Tse 2003

FICHE TECHNIQUE
Architecture TSE 2003
Fiche Technique
Montage dune architecture scurise
Terminal Server 2003
Groupe Prodware
Auteur : Romain GARRIGUES
Page 1/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Table des matires
1.
INTRODUCTION ................................................................................................. 4
2.
SCHMA DARCHITECTURE ............................................................................ 4
3.
PRREQUIS........................................................................................................ 6
3.1.
Systmes dexploitation .................................................................................................. 6
3.2.
Active Directory................................................................................................................ 6
3.3.
Dossiers partags ............................................................................................................ 6
4.
INSTALLATION DES COMPOSANTS TERMINAL SERVER ............................ 8
5.
CONFIGURATION DES SERVICES TERMINAL SERVER ................................ 9
6.
7.
5.1.
Connexion RDP-Tcp......................................................................................................... 9
5.2.
Proprits du serveur ...................................................................................................... 9
SCURIT DE LACCS AU SERVEUR TSE.................................................. 10

6.1.
Architecture mono-serveur ........................................................................................... 10
6.2.
Architecture multi-serveurs........................................................................................... 10
STRATGIES UTILISATEURS CIBLES TSE................................................. 11

7.1.
La GPO Bouclage ........................................................................................................... 11
7.2.
Explications .................................................................................................................... 11
7.3.
Profils itinrants TSE ..................................................................................................... 12
7.4.
GPO TSE Systme.......................................................................................................... 12
7.5.
GPO TSE Explorateur .................................................................................................... 13
7.6.
GPO TSE Bureau............................................................................................................ 13

Groupe Prodware
Page 2/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
8.
9.
10.
11.
12.
7.7.
GPO TSE Menu dmarrer............................................................................................... 14
7.8.
GPO TSE Internet Explorer............................................................................................ 15
7.9.
GPO TSE MMC................................................................................................................ 16
STRATGIES DE GROUPE UTILISATEURS .................................................. 17

8.1.
Redirection Mes Documents ......................................................................................... 17
8.2.
Lecteurs rseau.............................................................................................................. 17
INSTALLATION DES APPLICATIONS............................................................. 18

9.1.
Microsoft Office 2003 ..................................................................................................... 18
9.2.
Foxit Reader Pro............................................................................................................. 18
9.3.
PDF995 ............................................................................................................................ 18
CRATION DES UTILISATEURS................................................................. 19

10.1.
Dans quelle UO ?............................................................................................................ 19
10.2.
Particularits de cration............................................................................................... 19
COMPLMENTS DE SCURIT .................................................................. 20

11.1.
ABE : Acces-based enumeration .................................................................................. 20
11.2.
Modification de limprimante par dfaut des utilisateurs ........................................... 21
11.3.
Prvention de lexcution des donnes ....................................................................... 22
11.4.
Masquer laccs aux lecteurs locaux ........................................................................... 23
LE RSULTAT EN IMAGES ......................................................................... 25
Groupe Prodware
Page 3/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
1.
INTRODUCTION
Le prsent document indique la marche suivre pour implmenter une solution TSE
volutive et scurise. Elle peut tre mise en uvre sur un unique serveur
(contrleur + DNS + TSE) ou sur une batterie de serveurs TSE.
2.
SCHEMA DARCHITECTURE
Nous nous placerons dans le cadre suivant :

Lentreprise LaboRomZ veut implmenter un serveur dapplication dans son rseau.
Elle souhaite pour linstant nacqurir quun seul serveur mais souhaite une
architecture volutive. Les accs au serveur TSE se feront via des clients lgers ou
des clients TSE installs sur les PC (sous Windows XP). Les utilisateurs du domaine
LaboRomZ pourront aussi bien se connecter interactivement au domaine (sur les PC
clients) que sur le serveur dapplications (TSE).
LaboRomZ met laccent sur la scurit du serveur et les comptes dutilisateurs
autoriss accder TSE seront fortement verrouills dans lenvironnement.
Groupe Prodware
Page 4/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Les applicatifs installs seront :
Microsoft Office 2003 (Word, Excel, Power Point)
Un lecteur de fichiers PDF (Foxit Reader)
Un crateur de fichiers PDF (PDF995)
ATTENTION :
Microsoft recommande vivement dinstaller les services Terminal

Server sur un serveur membre du domaine et pas sur un contrleur
de domaine. La seule exception cette rgle sera videmment
larchitecture mono-serveur.
Groupe Prodware
Page 5/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
3.
PREREQUIS
3.1.
Systmes dexploitation
Tous les serveurs seront sous Windows Server 2003 Service Pack 1.
Les outils de support Windows 2003 seront installs sur chacun des serveurs.
3.2.
Active Directory
Le domaine se nomme lbztse.local (nom NETBIOS = LBZTSE)

Le serveur dapplication se nomme applications.
Le serveur de fichiers se nomme fichiers (dans le cas dune architecture mono-serveur, il
suffira de crer un alias DNS (enregistrement CNAME) nomm fichiers et pointant sur applications.)
Cration de la zone de recherche DNS inverse (intgre AD)

Cration dune UO nomme .Utilisateurs
Cration dune UO nomme .Ordinateurs
Dans le cadre dune architecture multi-serveurs, cration dune UO
nomme .Serveurs TSE
Le groupe de scurit prdfini Utilisateurs du bureau distance grera
laccs aux services Terminal Server.
3.3.
Dossiers partags
Les utilisateurs disposeront dun espace personnel sur le serveur de fichiers mapp
sur le lecteur U:. Le dossier Mes documents sera galement redirig vers ce
dossier. Ainsi le dossier Mes Documents suivra lutilisateur en fonction de ses
connexions.
Cration sur le serveur de fichiers dun dossier partag en tant que
REPPERSO$ avec les autorisations suivantes : Groupe Administrateurs
en contrle total et groupe Utilisa. du domaine en lecture.
Les utilisateurs disposeront dun espace commun sur le serveur de fichiers mapp
sur le lecteur P:. Tous les utilisateurs auront les droits dcriture dans ce dossier.
Commun avec les autorisations suivantes : Groupe Administrateurs en
contrle total et groupe Utilisa. du domaine en modifier.
Groupe Prodware
Page 6/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Le menu dmarrer des sessions TSE sera unique pour tout le monde. Il sera redirig
vers un espace partag sur le serveur de fichiers.
STARTMENU$ avec les autorisations suivantes : Groupe Administrateurs
Les rpertoires de profil des utilisateurs TSE seront itinrants et situs sur le serveur
de fichiers. Les rpertoires de profil des utilisateurs non TSE seront locaux.
ProfilsTSE$ avec les autorisations suivantes : Groupe Administrateurs en
contrle total et groupe Utilisa. du domaine en Modifier.
Groupe Prodware
Page 7/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
4.
INSTALLATION DES COMPOSANTS TERMINAL SERVER
Linstallation se fait via le panneau de configuration \ Ajout/Suppresion de

programmes, onglet Composants Windows.
Slectionner loption Scurit Totale.
Ne pas spcifier de serveur de licence
Mode de licence par utilisateur
Installer ensuite le serveur de licences sur le serveur (architecture mono-serveur) ou

