Académique Documents
Professionnel Documents
Culture Documents
Fiche Technique
Montage dune architecture scurise
Terminal Server 2003
Groupe Prodware
Auteur : Romain GARRIGUES
Page 1/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
1.
INTRODUCTION ................................................................................................. 4
2.
3.
PRREQUIS........................................................................................................ 6
3.1.
3.2.
Active Directory................................................................................................................ 6
3.3.
4.
5.
6.
7.
5.1.
Connexion RDP-Tcp......................................................................................................... 9
5.2.
6.2.
Architecture multi-serveurs........................................................................................... 10
7.2.
Explications .................................................................................................................... 11
7.3.
7.4.
7.5.
7.6.
Page 2/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
8.
9.
10.
11.
12.
7.7.
7.8.
7.9.
8.2.
Lecteurs rseau.............................................................................................................. 17
9.2.
9.3.
PDF995 ............................................................................................................................ 18
10.2.
Particularits de cration............................................................................................... 19
11.2.
11.3.
11.4.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 3/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
1.
INTRODUCTION
Le prsent document indique la marche suivre pour implmenter une solution TSE
volutive et scurise. Elle peut tre mise en uvre sur un unique serveur
(contrleur + DNS + TSE) ou sur une batterie de serveurs TSE.
2.
SCHEMA DARCHITECTURE
Groupe Prodware
Auteur : Romain GARRIGUES
Page 4/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Les applicatifs installs seront :
Microsoft Office 2003 (Word, Excel, Power Point)
Un lecteur de fichiers PDF (Foxit Reader)
Un crateur de fichiers PDF (PDF995)
ATTENTION :
Groupe Prodware
Auteur : Romain GARRIGUES
Page 5/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
3.
PREREQUIS
3.1.
Systmes dexploitation
Tous les serveurs seront sous Windows Server 2003 Service Pack 1.
Les outils de support Windows 2003 seront installs sur chacun des serveurs.
3.2.
Active Directory
Dossiers partags
Les utilisateurs disposeront dun espace personnel sur le serveur de fichiers mapp
sur le lecteur U:. Le dossier Mes documents sera galement redirig vers ce
dossier. Ainsi le dossier Mes Documents suivra lutilisateur en fonction de ses
connexions.
Cration sur le serveur de fichiers dun dossier partag en tant que
REPPERSO$ avec les autorisations suivantes : Groupe Administrateurs
en contrle total et groupe Utilisa. du domaine en lecture.
Les utilisateurs disposeront dun espace commun sur le serveur de fichiers mapp
sur le lecteur P:. Tous les utilisateurs auront les droits dcriture dans ce dossier.
Cration sur le serveur de fichiers dun dossier partag en tant que
Commun avec les autorisations suivantes : Groupe Administrateurs en
contrle total et groupe Utilisa. du domaine en modifier.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 6/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Le menu dmarrer des sessions TSE sera unique pour tout le monde. Il sera redirig
vers un espace partag sur le serveur de fichiers.
Cration sur le serveur de fichiers dun dossier partag en tant que
STARTMENU$ avec les autorisations suivantes : Groupe Administrateurs
en contrle total et groupe Utilisa. du domaine en lecture.
Les rpertoires de profil des utilisateurs TSE seront itinrants et situs sur le serveur
de fichiers. Les rpertoires de profil des utilisateurs non TSE seront locaux.
Cration sur le serveur de fichiers dun dossier partag en tant que
ProfilsTSE$ avec les autorisations suivantes : Groupe Administrateurs en
contrle total et groupe Utilisa. du domaine en Modifier.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 7/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
4.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 8/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
5.
5.1.
Connexion RDP-Tcp
Niveau de cryptage
Paramtres douverture de session
Fin dune session dconnecte
Limite de session active
Limite de session inactive
Lorsque la limite de session
Rglages clients
Carte rseau
Autorisations
5.2.
Client Compatible
Toujours demander un mot de passe
10 minutes
jamais
jamais
Fin de la session
Dsactiver les imprimantes, ports LPT et ports
COM
Nombre maximal de connexions dfinir
Administrateurs : Contrle total
SYSTEM : Contrle Total
Utilisateurs du bureau distance : Accs
Utilisateur
Proprits du serveur
Groupe Prodware
Auteur : Romain GARRIGUES
Page 9/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
6.
6.1.
