Installation et configuration d’un serveur TSE sous...
Transcript of Installation et configuration d’un serveur TSE sous...
1/14
BTS SIO / Module SI 5 Mise en place d’un serveur d’application TS
M. KARROUM
Installation et configuration d’un serveur TSE sous Windows 2008 R2
Cet atelier porte sur l’installation et la configuration d’un serveur TSE dans un environnement
Windows 2008 R2. La configuration de départ comprend un serveur Active Directory et DNS.
1- Installation de l’Autorité de Certification
Dans le gestionnaire de serveur, installer le rôle « Service de certificats Active Directory »
Puis sélectionner « Autorité de certification »
Puisque nous sommes dans une configuration en domaine, sélectionner « Entreprise »
2/14
Puis Autorité de certification racine
Sélectionner « Créer une nouvelle clé privé »
Puis configurer les paramètres du certificat, à savoir, la longueur de la clé, l’algorithme de hachage,
le nom du certificat, sa durée de validité ainsi que l’emplacement de la base de données de
certificats. Ici, nous laisserons les paramètres par défaut.
Enfin cliquer sur « Installer »
3/14
2- Installation des services TSE
Dans le gestionnaire de serveur, sélectionner le rôle « Service Bureau à distance »
Puis cocher les fonctionnalités suivantes :
Hôte de session bureau à distance (anciennement service Terminal Server)
Gestionnaire de licences des services Bureau à distance (gère les licences d’accès client TS)
Service Broker pour les connexions Bureau à distance (gère l’équilibrage de charge de la session ainsi que l’accès aux utilisateurs aux programmes RemoteApp)
Passerelle des services Bureau à distance (permet aux utilisateurs autorisés de se connecter au serveur via Internet)
Accès Bureau à distance par le Web (permet aux utilisateurs d’accéder aux programmes RemoteApp et aux services Bureau à distance par le navigateur web)
A noter que l’installation du service Hôte de session Bureau à distance n’est pas recommandée
(pour des raisons de sécurité) sur le serveur contrôleur de domaine. Ici nous validerons « Installer
quand même » mais il est préférable de séparer le serveur TSE du serveur Active Directory.
4/14
De plus, la sélection des services Web nécessite l’installation de l’application Web IIS. Cliquer sur
« Ajouter les services de rôle requis »
Puis il est nécessaire de spécifier une méthode d’authentification pour les services Bureau à
distance.
Nous sélectionnerons « Ne nécessite pas l’authentification au niveau du réseau » (les anciennes
versions du bureau à distance pourront ainsi se connecter au serveur)
Puis sélectionner le type de licences TS en fonction des licences acquises.
La licence gratuite est valable pendant 120 jours !
Sélectionner les groupe d’utilisateurs autorisés à accéder au serveur via les services TS (par défaut
les membres du groupe « Utilisateurs du Bureau à distance » ont déjà un accès). Nous laisserons
cette option par défaut pour y revenir plus tard.
Configurer l’étendue de découverte pour le serveur de licences, ici ce sera au niveau du domaine
5/14
Puis sélectionner le certificat pour le chiffrement SSL qui a été généré précédemment
Pour la création d’une stratégie d’autorisation cocher ultérieurement.
Concernant la configuration de IIS, laisser les options par défaut (tout sera configuré
automatiquement)
Puis installer et redémarrer
Dans les Outils d’Administration, cliquer sur « Gestionnaire de licences des services Bureau à
distance »
Puis Clic-droit « activer le serveur »
6/14
Faire le choix de la méthode de connexion pour l’activation des licences TS. Ici nous laisserons en
auto.
Puis sélectionner le programme de licence selon les licences TS acquises et valider avec le numéro
de série.
Ainsi les licences sont disponibles sur le serveur.
3- Personnalisation des services TS
Dans les Outils d’Administration, cliquer sur « Configuration d’hôte de session Bureau à distance »
Puis Propriétés de RDP-TCP
Pour éviter l’utilisation inutile des licences, il est possible de modifier les paramètres pour les
sessions déconnectées, inactives…
7/14
A noter que pour utiliser la fonctionnalité Easy Print (gestion des impressions via les imprimantes
locales) il est nécessaire que le client Utilise le client Bureau distant (RDC) 6.1 ainsi que le
Framework 3.5.
Coté serveur il faut installer la fonctionnalité .NET Framwork 3.5 (avec l’option Visionneuse XPS).
Pour cela allez dans Outils d’administration / Gestionnaire de serveur / Fonctionnalités et cochez la
ligne .NET Framwork 3.5
Pour résoudre certains problèmes d’impression sur les sessions TSE, il est nécessaire de donner le
droit en écriture au groupe d’utilisateurs TSE sur le répertoire C:\Windows\System32\spool
4- Configuration des RemoteApp
Dans les Outils d’Administration, cliquer sur « Gestionnaire RemoteApp »
Puis Ajouter des programmes
Ici nous sélectionnerons la calculatrice. Puis Terminer.