sur le contrleur de domaine (architecture multi-serveurs)
Groupe Prodware
Page 8/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
5.
CONFIGURATION DES SERVICES TERMINAL SERVER
5.1.
Connexion RDP-Tcp
Niveau de cryptage
Paramtres douverture de session
Fin dune session dconnecte
Limite de session active
Limite de session inactive
Lorsque la limite de session
Rglages clients
Carte rseau
Autorisations
5.2.
Client Compatible
Toujours demander un mot de passe
10 minutes
jamais
jamais
Fin de la session
Dsactiver les imprimantes, ports LPT et ports
COM
Nombre maximal de connexions dfinir
Administrateurs : Contrle total
SYSTEM : Contrle Total
Utilisateurs du bureau distance : Accs
Utilisateur
Proprits du serveur
Groupe Prodware
Page 9/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
6.
SECURITE DE LACCES AU SERVEUR TSE
6.1.
Architecture mono-serveur
Dans ce cas, le serveur TSE est aussi contrleur de domaine. Or, les utilisateurs
nont pas le droit douvrir une session Terminal Server sur ce type de serveur. Il faut
donc modifier la stratgie des contrleurs de domaine par dfaut pour accepter les
ouvertures de session par les services Terminal Server par les membres du groupe
Utilisateurs du bureau distance.
Ouvrir Le composant Stratgie de scurit du contrleur de domaine
Aller dans Stratgies locales \ Attribution des droits utilisateurs
Double-cliquer sur Autoriser louverture de session par les services
Terminal Server et ajouter le groupe Utilisateurs du bureau distance
comme ci-desous :
Valider les choix et actualiser les stratgies.

6.2.
Architecture multi-serveurs
Les serveurs TSE seront tous placs dans lUO .Serveurs TSE. Ils ne sont pas
contrleurs de domaine, donc le groupe Utilisateurs du bureau distance gre
laccs aux services Terminal Server
Groupe Prodware
Page 10/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
7.
STRATEGIES UTILISATEURS CIBLEES TSE
Les utilisateurs du domaine lbztse.local peuvent tout aussi bien ouvrir une session
sur un PC client du domaine quouvrir une session TSE sur le(s) serveur(s)
applicatif(s). Il est donc ncessaire de diffrencier ces 2 modes douverture de
session et dappliquer des stratgies trs restrictives aux utilisateurs se connectant
via TSE.
7.1.
La GPO Bouclage
Clic droit sur lUO Domain Controllers (ou .Serveurs TSE si architecture multiserveurs), puis Proprits.
Crer un nouvel objet de stratgie de groupe nomm Bouclage.
Aller dans Configuration Ordinateur \ Modles dadministration \ Systme \
Stratgie de groupe
Activer le paramtre Mode de traitement par boucle de rappel de la stratgie
de groupe utilisateur et dfinir le mode Fusionner
7.2.
Explications
Cette stratgie va permettre Active Directory de prendre en compte toutes les

stratgies utilisateurs dfinies dans lUO Domain Controllers (ou .Serveurs TSE). Ces
stratgies seront appliques quel que soit lutilisateur se connectant sur un serveur
prsent dans lUO.
Attention ! Pour viter un blocage des comptes Administrateurs, il sera
ncessaire de modifier les paramtres de scurit de chaque GPO afin
que les membres du groupe Administrateurs de lentreprise et Admins du
domaine se voient refuser lapplication des GPO.
Il faudra donc crer toutes les GPO concernant les accs TSE dans lUO Domain
Controllers (ou .Serveurs TSE).
Groupe Prodware
Page 11/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
7.3.
Profils itinrants TSE
Type de GPO
Liaisons
Ordinateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Ordinateur \
Modles dadministration \
Composants Windows \ Services
Terminal Servers
Chemin daccs aux profils itinrants = \\fichiers\ProfilsTSE$
Administrateurs de lentreprise et Admins du domaine : Refuser

lapplication de la stratgie
Utilisateurs TSE : Lire et appliquer la stratgie de groupe
Scurit
7.4.
GPO TSE Systme
Type de GPO
Liaisons
Ordinateur et Utilisateur
Paramtres
Terminal Server
Configuration Utilisateur \
Systme
Systme \ Options Ctrl+Alt+Sup
Systme \ Profils Utlisateurs
Scurit
Forcer la suppression du papier peint du bureau distance

Limiter le nombre maximal de couleurs = 16 bits
Supprimer loption scurit du menu dmarrer
Supprimer llment Dconnecter de la bote de dialogue Arrter
Dsactiver laccs linvite de commandes (mais pas les scripts)
Empche laccs aux outils de modification du registre
Dsactiver la lecture automatique -> des lecteurs de CD-ROM
Supprimer le gestionnaire de tches
Limiter la taille du profil 30 Mo

Groupe Prodware
Page 12/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
7.5.
GPO TSE Explorateur
Type de GPO
Liaisons
Utilisateur
Paramtres
Composants Windows \
Explorateur Windows
Supprimer llment de menu Options des dossiers du menu

Outils
Supprimer les options Connecter un lecteur rseau et
Dconnecter un lecteur rseau .
Masquer llment Grer du menu contextuel Windows Explorer
Dans Poste de travail, masquer les lecteurs A:, B:, C:, D:
Empcher laccs aux lecteurs A:, B:, C:, D:
Masquer longlet Matriel
Dsactiver longlet DFS
Ne pas afficher Ordinateurs proches du mien dans Favoris
rseau
Ne pas afficher Tout le rseau dans Favoris rseau
Dsactiver les touches de raccourci Windows+x

Scurit
7.6.
GPO TSE Bureau
Type de GPO
Liaisons
Utilisateur
Paramtres
Bureau
Bureau \ Active Desktop
Bureau \ Active Directory
Supprimer Proprits du menu contextuel de Mes Documents

Supprimer Proprits du menu contextuel de Poste de travail
Supprimer Proprits du menu contextuel de la Corbeille
Cacher licne Favoris rseau sur le bureau
Ne pas ajouter de partage des documents rcemment ouverts
dans Favoris rseau
Interdit aux utilisateurs de modifier le chemin daccs de Mes
Documents
Dsactiver lajout, le glisser-dposer et la suppression des barres
doutils de la barre des tches
Supprimer lAssistant Nettoyage du bureau
Dsactiver Active Desktop
Cacher le dossier Active Directory

Masquer longlet Configuration
Masquer longlet Ecran de veille
Groupe Prodware
Page 13/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Panneau de configuration \
Affichage
Imprimantes
Dsactiver lcran de veille

Rechercher les imprimantes sur le rseau
Chemin Active Directory par dfaut pour la recherche
dimprimantes : LDAP://DC=laboromz,DC=local.

Scurit
7.7.
GPO TSE Menu dmarrer
Type de GPO
Liaisons
Utilisateur
Paramtres
Paramtres Windows \
Redirection de dossiers \ Menu
dmarrer
Modles dadministration \ Menu
dmarrer et barre des tches
Scurit
Rediriger les dossiers de tout le monde vers le mme

emplacement : \\fichiers\startmenu$
Supprimer le dossier des utilisateurs du menu dmarrer.
Supprimer les liens et laccs Windows Update
Supprimer le groupe de programmes communs du menu
dmarrer
Supprimer les programmes du menu Paramtres
Supprimer les connexions rseau du menu dmarrer
Supprimer le menu Aide du menu dmarrer
Supprimer le menu Excuter du menu dmarrer
Supprimer licne Ma Musique du menu dmarrer
Supprimer licne Favoris Rseau du menu dmarrer
Ajouter loption Fermeture de session au menu dmarrer
Supprimer et empcher laccs la commande Arrter
Supprimer le glisser-dplacer des menus contextuels dans le
menu dmarrer
Empcher la modification des paramtres de la barre des tches
et du menu dmarrer
Effacer lhistorique des documents ouverts en quittant
Dsactiver les menus personnaliss
Forcer le menu dmarrer classique
Supprimer lhorloge de la zone de notification systme =
Dsactiv.