Architecture mono-serveur
Dans ce cas, le serveur TSE est aussi contrleur de domaine. Or, les utilisateurs
nont pas le droit douvrir une session Terminal Server sur ce type de serveur. Il faut
donc modifier la stratgie des contrleurs de domaine par dfaut pour accepter les
ouvertures de session par les services Terminal Server par les membres du groupe
Utilisateurs du bureau distance.
Ouvrir Le composant Stratgie de scurit du contrleur de domaine
Aller dans Stratgies locales \ Attribution des droits utilisateurs
Double-cliquer sur Autoriser louverture de session par les services
Terminal Server et ajouter le groupe Utilisateurs du bureau distance
comme ci-desous :
Architecture multi-serveurs
Les serveurs TSE seront tous placs dans lUO .Serveurs TSE. Ils ne sont pas
contrleurs de domaine, donc le groupe Utilisateurs du bureau distance gre
laccs aux services Terminal Server
Groupe Prodware
Auteur : Romain GARRIGUES
Page 10/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
7.
Les utilisateurs du domaine lbztse.local peuvent tout aussi bien ouvrir une session
sur un PC client du domaine quouvrir une session TSE sur le(s) serveur(s)
applicatif(s). Il est donc ncessaire de diffrencier ces 2 modes douverture de
session et dappliquer des stratgies trs restrictives aux utilisateurs se connectant
via TSE.
7.1.
La GPO Bouclage
Clic droit sur lUO Domain Controllers (ou .Serveurs TSE si architecture multiserveurs), puis Proprits.
Crer un nouvel objet de stratgie de groupe nomm Bouclage.
Aller dans Configuration Ordinateur \ Modles dadministration \ Systme \
Stratgie de groupe
Activer le paramtre Mode de traitement par boucle de rappel de la stratgie
de groupe utilisateur et dfinir le mode Fusionner
7.2.
Explications
Groupe Prodware
Auteur : Romain GARRIGUES
Page 11/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
7.3.
Type de GPO
Liaisons
Ordinateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Ordinateur \
Modles dadministration \
Composants Windows \ Services
Terminal Servers
Scurit
7.4.
Type de GPO
Liaisons
Ordinateur et Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Ordinateur \
Modles dadministration \
Composants Windows \ Services
Terminal Server
Configuration Utilisateur \
Modles dadministration \
Systme
Configuration Utilisateur \
Modles dadministration \
Systme \ Options Ctrl+Alt+Sup
Configuration Utilisateur \
Modles dadministration \
Systme \ Profils Utlisateurs
Scurit
Groupe Prodware
Auteur : Romain GARRIGUES
Page 12/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
7.5.
Type de GPO
Liaisons
Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Utilisateur \
Modles dadministration \
Composants Windows \
Explorateur Windows
Scurit
7.6.
Type de GPO
Liaisons
Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Utilisateur \
Modles dadministration \
Bureau
Configuration Utilisateur \
Modles dadministration \
Bureau \ Active Desktop
Configuration Utilisateur \
Modles dadministration \
Bureau \ Active Directory
Configuration Utilisateur \
Modles dadministration \
Groupe Prodware
Auteur : Romain GARRIGUES
Page 13/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Panneau de configuration \
Affichage
Configuration Utilisateur \
Modles dadministration \
Panneau de configuration \
Imprimantes
Scurit
7.7.
Type de GPO
Liaisons
Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Utilisateur \
Paramtres Windows \
Redirection de dossiers \ Menu
dmarrer
Configuration Utilisateur \
Modles dadministration \ Menu
dmarrer et barre des tches
Scurit
Groupe Prodware
Auteur : Romain GARRIGUES
Page 14/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
7.8.
Type de GPO
Liaisons
Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Utilisateur \
Paramtres Windows \
Maintenance dInternet Explorer \
Interface utilisateur du
navigateur
Configuration Utilisateur \
Paramtres Windows \
Maintenance dInternet Explorer \
URL \ URL principales
Configuration Utilisateur \
Modles dadministration \
Composants Windows \ Internet
Explorer
Configuration Utilisateur \
Modles dadministration \
Composants Windows \ Internet
Explorer \ Panneau de
configuration de Internet
Configuration Utilisateur \
Modles dadministration \
Composants Windows \ Internet
Explorer \ Menus du navigateur
Scurit
Page 15/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
7.9.
Type de GPO
Liaisons
Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Utilisateur \
Modles dadministration \
Composants Windows \
Microsoft Management Console
Scurit
Groupe Prodware
Auteur : Romain GARRIGUES
Page 16/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
8.
