
Nous pouvons voir dans une liste déroulante les cartes disponibles
sur notre serveur. De même nous pouvons limité le nombre de connexions que nous
voulons sur notre interface toujours dans un souci d'optimisation des performances
de notre serveur TS.
L'onglet Autorisations
Cela nous permet de définir les autorisations de gestion
et d'accès à notre connexion RDP. Pour voir les autorisations que possèdent le groupe Utilisateurs du bureau à distance, il faut
aller dans les paramètres avancés puis, dans la liste des autorisations, double-cliquer
sur le groupe en question :
Ici nous voyons que notre groupe Utilisateurs du bureau à
distance possède les autorisations suivantes :
Ø
Demander des informations
Ø
Ouvrir la session
Ø
Connexion
Il est important de préciser que les différents paramètres
que nous venons de voir viennent remplacer les paramètres individuels que nous
pouvons définir dans les propriétés des utilisateurs.
Nous avons la possibilité de configurer les accès au serveur
Terminal Server via quatre onglets disponibles dans les propriétés des utilisateurs
(et que nous avons déjà vu précédemment) :
Il faut aussi signaler que le simple fait de d'avoir cocher
la case "Autoriser l'ouverture de session Terminal Server"
ne suffit pas à donner un accès au serveur Terminal Server à nos utilisateurs.
Nous en reparlerons plus loin dans cet article.
2.2. Paramètres du serveur
Le second nœud contient quelques règles qui seront appliquées
à nos clients.
-
Supprimer les dossiers temporaires en quittant : ce paramètre permet de déterminer
si l'on souhaite que les dossiers temporaires créés lors de la connexion de
soient conservés à la fermeture de la session du client ou non.
-
Utiliser des dossiers temporaires par session : ce paramètre détermine le fait
que chaque utilisateur ouvrant une session utilisera un dossier temporaire différent
(plutôt qu'un dossier temporaire commun à tous les utilisateurs).
-
Licence :
ce paramètre définit le type de licences que nous voulons utiliser sur notre
serveur Terminal Server. Il en existe deux : les licences par périphériques
et les licences par utilisateurs. Nous parlerons des licences plus longuement
plus loin dans cet article.
-
Active Desktop : ce paramètre indique si la fonctionnalité
Active Desktop doit être activée ou non.
-
Compatibilité des autorisations : permet de spécifier si nous voulons donner un accès
au registre ou à certains répertoires système à certaines applications anciennes.
Dans ce cas nous choisirons l'option Sécurité moyenne. Dans d'autres situations
où les applications ont été écrites de façon à utiliser les fonctionnalités
de Windows Server 2003, nous pouvons conserver l'option Sécurité totale. Dans
ce cas, l'accès au registre et à certains dossiers système n'est pas autorisé.
Ce paramètre est celui par défaut.
-
Restreindre chaque utilisateur à une seule session : cette option limite le nombre
de sessions ouvertes par chauqe utilisateur à une
seule. De cette façon, un utilisateur qui aurait simplement déconnecté sa précédente
session rouvrira cette dernière. Encore une fois cela permet d'économiser des
ressources sur le serveur.
-
Annuaire de sessions : ce paramètre est utile dans le cas d'un cluster de serveurs
Terminal Server. En effet, elle permet d'enregistrer les informations des sessions
dans l'annuaire de session (il s'agit d'un service). Ces informations pourront
être utilisés si une session est interrompue afin de retrouver l'état initial
de ladite session.
2.3. Stratégies
Pour en terminer avec la configuration de notre serveur Terminal
Server, nous devons parler des stratégies applicables à ce dernier. Nous pouvons
par ce biais définir la façon dont notre serveur réagira lorsque des connexions
clientes seront établies. Nous pouvons aussi personnaliser l'environnement de
chaque utilisateur. Et tout ceci de façon centralisée. Le temps que nous aurions
passé à configurer chaque compte d'utilisateur est donc considérablement réduit.
Pour ce faire, nous ouvrons la console des stratégies locales
et nous développons le nœud Configuration ordinateur
=> Modèles d'administration => Composants Windows => Services Terminal
Server :
A noter que ce paramètre existe aussi sous le nœud Configuration
utilisateur.
Nous voyons que nous retrouvons ici la plupart des paramètres
que nous avons déjà configurés auparavant. Les stratégies nous permettent également
comme nous l'avons dit de personnaliser l'interface des utilisateurs. Ainsi
il est possible de supprimer des fonctionnalités du menu démarrer ou des icônes
du bureau par exemple.
Si notre serveur fait partie d'un Workgroup, il faudra faire
attention à ce que certaines restrictions ne s'appliquent pas à l'administrateur
local du serveur. Pour cela, vous pouvez consulter cette fiche issue de la base
de connaissance de Microsoft : http://support.microsoft.com/?id=325351.
Dans le cas d'un domaine, nous utiliserons donc les GPOs.
Ces derniers s'appliqueront aux utilisateurs que nous auront spécifiés (en les
plaçant dans une OU particulière par exemple).
Maintenant que nous savons comment configurer notre serveur
pour l'usage des services Terminal Server, voyons comment permettre cet accès
à nos utilisateurs.
2.4. Gestion des utilisateurs
En effet, nous avons vu précédemment que le fait de cocher
la case "Autoriser l'ouverture de session Terminal Server"
(disponible dans les propriétés des utilisateurs) ne suffisait à accorder à
nos clients un accès aux services Terminal Server de Windows Server 2003. Que
faut-il d'autre ?
Pour commencer, il faut que nos utilisateurs fassent partie
du groupe "Utilisateurs du bureau distance" :
Ensuite il faut donner les droits aux utilisateurs de se
connecter au serveur Terminal Server.
Sous Windows 2000, il fallait leur donner les autorisations
d'ouvrir une session localement. Cela se présentait comme une faille de sécurité
car de ce fait, n'importe quel utilisateur possédant cette autorisation et ayant
un accès physique au serveur pouvait y ouvrir une session.
Sous Windows Server 2003, une nouvelle autorisation est apparue
: "Autoriser l'ouverture de session par les services Terminal Server".
Ces deux droits sont bien distincts.
Cependant par défaut les membres du groupes
"Utilisateurs" et "Utilisateurs avec pouvoirs"
ont les autorisations suffisantes pour ouvrir une session localement sur le
serveur. Pour bien faire, il faut penser à retirer ces groupes de la liste des
groupes autorisés à effectuer cette action.
 Sommaire
1. Installation
2. Configuration des services Terminal Server
3. Gestionnaire des services Terminal Server
4. Gestion des licences Terminal Server
5. Installation d'applications
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Les services Terminal Server sous Windows Server 2003