Groupe Prodware
Page 14/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
7.8.
GPO TSE Internet Explorer
Type de GPO
Liaisons
Utilisateur
Paramtres
Paramtres Windows \
Maintenance dInternet Explorer \
Interface utilisateur du
navigateur
Paramtres Windows \
URL \ URL principales
Barre de titre du navigateur = LaboromZ
Page de dmarrage = http://www.google.fr
Composants Windows \ Internet
Explorer
Dsactiver la modification des paramtres de la page de

dmarrage
Dsactiver la modification des paramtres des fichiers Internet
temporaires
Dsactiver la modification des paramtres de lhistorique
Dsactiver lassistant de connexion Internet
Dsactiver la modification des paramtres de connexion
Dsactiver la modification des paramtres de proxy
Dsactiver la modification des paramtres de la configuration
automatique
Dsactiver la modification des paramtres du contrle daccs
Dsactiver la modification des paramtres des certificats
Dsactiver la modification des paramtres de lassistant profil
Dsactiver la saisie semi-automatique dans les formulaires
Ne pas autoriser la saisie semi-automatique enregistrer des
mots de passe
Dsactiver la fonctionnalit Rtablir les paramtres Web
Dsactiver la modification du navigateur par dfaut
Explorer \ Panneau de
configuration de Internet
Dsactiver longlet Scurit

Dsactiver longlet Connexions
Dsactiver longlet Programmes
Dsactiver longlet Avancs
Explorer \ Menus du navigateur
Menu Fichier : Dsactiver la commande Enregistrer sous

Menu Fichier : Dsactiver la commande Enregistrer sous page
web complte
Menu Affichage : Dsactiver la commande source
Menu Aide : Eliminer la commande Astuce du jour
Menu Aide : Eliminer la commande Pour les utilisateurs de
Netscape
Menu Aide : Eliminer la commande Visite Guide
Menu Aide : Eliminer la commande Envoyer des commentaires
Scurit

Groupe Prodware
Page 15/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
7.9.
GPO TSE MMC
Type de GPO
Liaisons
Utilisateur
Paramtres
Microsoft Management Console
Scurit
Empcher lutilisateur de passer en mode auteur

Restreindre les utilisateurs la liste des composants logiciels
enfichables autoriss

Groupe Prodware
Page 16/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
8.
STRATEGIES DE GROUPE UTILISATEURS
Ces stratgies concernent les utilisateurs quils se connectent via TSE ou non.
8.1.
Redirection Mes Documents
Type de GPO
Liaisons
Paramtres
Utilisateur
Unit organisationnelle .TSE
Paramtres Windows \
Redirection de dossiers \ Mes
Documents
Paramtres Windows \
Documents \ Mes images
Scurit
Suivre le dossier Mes Documents
Utilisateurs : Lire et appliquer la stratgie de groupe
8.2.
Lecteurs rseau
Type de GPO
Liaisons
Paramtres
Utilisateur
Unit organisationnelle .Utilisateurs
Paramtres Windows \ Scripts
(ouverture/fermeture de session)
Scurit
De base Rediriger tout le monde vers le mme emplacement

\\fichiers\repperso$\%username%
Script MAPS.CMD :
Net use P: \\fichiers\Commun /persistent:no
Groupe Prodware
Page 17/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
9.
INSTALLATION DES APPLICATIONS
Toutes les installations seront excutes dans le mode Installation des services
Terminal Server (commande change user /install).
A lissue des installations, la commande change user /execute sera excute
pour remettre le serveur en mode Application.
9.1.
Microsoft Office 2003
Microsoft Office 2003 reconnat immdiatement sil est install sur un serveur TSE.
Linstallation se fait donc par dfaut sur le disque dur du serveur. Laisser la source
dinstallation locale et mettre jour Office 2003 via Office Update
Copier le dossier Microsoft Office du menu dmarrer dans le dossier
\\fichiers\startmenu$\Programmes\
9.2.
Foxit Reader Pro
Foxit Reader est un outil gratuit destin remplacer le lecteur de documents PDF
Adobe Reader. Lavantage de Foxit Reader est sa lgret (1 excutable de 2,5 Mo)
et sa rapidit dexcution.
Pour installer Foxit Reader, crer un dossier dans Program Files et copier
lexcutable dans ce dossier. Crer un raccourci vers lexcutable dans
\\fichiers\startmenu$\Programmes
9.3.
PDF995
PDF995 est un outil gratuit (moyennant laffichage dune page publicitaire chaque
utilisation) permettant de crer des fichiers PDF partir de nimporte quel document.
Pour crer un fichier PDF, il suffit dimprimer vers une imprimante nomme PDF995
et de spcifier le nom de fichier de destination.
Installer les 2 composants du programme PDF995.
Modifier la scurit sur le fichier C:\Program Files\Pdf995\res\pdf995.ini et
donner la permission Modifier au groupe Utilisateurs du bureau distance
Dans le cas dune architecture multi-serveurs, crer une GPO dans lUO
.Serveurs TSE qui modifie le systme de fichiers pour attribuer les bonnes
permissions.
Groupe Prodware
Page 18/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
10.
CREATION DES UTILISATEURS
10.1. Dans quelle UO ?
Tous les utilisateurs seront crs dans lUO .Utilisateurs.

10.2. Particularits de cration
Dossier de base
Connecter le lecteur U: \\fichiers\repperso$\%username%
Ne pas renseigner les onglets Environnement, Sessions, Contrle distant et
Profil de services Terminal Server.
Groupe Prodware
Page 19/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
11.
COMPLEMENTS DE SECURITE
11.1. ABE : Acces-based enumeration
ABE est un outil gratuit fourni par Microsoft qui na quun seul but : faire en sorte que
les utilisateurs ne voient pas les dossiers partags auxquels ils nont pas accs.
Le comportement par dfaut de Windows fait quun utilisateur peut voir tous les
dossiers mais pas leur contenu. Prenons lexemple dun dossier partag nomm
COMMUN qui contient 3 sous-dossiers Finance, Marketing et Ventes. Prenons un
utilisateur faisant partie du groupe daccs au dossier Ventes. Sans ABE, lutilisateur
verra lcran ci-dessous :
et si il essaye de rentrer dans un autre dossier que Ventes, il obtiendra le message

derreur suivant :
Avec ABE, ce mme utilisateur aura la vue suivante dans le dossier COMMUN :
Groupe Prodware
Page 20/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Pour utiliser cette fonctionnalit :