Ces stratgies concernent les utilisateurs quils se connectent via TSE ou non.
8.1.
Type de GPO
Liaisons
Paramtres
Utilisateur
Unit organisationnelle .TSE
Configuration Utilisateur \
Paramtres Windows \
Redirection de dossiers \ Mes
Documents
Configuration Utilisateur \
Paramtres Windows \
Redirection de dossiers \ Mes
Documents \ Mes images
Scurit
8.2.
Lecteurs rseau
Type de GPO
Liaisons
Paramtres
Utilisateur
Unit organisationnelle .Utilisateurs
Configuration Utilisateur \
Paramtres Windows \ Scripts
(ouverture/fermeture de session)
Scurit
Script MAPS.CMD :
Net use P: \\fichiers\Commun /persistent:no
Groupe Prodware
Auteur : Romain GARRIGUES
Page 17/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
9.
Toutes les installations seront excutes dans le mode Installation des services
Terminal Server (commande change user /install).
A lissue des installations, la commande change user /execute sera excute
pour remettre le serveur en mode Application.
9.1.
Microsoft Office 2003 reconnat immdiatement sil est install sur un serveur TSE.
Linstallation se fait donc par dfaut sur le disque dur du serveur. Laisser la source
dinstallation locale et mettre jour Office 2003 via Office Update
Copier le dossier Microsoft Office du menu dmarrer dans le dossier
\\fichiers\startmenu$\Programmes\
9.2.
Foxit Reader est un outil gratuit destin remplacer le lecteur de documents PDF
Adobe Reader. Lavantage de Foxit Reader est sa lgret (1 excutable de 2,5 Mo)
et sa rapidit dexcution.
Pour installer Foxit Reader, crer un dossier dans Program Files et copier
lexcutable dans ce dossier. Crer un raccourci vers lexcutable dans
\\fichiers\startmenu$\Programmes
9.3.
PDF995
PDF995 est un outil gratuit (moyennant laffichage dune page publicitaire chaque
utilisation) permettant de crer des fichiers PDF partir de nimporte quel document.
Pour crer un fichier PDF, il suffit dimprimer vers une imprimante nomme PDF995
et de spcifier le nom de fichier de destination.
Installer les 2 composants du programme PDF995.
Modifier la scurit sur le fichier C:\Program Files\Pdf995\res\pdf995.ini et
donner la permission Modifier au groupe Utilisateurs du bureau distance
Dans le cas dune architecture multi-serveurs, crer une GPO dans lUO
.Serveurs TSE qui modifie le systme de fichiers pour attribuer les bonnes
permissions.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 18/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
10.
Dossier de base
Connecter le lecteur U: \\fichiers\repperso$\%username%
Ne pas renseigner les onglets Environnement, Sessions, Contrle distant et
Profil de services Terminal Server.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 19/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
11.
COMPLEMENTS DE SECURITE
ABE est un outil gratuit fourni par Microsoft qui na quun seul but : faire en sorte que
les utilisateurs ne voient pas les dossiers partags auxquels ils nont pas accs.
Le comportement par dfaut de Windows fait quun utilisateur peut voir tous les
dossiers mais pas leur contenu. Prenons lexemple dun dossier partag nomm
COMMUN qui contient 3 sous-dossiers Finance, Marketing et Ventes. Prenons un
utilisateur faisant partie du groupe daccs au dossier Ventes. Sans ABE, lutilisateur
verra lcran ci-dessous :
Avec ABE, ce mme utilisateur aura la vue suivante dans le dossier COMMUN :
Groupe Prodware
Auteur : Romain GARRIGUES
Page 20/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Page 21/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
11.3. Prvention de lexcution des donnes
Groupe Prodware
Auteur : Romain GARRIGUES
Page 22/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Par dfaut, Windows implmente une stratgie qui permet de masquer les lecteurs
A: D: ou tous les lecteurs. Ceci savre problmatique ds que le serveur
dapplications comporte 3 partitions, 1 lecteur de disquette et 1 lecteur de CD car au
moins 1 lecteur sera apparent dans le poste de travail.
Un petit utilitaire gratuit est dispo sur Internet :
http://www.dabcc.com/downloadfile.aspx?id=20
Cet outil permet de slectionner un par un les lecteurs masquer (de A: Z:). Le
rsultat est un fichier ADM que lon peut incorporer aux modles dadministration des
stratgies de groupe.