8/14
Puis cliquer sur « Paramètre des signatures numériques »
Puis sur Modifier
Cocher « Signer avec un certificat numérique » et sélectionner le certificat créé précédemment
Enfin sélectionner si programme est accessible via le web ou pas
5- Configuration de l’Active Directory
Dans l’AD créer une nouvelle OU nommée TSE (ou celle existante)
9/14
Puis créer un nouveau groupe TSE lui-même membre du groupe « Utilisateurs du bureau à
distance »
Dans la stratégie de sécurité locale :
Sous Paramètres de sécurité / Stratégies locales / Attribution des droits utilisateur
Ajouter le groupe TSE à la stratégie « Autoriser l’ouverture de session par les services Bureau à
distance »
10/14
Noter que dans une configuration en domaine comme celle-ci il est parfois nécessaire de modifier
les stratégie de domaine pour autoriser l’ouverture de session locale aux groupes TSE ainsi que
l’ouverture de session TSE ; pour cela, allez dans Outils d’administration / Gestionnaire de
Stratégie du Domaine pour modifier le « Default Domain Policy »
Puis dans Configuration Ordinateur / Stratégie / Paramètres Windows / Paramètres de sécurité /
Stratégies Locales / Attribution des droits utilisateurs.
Éditer les clés : « Autoriser l’ouverture de session Terminal serveur » et « Permettre l’ouverture
d’une session locale » pour ajouter le groupe TSE
Dans l’AD ou dans la gestion des utilisateurs locaux (*) (si serveur TSE dissocié du serveur AD),
ajouter le groupe TSE au groupe « Ordinateur Accès Web TS » (pour permettre une connexion via
le Web et notre serveur IIS)
(*)
L'utilisateur doit être intégré dans le groupe utilisateur bureau à distance du serveur 2008 à cet
emplacement du groupe utilisateurs bureau à distance
:
11/14
6- Création stratégie de groupe
Dans « Gestion de stratégie de groupe »
Dans l’OU TSE
Créer un objet GPO dans ce domaine et le lier ici…
Il ne vous reste plus qu’à choisir dans les modèle d’administration quelles sont les limitations que
vous voulez appliquer.
Quelques exemples :
Empêcher l’accès aux lecteurs depuis le poste de travail
Désactiver le menu contextuel
Enlever Internet Explorer
Interdire la modification du bureau
… etc (les possibilités sont très nombreuses, il y a plus de 900 critères)
7- Accès au serveur
Via le Bureau à distance :
Dans ce cas allez dans Tous les programmes / Accessoires / Connexion Bureau à distance
Entrer le nom du serveur ou l’adresse IP et se connecter avec un compte membre du groupe TSE
Via les RemoteApp :
Dans les Outils d’Administration, cliquer « Gestionnaire RemoteApp »
Sélectionner l’application, puis Créer le fichier .rdp
12/14
Puis partager le dossier C:\Program Files\Packaged Programs et diffuser les fichiers .rdp qui ici
exécute la calculatrice via les services TS
Via le web :
Sur l’adresse https://nom_du_serveur/RDWeb
On y retrouve l’accès à nos RemoteApp mais via un simple navigateur web
13/14
8- Pour aller plus loin
Dans le cas du serveur TS différencié du serveur Active directory
Pour une utilisation du TSE avec un même compte que sur un poste utilisateur avec une application
ciblée de la stratégie de groupe selon le poste utilisé
Ajouter le serveur TS dans l’OU TSE avec l’option « Déplacer »
Puis dans le gestionnaire de stratégie de groupe
Éditer la stratégie « Default Domain Policy »
Puis dans Configuration ordinateur / Stratégies / Modèle d’administration / Système / Stratégie de
groupe
Configurer sur « Remplacer » la clé « Mode de traitement par boucle de rappel de la stratégie de
groupe utilisateur »
Ce qui permet d’appliquer notre stratégie TSE uniquement lors de la connexion sur le serveur TS et
non sur un poste client standard
Par contre, dans la stratégie TSE, il faut exclure le compte Administrateur de l’exécution (sinon ce
dernier se retrouvera avec les mêmes droits que définis pour les utilisateurs…)
14/14
Dans l’onglet « Délégation » cliquer sur Avancée
Puis ajouter le compte Administrateur et enfin cocher « Refuser » sur le paramètre « Appliquer la
stratégie de groupe »
Ainsi le compte Administrateur sera exclu de la stratégie