Tlcharger Acces-Based Enumeration ici :
http://www.laboratoire-microsoft.org/logiciels/17014/
Installer le logiciel en lui spcifiant quil ne faut pas activer ABE sur tous les
dossiers partags du serveur.
Slectionner le ou les dossier(s) partag(s) faisant lobjet de la restriction
daccs. Clic droit, puis Proprits
Onglet Acces-Based Enumeration, cocher la case Enable Acces-based
Enumeration on this folder.
11.2. Modification de limprimante par dfaut des utilisateurs
Lorsque lenvironnement de travail est restreint au maximum via les stratgies de

groupe, certaines manipulations de base deviennent vite un casse-tte pour les
administrateurs. Un de ces exemples est la modification de limprimante par dfaut
des utilisateurs : le panneau daffichage des imprimantes tant absent de
lenvironnement graphique, il est ncessaire davoir un palliatif pour effectuer cette
manipulation courante.
Ouvrir un dossier partag dans lequel lutilisateur a les droits dcriture.
Clic droit > Nouveau > Document Texte
Menu Fichier > Imprimer
Clic droit sur limprimante dsire, puis dfinir comme imprimante par
dfaut.
Vous pouvez supprimer le document texte.
Groupe Prodware
Page 21/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
11.3. Prvention de lexcution des donnes
Windows Server 2003 Service Pack 1 introduit comme XP Service Pack 2 la

Prvention de lExecution des Donnes (PED ou DEP in english). Cette
technologie bloque les applications effectuant des oprations non-conformes dans la
mmoire. Elle bloque galement les accs aux excutables appels via un chemin
UNC (\\serveur\partage\appli.exe). Cela se traduit par le message suivant lorsque
lon essaie dexcuter un raccourci pointant sur une ressource rseau (les raccourcis
du menu dmarrer redirig par exemple)
3 solutions sont possibles pour pallier ce problme :

Modifier le fichier boot.ini des serveurs Terminal Server en remplaant
/noexecute=OptIn par /execute. Redmarrer les serveurs.
Clic droit sur le poste de travail, Proprits, avancs, options de
performances, onglet prvention de lexcution des donnes et slectionner
Activer la prvention dexcution des donnes pour les programmes et les
services Windows uniquement. Redmarrer les serveurs. (source L. Nutten,
Prodware Lille)
Sous le compte dutilisateur impact, modifier les paramtres dInternet
Explorer. Menu Outils > Options Internet, onglet Scurit, cliquer sur
Intranet Local, puis sur Sites. Vrifier que les 3 cases et en particulier la 3me
sont coches. Il faudra sans doute dsactiver la stratgie de restriction
daccs Internet Explorer pour effectuer cette manipulation.
Groupe Prodware
Page 22/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
11.4. Masquer laccs aux lecteurs locaux
Par dfaut, Windows implmente une stratgie qui permet de masquer les lecteurs
A: D: ou tous les lecteurs. Ceci savre problmatique ds que le serveur
dapplications comporte 3 partitions, 1 lecteur de disquette et 1 lecteur de CD car au
moins 1 lecteur sera apparent dans le poste de travail.
Un petit utilitaire gratuit est dispo sur Internet :
http://www.dabcc.com/downloadfile.aspx?id=20
Cet outil permet de slectionner un par un les lecteurs masquer (de A: Z:). Le
rsultat est un fichier ADM que lon peut incorporer aux modles dadministration des
stratgies de groupe.
Loutil est sympa mais il suffit davoir un modle de fichier ADM sur soi et de modifier
une valeur dans ce fichier pour obtenir le mme rsultat sans le soft.
Fichier modle HIDEDRV.ADM (copier/coller le texte ci-dessous dans le bloc-notes)
CLASS USER
CATEGORY !!WindowsComponents
CATEGORY !!Explorer
CATEGORY !!Hidecalc
KEYNAME
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
POLICY !!HideDrives
EXPLAIN !!HideDrivesHelp
PART !!DlgHideDrives NUMERIC REQUIRED
VALUENAME "NoDrives"
MIN 0 MAX 134217728 DEFAULT 0
END PART
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY
[strings]
WindowsComponents="Composants Windows"
Explorer="Explorateur Windows"
HideDrives="Masquer les lecteurs dans le poste de travail"
Hidecalc="Masquer les lecteurs"
HideDrivesHelp="Pour calculer cette valeur, il suffit de
reprsenter un nombre binaire o A:=bit 0, B:=bit 1, C:=bit 2,
......, Z:=bit 26.\nSi on dsire masquer le lecteur A:, il
faut mettre le bit 0 1, si on dsire masquer le lecteur F:
on mettra le bit 5 1, etc..., etc...\n\nExemple : Pour
masquer les lecteurs A:, B:, C:, D: et G:, il faut spcifier
la valeur 79 (64 + 8 + 4 + 2 + 1)\n\n Note:\n\n Cette
stratgie peut entrer en conflit avec la stratgie Masquer les
Groupe Prodware
Page 23/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
lecteurs suivants dans le poste de travail situe dans
common.adm"
DlgHideDrives="Valeur de masquage des lettres de lecteurs :\n"
Sauvegarder le fichier dans C:\Windows\Inf des contrleurs de domaine sous
le nom hidedrv.adm
Crer une nouvelle GPO
Se positionner sur le dossier Configuration Utilisateur > Modles
dadministration. Clic droit, puis Ajout/Suppression de modles.
Cliquer sur Ajouter
Slectionner le fichier hidedrv.adm
De retour dans la console, aller dans Configuration Utilisateur > Modles
dadministration > Composants Windows > Explorateur Windows
Spcifier la valeur de masquage en vous aidant du modle suivant :

Lettre Z Y X W V U T S R Q P O N M L K J
Bit
25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9
I
8
H
7
G
6
F
5
E
4
D
3
C
2
B
1
A
0
Pour masquer une lettre de lecteur, positionner le bit correspondant 1. Lexemple

de la figure ci-dessus correspond au masquage des lecteurs A:, B:, C:, D: et G:.
Groupe Prodware
Page 24/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
12.
LE RESULTAT EN IMAGES
Un menu dmarrer rduit sa plus simple expression et commun aux utilisateurs TSE
Le poste de travail ne comporte que les lecteurs rseau monts par script
Disparition des options Grer et Proprits.

Groupe Prodware
Page 25/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Le panneau de configuration dInternet Explorer est brid.
Word 2003 avec le crateur de PDF
Groupe Prodware
Page 26/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Fiche Technique
Montage dune architecture scurise
Terminal Server 2003
Groupe Prodware
Page 1/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Table des matires
1.
INTRODUCTION ................................................................................................. 4
2.
SCHMA DARCHITECTURE ............................................................................ 4
3.
PRREQUIS........................................................................................................ 6
3.1.
Systmes dexploitation .................................................................................................. 6
3.2.
Active Directory................................................................................................................ 6
3.3.
Dossiers partags ............................................................................................................ 6
4.
INSTALLATION DES COMPOSANTS TERMINAL SERVER ............................ 8
5.
CONFIGURATION DES SERVICES TERMINAL SERVER ................................ 9
6.
7.
5.1.
Connexion RDP-Tcp......................................................................................................... 9
5.2.
Proprits du serveur ...................................................................................................... 9
SCURIT DE LACCS AU SERVEUR TSE.................................................. 10

6.1.
Architecture mono-serveur ........................................................................................... 10
6.2.
Architecture multi-serveurs........................................................................................... 10
STRATGIES UTILISATEURS CIBLES TSE................................................. 11

7.1.
La GPO Bouclage ........................................................................................................... 11
7.2.
Explications .................................................................................................................... 11
7.3.
Profils itinrants TSE ..................................................................................................... 12
7.4.
GPO TSE Systme.......................................................................................................... 12
7.5.
GPO TSE Explorateur .................................................................................................... 13
7.6.
GPO TSE Bureau............................................................................................................ 13