Loutil est sympa mais il suffit davoir un modle de fichier ADM sur soi et de modifier
une valeur dans ce fichier pour obtenir le mme rsultat sans le soft.
Fichier modle HIDEDRV.ADM (copier/coller le texte ci-dessous dans le bloc-notes)
CLASS USER
CATEGORY !!WindowsComponents
CATEGORY !!Explorer
CATEGORY !!Hidecalc
KEYNAME
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
POLICY !!HideDrives
EXPLAIN !!HideDrivesHelp
PART !!DlgHideDrives NUMERIC REQUIRED
VALUENAME "NoDrives"
MIN 0 MAX 134217728 DEFAULT 0
END PART
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY
[strings]
WindowsComponents="Composants Windows"
Explorer="Explorateur Windows"
HideDrives="Masquer les lecteurs dans le poste de travail"
Hidecalc="Masquer les lecteurs"
HideDrivesHelp="Pour calculer cette valeur, il suffit de
reprsenter un nombre binaire o A:=bit 0, B:=bit 1, C:=bit 2,
......, Z:=bit 26.\nSi on dsire masquer le lecteur A:, il
faut mettre le bit 0 1, si on dsire masquer le lecteur F:
on mettra le bit 5 1, etc..., etc...\n\nExemple : Pour
masquer les lecteurs A:, B:, C:, D: et G:, il faut spcifier
la valeur 79 (64 + 8 + 4 + 2 + 1)\n\n Note:\n\n Cette
stratgie peut entrer en conflit avec la stratgie Masquer les
Groupe Prodware
Auteur : Romain GARRIGUES
Page 23/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
lecteurs suivants dans le poste de travail situe dans
common.adm"
DlgHideDrives="Valeur de masquage des lettres de lecteurs :\n"
Sauvegarder le fichier dans C:\Windows\Inf des contrleurs de domaine sous
le nom hidedrv.adm
Crer une nouvelle GPO
Se positionner sur le dossier Configuration Utilisateur > Modles
dadministration. Clic droit, puis Ajout/Suppression de modles.
Cliquer sur Ajouter
Slectionner le fichier hidedrv.adm
De retour dans la console, aller dans Configuration Utilisateur > Modles
dadministration > Composants Windows > Explorateur Windows
I
8
H
7
G
6
F
5
E
4
D
3
C
2
B
1
A
0
Groupe Prodware
Auteur : Romain GARRIGUES
Page 24/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
12.
LE RESULTAT EN IMAGES
Un menu dmarrer rduit sa plus simple expression et commun aux utilisateurs TSE
Le poste de travail ne comporte que les lecteurs rseau monts par script
Page 25/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Groupe Prodware
Auteur : Romain GARRIGUES
Page 26/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Fiche Technique
Montage dune architecture scurise
Terminal Server 2003
Groupe Prodware
Auteur : Romain GARRIGUES
Page 1/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
1.
INTRODUCTION ................................................................................................. 4
2.
3.
PRREQUIS........................................................................................................ 6
3.1.
3.2.
Active Directory................................................................................................................ 6
3.3.
4.
5.
6.
7.
5.1.
Connexion RDP-Tcp......................................................................................................... 9
5.2.
6.2.
Architecture multi-serveurs........................................................................................... 10
7.2.
Explications .................................................................................................................... 11
7.3.
7.4.
7.5.
7.6.
Page 2/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
8.
9.
10.
11.
12.
7.7.
7.8.
7.9.
8.2.
Lecteurs rseau.............................................................................................................. 17
9.2.
9.3.
PDF995 ............................................................................................................................ 18
10.2.
Particularits de cration............................................................................................... 19
11.2.
11.3.
11.4.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 3/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
1.
INTRODUCTION
Le prsent document indique la marche suivre pour implmenter une solution TSE
volutive et scurise. Elle peut tre mise en uvre sur un unique serveur
(contrleur + DNS + TSE) ou sur une batterie de serveurs TSE.
2.
SCHEMA DARCHITECTURE
Groupe Prodware
Auteur : Romain GARRIGUES
Page 4/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Les applicatifs installs seront :
Microsoft Office 2003 (Word, Excel, Power Point)
Un lecteur de fichiers PDF (Foxit Reader)
Un crateur de fichiers PDF (PDF995)
ATTENTION :
Groupe Prodware
Auteur : Romain GARRIGUES
Page 5/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
3.
PREREQUIS
3.1.
Systmes dexploitation
Tous les serveurs seront sous Windows Server 2003 Service Pack 1.
