Page tjrs en cours de finalisations - Attention aux éventuelles erreurs ...
Verrouillage des sessions Terminal Server Windows 2003
Vous trouverez sur cette page, des informations sur la mise en place de stratégie de groupe permettant de verrouiller correctement les sessions Terminal Server de vos utilisateurs. La mise en place de ces stratégies sera différentes dans le cas où votre serveur TSE est dans un domaine NT4 ou dans un groupe de travail, et dans le cas d'un domaine Active Directory.
Dans le premier cas (groupe de travail/domaine NT4), vous pouvez utilisez les stratégies locales pour verrouiller l'utilisation du serveur au niveau utilisateur. Vous trouverez toutes les informations sur la mise en place de ces stratégies sur le lien :
Application des stratégies locales à tous les utilisateurs sauf les administrateurs sous Windows Server 2003 |
Dans le cas d'un domaine Active Directory, vous avez deux méthodes possibles :
- Restrictions appliquées aux utilisateurs : vous devrez alors placer tous vos comptes d'utilisateurs dans une unité organisationnelle comme décrit dans la rubrique "Verrouillage au niveau utilisateur", mais sachez que ces restrictions seront présentent quelque soit le poste sur lequel l'utilisateur ouvrira une session (y compris le TSE), à moins de "doubler" les comptes d'utilisateur ....
- Restrictions appliquées au serveur TSE : c'est à dire que les restrictions
doivent être appliquées à n'importe quel compte d'utilisateur du domaine ouvrant
une session TSE et uniquement à la session TSE ( ces comptes servant aussi à
ouvrir les sessions utilisateurs sur les divers postes de travail présent dans
le domaine), vous devez alors placer votre serveur TSE dans une unité
organisationnelle comme décrit dans la rubrique "Verrouillage
au niveau du serveur Terminal Server". Cette méthode est conseillé si vous
souhaitez conservé l'unicité des comptes d'utilisateurs.
Verrouillage au niveau utilisateur
Dans ce cas, vous devez définir dans votre Active Directory, une UO qui contiendra l'intégralité des utilisateurs devant ouvrir une session Terminal Server. Si par exemple, vos utilisateurs possèdent déjà un compte d'utilisateur, vous serez obligé de leurs créer un compte spécifique TSE, comme par exemple "eperromat_ts". Il faudra bien leur expliqué que ce compte d'utilisateur leur servira uniquement pour ouvrir une session TSE.
Verrouillage au
niveau du serveur Terminal Server
Après avoir installer et configurer toutes les applications sur le serveur
TSE, il faut placer l'objet (AD) TSE que vous souhaitez verrouiller dans une OU.
Vous devez créer une stratégie de groupe de bouclage au niveau de l'OU
contenant vos serveurs TSE. Cette stratégie va permettre à tous les utilisateurs
ouvrant une session sur le TSE d'être limités par des restrictions utilisateurs
ou ordinateur et ceci, indépendamment de l'OU dans laquelle l'utilisateur se
trouve.
(écran 1)
Sur une stratégie de bouclage, les paramètres de configuration de
l'utilisateur doivent être désactivé (Bouton Propriétés)
Le paramètre "Mode de traitement par boucle de rappel de la stratégie de
groupe utilisateur" doit être activé au niveau des paramètres de configuration
de l'ordinateur (Bouton modifier de l'écran 1)
Deux modes de traitement sont possibles :
- Remplacer : dans ce cas, la liste des objets Stratégie de groupe de
l'utilisateur est entièrement remplacée par la liste des objets Stratégie de
groupe de l'ordinateur, obtenue lors du démarrage de l'ordinateur. Les
paramètres Configuration de l'utilisateur de cette liste sont appliqués à
l'utilisateur.
Il ne faut pas oublier que par défaut, les paramètres d'un utilisateur viennent
d'une liste d'objets Stratégie de groupe qui dépend de l'emplacement de cet
utilisateur dans Active Directory, et non pas lié à l'emplacement de
l'ordinateur sur lequel il se connecte...
- Fusionner : dans ce cas, la liste des objets Stratégie de groupe est une concaténation. Les paramètres de configuration appliqués à l'utilisateur résultent de cette concaténation. Notez que la liste des objets Stratégie de groupe relative à l'ordinateur s'applique plus tard, et a donc priorité en cas de conflit avec des paramètres de la liste de l'utilisateur
Si les administrateurs ont besoin de l'accès au serveur TSE pour de la maintenance, fermez les sessions de tous les utilisateurs et désactivez temporairement leurs ouvertures de sessions à l'aide de la commande change logon /disable. Déplacez l'objet ordinateur TSE hors de l'OU verrouillé. Vous pourrez alors vous y connecter sans problème.
Pour éviter d'avoir à sortir le serveur TSE de l'OU, vous pouvez aussi modifier les autorisations des objets GPO que vous souhaitez appliquer de manière à ce que les administrateurs n'appliquent pas la stratégie (voir écran).Il est d'ailleurs fortement conseillé d'appliquer cette méthode, si le TSE est aussi contrôleur de domaine (ce qui n'est pas recommandé !) car sinon vous risquez de bloquer tout accès administrateurs sur la machine.
Cette configuration de verrouillage, n'exige pas des utilisateurs d'avoir des comptes multiples comme dans le cas "Verrouillage au niveau utilisateur".
Une fois la stratégie de bouclage mis en place, il ne vous reste plus qu'à créer un objet GPO (ou plusieurs) sur l'OU dans laquelle se trouve le serveur TSE de manière à verrouiller les agissements des utilisateurs.
[TSE - Windows 2003]
(Dernière mise à jour le
12/07/2004)