Groupe Prodware
Page 2/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
8.
9.
10.
11.
12.
7.7.
GPO TSE Menu dmarrer............................................................................................... 14
7.8.
GPO TSE Internet Explorer............................................................................................ 15
7.9.
GPO TSE MMC................................................................................................................ 16
STRATGIES DE GROUPE UTILISATEURS .................................................. 17

8.1.
Redirection Mes Documents ......................................................................................... 17
8.2.
Lecteurs rseau.............................................................................................................. 17
INSTALLATION DES APPLICATIONS............................................................. 18

9.1.
Microsoft Office 2003 ..................................................................................................... 18
9.2.
Foxit Reader Pro............................................................................................................. 18
9.3.
PDF995 ............................................................................................................................ 18
CRATION DES UTILISATEURS................................................................. 19

10.1.
Dans quelle UO ?............................................................................................................ 19
10.2.
Particularits de cration............................................................................................... 19
COMPLMENTS DE SCURIT .................................................................. 20

11.1.
ABE : Acces-based enumeration .................................................................................. 20
11.2.
Modification de limprimante par dfaut des utilisateurs ........................................... 21
11.3.
Prvention de lexcution des donnes ....................................................................... 22
11.4.
Masquer laccs aux lecteurs locaux ........................................................................... 23
LE RSULTAT EN IMAGES ......................................................................... 25
Groupe Prodware
Page 3/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
1.
INTRODUCTION
Le prsent document indique la marche suivre pour implmenter une solution TSE
volutive et scurise. Elle peut tre mise en uvre sur un unique serveur
(contrleur + DNS + TSE) ou sur une batterie de serveurs TSE.
2.
SCHEMA DARCHITECTURE
Nous nous placerons dans le cadre suivant :

Lentreprise LaboRomZ veut implmenter un serveur dapplication dans son rseau.
Elle souhaite pour linstant nacqurir quun seul serveur mais souhaite une
architecture volutive. Les accs au serveur TSE se feront via des clients lgers ou
des clients TSE installs sur les PC (sous Windows XP). Les utilisateurs du domaine
LaboRomZ pourront aussi bien se connecter interactivement au domaine (sur les PC
clients) que sur le serveur dapplications (TSE).
LaboRomZ met laccent sur la scurit du serveur et les comptes dutilisateurs
autoriss accder TSE seront fortement verrouills dans lenvironnement.
Groupe Prodware
Page 4/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Les applicatifs installs seront :
Microsoft Office 2003 (Word, Excel, Power Point)
Un lecteur de fichiers PDF (Foxit Reader)
Un crateur de fichiers PDF (PDF995)
ATTENTION :
Microsoft recommande vivement dinstaller les services Terminal

Server sur un serveur membre du domaine et pas sur un contrleur
de domaine. La seule exception cette rgle sera videmment
larchitecture mono-serveur.
Groupe Prodware
Page 5/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
3.
PREREQUIS
3.1.
Systmes dexploitation
Tous les serveurs seront sous Windows Server 2003 Service Pack 1.
Les outils de support Windows 2003 seront installs sur chacun des serveurs.
3.2.
Active Directory
Le domaine se nomme lbztse.local (nom NETBIOS = LBZTSE)

Le serveur dapplication se nomme applications.
Le serveur de fichiers se nomme fichiers (dans le cas dune architecture mono-serveur, il
suffira de crer un alias DNS (enregistrement CNAME) nomm fichiers et pointant sur applications.)
Cration de la zone de recherche DNS inverse (intgre AD)

Cration dune UO nomme .Utilisateurs
Cration dune UO nomme .Ordinateurs
Dans le cadre dune architecture multi-serveurs, cration dune UO
nomme .Serveurs TSE
Le groupe de scurit prdfini Utilisateurs du bureau distance grera
laccs aux services Terminal Server.
3.3.
Dossiers partags
Les utilisateurs disposeront dun espace personnel sur le serveur de fichiers mapp
sur le lecteur U:. Le dossier Mes documents sera galement redirig vers ce
dossier. Ainsi le dossier Mes Documents suivra lutilisateur en fonction de ses
connexions.
REPPERSO$ avec les autorisations suivantes : Groupe Administrateurs
Les utilisateurs disposeront dun espace commun sur le serveur de fichiers mapp
sur le lecteur P:. Tous les utilisateurs auront les droits dcriture dans ce dossier.
Commun avec les autorisations suivantes : Groupe Administrateurs en
contrle total et groupe Utilisa. du domaine en modifier.
Groupe Prodware
Page 6/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Le menu dmarrer des sessions TSE sera unique pour tout le monde. Il sera redirig
vers un espace partag sur le serveur de fichiers.
STARTMENU$ avec les autorisations suivantes : Groupe Administrateurs
Les rpertoires de profil des utilisateurs TSE seront itinrants et situs sur le serveur
de fichiers. Les rpertoires de profil des utilisateurs non TSE seront locaux.
ProfilsTSE$ avec les autorisations suivantes : Groupe Administrateurs en
contrle total et groupe Utilisa. du domaine en Modifier.
Groupe Prodware
Page 7/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
4.
INSTALLATION DES COMPOSANTS TERMINAL SERVER
Linstallation se fait via le panneau de configuration \ Ajout/Suppresion de

programmes, onglet Composants Windows.
Slectionner loption Scurit Totale.
Ne pas spcifier de serveur de licence
Mode de licence par utilisateur
Installer ensuite le serveur de licences sur le serveur (architecture mono-serveur) ou

sur le contrleur de domaine (architecture multi-serveurs)
Groupe Prodware
Page 8/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
5.
CONFIGURATION DES SERVICES TERMINAL SERVER
5.1.
Connexion RDP-Tcp
Niveau de cryptage
Paramtres douverture de session
Fin dune session dconnecte
Limite de session active
Limite de session inactive
Lorsque la limite de session
Rglages clients
Carte rseau
Autorisations
5.2.
Client Compatible
Toujours demander un mot de passe
10 minutes
jamais
jamais
Fin de la session
Dsactiver les imprimantes, ports LPT et ports
COM
Nombre maximal de connexions dfinir
Administrateurs : Contrle total
SYSTEM : Contrle Total
Utilisateurs du bureau distance : Accs
Utilisateur
Proprits du serveur
Groupe Prodware
Page 9/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
6.
SECURITE DE LACCES AU SERVEUR TSE
6.1.
Architecture mono-serveur
Dans ce cas, le serveur TSE est aussi contrleur de domaine. Or, les utilisateurs
nont pas le droit douvrir une session Terminal Server sur ce type de serveur. Il faut
donc modifier la stratgie des contrleurs de domaine par dfaut pour accepter les
ouvertures de session par les services Terminal Server par les membres du groupe
Utilisateurs du bureau distance.
Ouvrir Le composant Stratgie de scurit du contrleur de domaine
Aller dans Stratgies locales \ Attribution des droits utilisateurs
Double-cliquer sur Autoriser louverture de session par les services
Terminal Server et ajouter le groupe Utilisateurs du bureau distance
comme ci-desous :
Valider les choix et actualiser les stratgies.