Les outils de support Windows 2003 seront installs sur chacun des serveurs.
3.2.
Active Directory
Dossiers partags
Les utilisateurs disposeront dun espace personnel sur le serveur de fichiers mapp
sur le lecteur U:. Le dossier Mes documents sera galement redirig vers ce
dossier. Ainsi le dossier Mes Documents suivra lutilisateur en fonction de ses
connexions.
Cration sur le serveur de fichiers dun dossier partag en tant que
REPPERSO$ avec les autorisations suivantes : Groupe Administrateurs
en contrle total et groupe Utilisa. du domaine en lecture.
Les utilisateurs disposeront dun espace commun sur le serveur de fichiers mapp
sur le lecteur P:. Tous les utilisateurs auront les droits dcriture dans ce dossier.
Cration sur le serveur de fichiers dun dossier partag en tant que
Commun avec les autorisations suivantes : Groupe Administrateurs en
contrle total et groupe Utilisa. du domaine en modifier.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 6/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Le menu dmarrer des sessions TSE sera unique pour tout le monde. Il sera redirig
vers un espace partag sur le serveur de fichiers.
Cration sur le serveur de fichiers dun dossier partag en tant que
STARTMENU$ avec les autorisations suivantes : Groupe Administrateurs
en contrle total et groupe Utilisa. du domaine en lecture.
Les rpertoires de profil des utilisateurs TSE seront itinrants et situs sur le serveur
de fichiers. Les rpertoires de profil des utilisateurs non TSE seront locaux.
Cration sur le serveur de fichiers dun dossier partag en tant que
ProfilsTSE$ avec les autorisations suivantes : Groupe Administrateurs en
contrle total et groupe Utilisa. du domaine en Modifier.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 7/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
4.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 8/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
5.
5.1.
Connexion RDP-Tcp
Niveau de cryptage
Paramtres douverture de session
Fin dune session dconnecte
Limite de session active
Limite de session inactive
Lorsque la limite de session
Rglages clients
Carte rseau
Autorisations
5.2.
Client Compatible
Toujours demander un mot de passe
10 minutes
jamais
jamais
Fin de la session
Dsactiver les imprimantes, ports LPT et ports
COM
Nombre maximal de connexions dfinir
Administrateurs : Contrle total
SYSTEM : Contrle Total
Utilisateurs du bureau distance : Accs
Utilisateur
Proprits du serveur
Groupe Prodware
Auteur : Romain GARRIGUES
Page 9/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
6.
6.1.
Architecture mono-serveur
Dans ce cas, le serveur TSE est aussi contrleur de domaine. Or, les utilisateurs
nont pas le droit douvrir une session Terminal Server sur ce type de serveur. Il faut
donc modifier la stratgie des contrleurs de domaine par dfaut pour accepter les
ouvertures de session par les services Terminal Server par les membres du groupe
Utilisateurs du bureau distance.
Ouvrir Le composant Stratgie de scurit du contrleur de domaine
Aller dans Stratgies locales \ Attribution des droits utilisateurs
Double-cliquer sur Autoriser louverture de session par les services
Terminal Server et ajouter le groupe Utilisateurs du bureau distance
comme ci-desous :
Architecture multi-serveurs
Les serveurs TSE seront tous placs dans lUO .Serveurs TSE. Ils ne sont pas
contrleurs de domaine, donc le groupe Utilisateurs du bureau distance gre
laccs aux services Terminal Server
Groupe Prodware
Auteur : Romain GARRIGUES
Page 10/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
7.
Les utilisateurs du domaine lbztse.local peuvent tout aussi bien ouvrir une session
sur un PC client du domaine quouvrir une session TSE sur le(s) serveur(s)
applicatif(s). Il est donc ncessaire de diffrencier ces 2 modes douverture de
session et dappliquer des stratgies trs restrictives aux utilisateurs se connectant
via TSE.
7.1.
La GPO Bouclage
Clic droit sur lUO Domain Controllers (ou .Serveurs TSE si architecture multiserveurs), puis Proprits.
Crer un nouvel objet de stratgie de groupe nomm Bouclage.
Aller dans Configuration Ordinateur \ Modles dadministration \ Systme \
Stratgie de groupe
Activer le paramtre Mode de traitement par boucle de rappel de la stratgie
de groupe utilisateur et dfinir le mode Fusionner
7.2.
Explications
Groupe Prodware
Auteur : Romain GARRIGUES
Page 11/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
7.3.