6.2.
Architecture multi-serveurs
Les serveurs TSE seront tous placs dans lUO .Serveurs TSE. Ils ne sont pas
contrleurs de domaine, donc le groupe Utilisateurs du bureau distance gre
laccs aux services Terminal Server
Groupe Prodware
Page 10/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
7.
STRATEGIES UTILISATEURS CIBLEES TSE
Les utilisateurs du domaine lbztse.local peuvent tout aussi bien ouvrir une session
sur un PC client du domaine quouvrir une session TSE sur le(s) serveur(s)
applicatif(s). Il est donc ncessaire de diffrencier ces 2 modes douverture de
session et dappliquer des stratgies trs restrictives aux utilisateurs se connectant
via TSE.
7.1.
La GPO Bouclage
Clic droit sur lUO Domain Controllers (ou .Serveurs TSE si architecture multiserveurs), puis Proprits.
Crer un nouvel objet de stratgie de groupe nomm Bouclage.
Aller dans Configuration Ordinateur \ Modles dadministration \ Systme \
Stratgie de groupe
Activer le paramtre Mode de traitement par boucle de rappel de la stratgie
de groupe utilisateur et dfinir le mode Fusionner
7.2.
Explications
Cette stratgie va permettre Active Directory de prendre en compte toutes les

stratgies utilisateurs dfinies dans lUO Domain Controllers (ou .Serveurs TSE). Ces
stratgies seront appliques quel que soit lutilisateur se connectant sur un serveur
prsent dans lUO.
Attention ! Pour viter un blocage des comptes Administrateurs, il sera
ncessaire de modifier les paramtres de scurit de chaque GPO afin
que les membres du groupe Administrateurs de lentreprise et Admins du
domaine se voient refuser lapplication des GPO.
Il faudra donc crer toutes les GPO concernant les accs TSE dans lUO Domain
Controllers (ou .Serveurs TSE).
Groupe Prodware
Page 11/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
7.3.
Profils itinrants TSE
Type de GPO
Liaisons
Ordinateur
Paramtres
Terminal Servers
Chemin daccs aux profils itinrants = \\fichiers\ProfilsTSE$

Scurit
7.4.
GPO TSE Systme
Type de GPO
Liaisons
Ordinateur et Utilisateur
Paramtres
Terminal Server
Systme
Systme \ Options Ctrl+Alt+Sup
Systme \ Profils Utlisateurs
Scurit
Forcer la suppression du papier peint du bureau distance

Limiter le nombre maximal de couleurs = 16 bits
Supprimer loption scurit du menu dmarrer
Supprimer llment Dconnecter de la bote de dialogue Arrter
Dsactiver laccs linvite de commandes (mais pas les scripts)
Empche laccs aux outils de modification du registre
Dsactiver la lecture automatique -> des lecteurs de CD-ROM
Supprimer le gestionnaire de tches
Limiter la taille du profil 30 Mo

Groupe Prodware
Page 12/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
7.5.
GPO TSE Explorateur
Type de GPO
Liaisons
Utilisateur
Paramtres
Explorateur Windows
Supprimer llment de menu Options des dossiers du menu

Outils
Supprimer les options Connecter un lecteur rseau et
Dconnecter un lecteur rseau .
Masquer llment Grer du menu contextuel Windows Explorer
Dans Poste de travail, masquer les lecteurs A:, B:, C:, D:
Empcher laccs aux lecteurs A:, B:, C:, D:
Masquer longlet Matriel
Dsactiver longlet DFS
Ne pas afficher Ordinateurs proches du mien dans Favoris
rseau
Ne pas afficher Tout le rseau dans Favoris rseau
Dsactiver les touches de raccourci Windows+x

Scurit
7.6.
GPO TSE Bureau
Type de GPO
Liaisons
Utilisateur
Paramtres
Bureau
Bureau \ Active Desktop
Bureau \ Active Directory
Supprimer Proprits du menu contextuel de Mes Documents

Supprimer Proprits du menu contextuel de Poste de travail
Supprimer Proprits du menu contextuel de la Corbeille
Cacher licne Favoris rseau sur le bureau
Ne pas ajouter de partage des documents rcemment ouverts
dans Favoris rseau
Interdit aux utilisateurs de modifier le chemin daccs de Mes
Documents
Dsactiver lajout, le glisser-dposer et la suppression des barres
doutils de la barre des tches
Supprimer lAssistant Nettoyage du bureau
Dsactiver Active Desktop
Cacher le dossier Active Directory

Masquer longlet Configuration
Masquer longlet Ecran de veille
Groupe Prodware
Page 13/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Affichage
Imprimantes
Dsactiver lcran de veille

Rechercher les imprimantes sur le rseau
Chemin Active Directory par dfaut pour la recherche
dimprimantes : LDAP://DC=laboromz,DC=local.

Scurit
7.7.
GPO TSE Menu dmarrer
Type de GPO
Liaisons
Utilisateur
Paramtres
Paramtres Windows \
Redirection de dossiers \ Menu
dmarrer
Modles dadministration \ Menu
dmarrer et barre des tches
Scurit
Rediriger les dossiers de tout le monde vers le mme

emplacement : \\fichiers\startmenu$
Supprimer le dossier des utilisateurs du menu dmarrer.
Supprimer les liens et laccs Windows Update
Supprimer le groupe de programmes communs du menu
dmarrer
Supprimer les programmes du menu Paramtres
Supprimer les connexions rseau du menu dmarrer
Supprimer le menu Aide du menu dmarrer
Supprimer le menu Excuter du menu dmarrer
Supprimer licne Ma Musique du menu dmarrer
Supprimer licne Favoris Rseau du menu dmarrer
Ajouter loption Fermeture de session au menu dmarrer
Supprimer et empcher laccs la commande Arrter
Supprimer le glisser-dplacer des menus contextuels dans le
menu dmarrer
Empcher la modification des paramtres de la barre des tches
et du menu dmarrer
Effacer lhistorique des documents ouverts en quittant
Dsactiver les menus personnaliss
Forcer le menu dmarrer classique
Supprimer lhorloge de la zone de notification systme =
Dsactiv.

Groupe Prodware
Page 14/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
7.8.
GPO TSE Internet Explorer
Type de GPO
Liaisons
Utilisateur
Paramtres
Paramtres Windows \
Interface utilisateur du
navigateur
Paramtres Windows \
URL \ URL principales
Barre de titre du navigateur = LaboromZ
Page de dmarrage = http://www.google.fr
Explorer
Dsactiver la modification des paramtres de la page de

dmarrage
Dsactiver la modification des paramtres des fichiers Internet
temporaires
Dsactiver la modification des paramtres de lhistorique
Dsactiver lassistant de connexion Internet
Dsactiver la modification des paramtres de connexion
Dsactiver la modification des paramtres de proxy
Dsactiver la modification des paramtres de la configuration
automatique
Dsactiver la modification des paramtres du contrle daccs
Dsactiver la modification des paramtres des certificats
Dsactiver la modification des paramtres de lassistant profil
Dsactiver la saisie semi-automatique dans les formulaires
Ne pas autoriser la saisie semi-automatique enregistrer des
mots de passe
Dsactiver la fonctionnalit Rtablir les paramtres Web
Dsactiver la modification du navigateur par dfaut
Explorer \ Panneau de
configuration de Internet
Dsactiver longlet Scurit

Dsactiver longlet Connexions
Dsactiver longlet Programmes
Dsactiver longlet Avancs
Explorer \ Menus du navigateur
Menu Fichier : Dsactiver la commande Enregistrer sous

Menu Fichier : Dsactiver la commande Enregistrer sous page
web complte
Menu Affichage : Dsactiver la commande source
Menu Aide : Eliminer la commande Astuce du jour
Menu Aide : Eliminer la commande Pour les utilisateurs de
Netscape
Menu Aide : Eliminer la commande Visite Guide
Menu Aide : Eliminer la commande Envoyer des commentaires
Scurit

Groupe Prodware
Page 15/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
7.9.
GPO TSE MMC
Type de GPO
Liaisons
Utilisateur
Paramtres
Microsoft Management Console
Scurit
Empcher lutilisateur de passer en mode auteur

Restreindre les utilisateurs la liste des composants logiciels
enfichables autoriss

Groupe Prodware
Page 16/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
8.
STRATEGIES DE GROUPE UTILISATEURS
Ces stratgies concernent les utilisateurs quils se connectent via TSE ou non.
8.1.
Redirection Mes Documents
Type de GPO
Liaisons
Paramtres
Utilisateur
Unit organisationnelle .TSE
Paramtres Windows \
Documents
Paramtres Windows \
Documents \ Mes images
Scurit
Suivre le dossier Mes Documents
8.2.
Lecteurs rseau
Type de GPO
Liaisons
Paramtres
Utilisateur
Unit organisationnelle .Utilisateurs
Paramtres Windows \ Scripts
(ouverture/fermeture de session)
Scurit
De base Rediriger tout le monde vers le mme emplacement

\\fichiers\repperso$\%username%
Script MAPS.CMD :
Net use P: \\fichiers\Commun /persistent:no
Groupe Prodware
Page 17/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
9.
INSTALLATION DES APPLICATIONS
Toutes les installations seront excutes dans le mode Installation des services
Terminal Server (commande change user /install).
A lissue des installations, la commande change user /execute sera excute
pour remettre le serveur en mode Application.
9.1.
Microsoft Office 2003
Microsoft Office 2003 reconnat immdiatement sil est install sur un serveur TSE.
Linstallation se fait donc par dfaut sur le disque dur du serveur. Laisser la source
dinstallation locale et mettre jour Office 2003 via Office Update
Copier le dossier Microsoft Office du menu dmarrer dans le dossier
\\fichiers\startmenu$\Programmes\
9.2.
Foxit Reader Pro
Foxit Reader est un outil gratuit destin remplacer le lecteur de documents PDF
Adobe Reader. Lavantage de Foxit Reader est sa lgret (1 excutable de 2,5 Mo)
et sa rapidit dexcution.
Pour installer Foxit Reader, crer un dossier dans Program Files et copier
lexcutable dans ce dossier. Crer un raccourci vers lexcutable dans
\\fichiers\startmenu$\Programmes
9.3.
PDF995
PDF995 est un outil gratuit (moyennant laffichage dune page publicitaire chaque
utilisation) permettant de crer des fichiers PDF partir de nimporte quel document.
Pour crer un fichier PDF, il suffit dimprimer vers une imprimante nomme PDF995
et de spcifier le nom de fichier de destination.
Installer les 2 composants du programme PDF995.
Modifier la scurit sur le fichier C:\Program Files\Pdf995\res\pdf995.ini et
donner la permission Modifier au groupe Utilisateurs du bureau distance
Dans le cas dune architecture multi-serveurs, crer une GPO dans lUO
.Serveurs TSE qui modifie le systme de fichiers pour attribuer les bonnes
permissions.
Groupe Prodware
Page 18/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
10.
CREATION DES UTILISATEURS
10.1. Dans quelle UO ?
Tous les utilisateurs seront crs dans lUO .Utilisateurs.

10.2. Particularits de cration
Dossier de base
Connecter le lecteur U: \\fichiers\repperso$\%username%
Ne pas renseigner les onglets Environnement, Sessions, Contrle distant et
Profil de services Terminal Server.
Groupe Prodware
Page 19/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
11.
COMPLEMENTS DE SECURITE
11.1. ABE : Acces-based enumeration
ABE est un outil gratuit fourni par Microsoft qui na quun seul but : faire en sorte que
les utilisateurs ne voient pas les dossiers partags auxquels ils nont pas accs.
Le comportement par dfaut de Windows fait quun utilisateur peut voir tous les
dossiers mais pas leur contenu. Prenons lexemple dun dossier partag nomm
COMMUN qui contient 3 sous-dossiers Finance, Marketing et Ventes. Prenons un
utilisateur faisant partie du groupe daccs au dossier Ventes. Sans ABE, lutilisateur
verra lcran ci-dessous :
et si il essaye de rentrer dans un autre dossier que Ventes, il obtiendra le message

derreur suivant :
Avec ABE, ce mme utilisateur aura la vue suivante dans le dossier COMMUN :
Groupe Prodware
Page 20/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Pour utiliser cette fonctionnalit :

Tlcharger Acces-Based Enumeration ici :
http://www.laboratoire-microsoft.org/logiciels/17014/
Installer le logiciel en lui spcifiant quil ne faut pas activer ABE sur tous les
dossiers partags du serveur.
Slectionner le ou les dossier(s) partag(s) faisant lobjet de la restriction
daccs. Clic droit, puis Proprits
Onglet Acces-Based Enumeration, cocher la case Enable Acces-based
Enumeration on this folder.
11.2. Modification de limprimante par dfaut des utilisateurs
Lorsque lenvironnement de travail est restreint au maximum via les stratgies de

groupe, certaines manipulations de base deviennent vite un casse-tte pour les
administrateurs. Un de ces exemples est la modification de limprimante par dfaut
des utilisateurs : le panneau daffichage des imprimantes tant absent de
lenvironnement graphique, il est ncessaire davoir un palliatif pour effectuer cette
manipulation courante.
Ouvrir un dossier partag dans lequel lutilisateur a les droits dcriture.
Clic droit > Nouveau > Document Texte
Ouvrir le fichier texte
Menu Fichier > Imprimer
Clic droit sur limprimante dsire, puis dfinir comme imprimante par
dfaut.
Vous pouvez supprimer le document texte.
Groupe Prodware
Page 21/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
11.3. Prvention de lexcution des donnes
Windows Server 2003 Service Pack 1 introduit comme XP Service Pack 2 la

Prvention de lExecution des Donnes (PED ou DEP in english). Cette
technologie bloque les applications effectuant des oprations non-conformes dans la
mmoire. Elle bloque galement les accs aux excutables appels via un chemin
UNC (\\serveur\partage\appli.exe). Cela se traduit par le message suivant lorsque
lon essaie dexcuter un raccourci pointant sur une ressource rseau (les raccourcis
du menu dmarrer redirig par exemple)
3 solutions sont possibles pour pallier ce problme :

Modifier le fichier boot.ini des serveurs Terminal Server en remplaant
/noexecute=OptIn par /execute. Redmarrer les serveurs.
Clic droit sur le poste de travail, Proprits, avancs, options de
performances, onglet prvention de lexcution des donnes et slectionner
Activer la prvention dexcution des donnes pour les programmes et les
services Windows uniquement. Redmarrer les serveurs. (source L. Nutten,
Prodware Lille)
Sous le compte dutilisateur impact, modifier les paramtres dInternet
Explorer. Menu Outils > Options Internet, onglet Scurit, cliquer sur
Intranet Local, puis sur Sites. Vrifier que les 3 cases et en particulier la 3me
sont coches. Il faudra sans doute dsactiver la stratgie de restriction
daccs Internet Explorer pour effectuer cette manipulation.
Groupe Prodware
Page 22/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
11.4. Masquer laccs aux lecteurs locaux
Par dfaut, Windows implmente une stratgie qui permet de masquer les lecteurs
A: D: ou tous les lecteurs. Ceci savre problmatique ds que le serveur
dapplications comporte 3 partitions, 1 lecteur de disquette et 1 lecteur de CD car au
moins 1 lecteur sera apparent dans le poste de travail.
Un petit utilitaire gratuit est dispo sur Internet :
http://www.dabcc.com/downloadfile.aspx?id=20
Cet outil permet de slectionner un par un les lecteurs masquer (de A: Z:). Le
rsultat est un fichier ADM que lon peut incorporer aux modles dadministration des
stratgies de groupe.
Loutil est sympa mais il suffit davoir un modle de fichier ADM sur soi et de modifier
une valeur dans ce fichier pour obtenir le mme rsultat sans le soft.
Fichier modle HIDEDRV.ADM (copier/coller le texte ci-dessous dans le bloc-notes)
CLASS USER
CATEGORY !!WindowsComponents
CATEGORY !!Explorer
CATEGORY !!Hidecalc
KEYNAME
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
POLICY !!HideDrives
EXPLAIN !!HideDrivesHelp
PART !!DlgHideDrives NUMERIC REQUIRED
VALUENAME "NoDrives"
MIN 0 MAX 134217728 DEFAULT 0
END PART
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY
[strings]
WindowsComponents="Composants Windows"
Explorer="Explorateur Windows"
HideDrives="Masquer les lecteurs dans le poste de travail"
Hidecalc="Masquer les lecteurs"
HideDrivesHelp="Pour calculer cette valeur, il suffit de
reprsenter un nombre binaire o A:=bit 0, B:=bit 1, C:=bit 2,
......, Z:=bit 26.\nSi on dsire masquer le lecteur A:, il
faut mettre le bit 0 1, si on dsire masquer le lecteur F:
on mettra le bit 5 1, etc..., etc...\n\nExemple : Pour
masquer les lecteurs A:, B:, C:, D: et G:, il faut spcifier
la valeur 79 (64 + 8 + 4 + 2 + 1)\n\n Note:\n\n Cette
stratgie peut entrer en conflit avec la stratgie Masquer les
Groupe Prodware
Page 23/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
lecteurs suivants dans le poste de travail situe dans
common.adm"
DlgHideDrives="Valeur de masquage des lettres de lecteurs :\n"
Sauvegarder le fichier dans C:\Windows\Inf des contrleurs de domaine sous
le nom hidedrv.adm
Crer une nouvelle GPO
Se positionner sur le dossier Configuration Utilisateur > Modles
dadministration. Clic droit, puis Ajout/Suppression de modles.
Cliquer sur Ajouter
Slectionner le fichier hidedrv.adm
De retour dans la console, aller dans Configuration Utilisateur > Modles
dadministration > Composants Windows > Explorateur Windows
Spcifier la valeur de masquage en vous aidant du modle suivant :

Lettre Z Y X W V U T S R Q P O N M L K J
Bit
25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9
I
8
H
7
G
6
F
5
E
4
D
3
C
2
B
1
A
0
Pour masquer une lettre de lecteur, positionner le bit correspondant 1. Lexemple

de la figure ci-dessus correspond au masquage des lecteurs A:, B:, C:, D: et G:.
Groupe Prodware
Page 24/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
12.
LE RESULTAT EN IMAGES
Un menu dmarrer rduit sa plus simple expression et commun aux utilisateurs TSE
Le poste de travail ne comporte que les lecteurs rseau monts par script
Disparition des options Grer et Proprits.

Groupe Prodware
Page 25/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Le panneau de configuration dInternet Explorer est brid.
Word 2003 avec le crateur de PDF
Groupe Prodware
Page 26/26
FICHE TECHNIQUE
Version 1.1
09/09/2006

Tse 2003

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Tse 2003

Transféré par

Droits d'auteur :

Formats disponibles

FICHE TECHNIQUE

Architecture TSE 2003

Table des matires

SCHMA DARCHITECTURE ............................................................................ 4

Systmes dexploitation .................................................................................................. 6

Dossiers partags ............................................................................................................ 6

INSTALLATION DES COMPOSANTS TERMINAL SERVER ............................ 8

CONFIGURATION DES SERVICES TERMINAL SERVER ................................ 9

Proprits du serveur ...................................................................................................... 9

SCURIT DE LACCS AU SERVEUR TSE.................................................. 10

Architecture mono-serveur ........................................................................................... 10

STRATGIES UTILISATEURS CIBLES TSE................................................. 11

La GPO Bouclage ........................................................................................................... 11

Profils itinrants TSE ..................................................................................................... 12

GPO TSE Systme.......................................................................................................... 12

GPO TSE Explorateur .................................................................................................... 13

GPO TSE Bureau............................................................................................................ 13

Auteur : Romain GARRIGUES

GPO TSE Menu dmarrer............................................................................................... 14

GPO TSE Internet Explorer............................................................................................ 15

GPO TSE MMC................................................................................................................ 16

STRATGIES DE GROUPE UTILISATEURS .................................................. 17

Redirection Mes Documents ......................................................................................... 17

INSTALLATION DES APPLICATIONS............................................................. 18

Microsoft Office 2003 ..................................................................................................... 18

Foxit Reader Pro............................................................................................................. 18

CRATION DES UTILISATEURS................................................................. 19

Dans quelle UO ?............................................................................................................ 19

COMPLMENTS DE SCURIT .................................................................. 20

ABE : Acces-based enumeration .................................................................................. 20

Modification de limprimante par dfaut des utilisateurs ........................................... 21

Prvention de lexcution des donnes ....................................................................... 22

Masquer laccs aux lecteurs locaux ........................................................................... 23

LE RSULTAT EN IMAGES ......................................................................... 25

Nous nous placerons dans le cadre suivant :

Microsoft recommande vivement dinstaller les services Terminal

Le domaine se nomme lbztse.local (nom NETBIOS = LBZTSE)

Cration de la zone de recherche DNS inverse (intgre AD)

INSTALLATION DES COMPOSANTS TERMINAL SERVER

Linstallation se fait via le panneau de configuration \ Ajout/Suppresion de

Slectionner loption Scurit Totale.

Ne pas spcifier de serveur de licence

Mode de licence par utilisateur

Installer ensuite le serveur de licences sur le serveur (architecture mono-serveur) ou

CONFIGURATION DES SERVICES TERMINAL SERVER

SECURITE DE LACCES AU SERVEUR TSE

Valider les choix et actualiser les stratgies.

STRATEGIES UTILISATEURS CIBLEES TSE

Cette stratgie va permettre Active Directory de prendre en compte toutes les

Profils itinrants TSE

Chemin daccs aux profils itinrants = \\fichiers\ProfilsTSE$

Administrateurs de lentreprise et Admins du domaine : Refuser

GPO TSE Systme

Forcer la suppression du papier peint du bureau distance

Limiter la taille du profil 30 Mo

Administrateurs de lentreprise et Admins du domaine : Refuser

GPO TSE Explorateur

Supprimer llment de menu Options des dossiers du menu

Administrateurs de lentreprise et Admins du domaine : Refuser

GPO TSE Bureau

Supprimer Proprits du menu contextuel de Mes Documents

Cacher le dossier Active Directory

Dsactiver lcran de veille

Administrateurs de lentreprise et Admins du domaine : Refuser