Type de GPO
Liaisons
Ordinateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Ordinateur \
Modles dadministration \
Composants Windows \ Services
Terminal Servers
Scurit
7.4.
Type de GPO
Liaisons
Ordinateur et Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Ordinateur \
Modles dadministration \
Composants Windows \ Services
Terminal Server
Configuration Utilisateur \
Modles dadministration \
Systme
Configuration Utilisateur \
Modles dadministration \
Systme \ Options Ctrl+Alt+Sup
Configuration Utilisateur \
Modles dadministration \
Systme \ Profils Utlisateurs
Scurit
Groupe Prodware
Auteur : Romain GARRIGUES
Page 12/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
7.5.
Type de GPO
Liaisons
Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Utilisateur \
Modles dadministration \
Composants Windows \
Explorateur Windows
Scurit
7.6.
Type de GPO
Liaisons
Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Utilisateur \
Modles dadministration \
Bureau
Configuration Utilisateur \
Modles dadministration \
Bureau \ Active Desktop
Configuration Utilisateur \
Modles dadministration \
Bureau \ Active Directory
Configuration Utilisateur \
Modles dadministration \
Groupe Prodware
Auteur : Romain GARRIGUES
Page 13/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Panneau de configuration \
Affichage
Configuration Utilisateur \
Modles dadministration \
Panneau de configuration \
Imprimantes
Scurit
7.7.
Type de GPO
Liaisons
Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Utilisateur \
Paramtres Windows \
Redirection de dossiers \ Menu
dmarrer
Configuration Utilisateur \
Modles dadministration \ Menu
dmarrer et barre des tches
Scurit
Groupe Prodware
Auteur : Romain GARRIGUES
Page 14/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
7.8.
Type de GPO
Liaisons
Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Utilisateur \
Paramtres Windows \
Maintenance dInternet Explorer \
Interface utilisateur du
navigateur
Configuration Utilisateur \
Paramtres Windows \
Maintenance dInternet Explorer \
URL \ URL principales
Configuration Utilisateur \
Modles dadministration \
Composants Windows \ Internet
Explorer
Configuration Utilisateur \
Modles dadministration \
Composants Windows \ Internet
Explorer \ Panneau de
configuration de Internet
Configuration Utilisateur \
Modles dadministration \
Composants Windows \ Internet
Explorer \ Menus du navigateur
Scurit
Page 15/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
7.9.
Type de GPO
Liaisons
Utilisateur
Domain Controllers (mono-serveur) ou .Serveurs TSE (multiserveurs)
Paramtres
Configuration Utilisateur \
Modles dadministration \
Composants Windows \
Microsoft Management Console
Scurit
Groupe Prodware
Auteur : Romain GARRIGUES
Page 16/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
8.
Ces stratgies concernent les utilisateurs quils se connectent via TSE ou non.
8.1.
Type de GPO
Liaisons
Paramtres
Utilisateur
Unit organisationnelle .TSE
Configuration Utilisateur \
Paramtres Windows \
Redirection de dossiers \ Mes
Documents
Configuration Utilisateur \
Paramtres Windows \
Redirection de dossiers \ Mes
Documents \ Mes images
Scurit
8.2.
Lecteurs rseau
Type de GPO
Liaisons
Paramtres
Utilisateur
Unit organisationnelle .Utilisateurs
Configuration Utilisateur \
Paramtres Windows \ Scripts
(ouverture/fermeture de session)
Scurit
Script MAPS.CMD :
Net use P: \\fichiers\Commun /persistent:no
Groupe Prodware
Auteur : Romain GARRIGUES
Page 17/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
9.
Toutes les installations seront excutes dans le mode Installation des services
Terminal Server (commande change user /install).
A lissue des installations, la commande change user /execute sera excute
pour remettre le serveur en mode Application.
9.1.
Microsoft Office 2003 reconnat immdiatement sil est install sur un serveur TSE.
Linstallation se fait donc par dfaut sur le disque dur du serveur. Laisser la source
dinstallation locale et mettre jour Office 2003 via Office Update
Copier le dossier Microsoft Office du menu dmarrer dans le dossier
\\fichiers\startmenu$\Programmes\
9.2.
Foxit Reader est un outil gratuit destin remplacer le lecteur de documents PDF
Adobe Reader. Lavantage de Foxit Reader est sa lgret (1 excutable de 2,5 Mo)
et sa rapidit dexcution.
Pour installer Foxit Reader, crer un dossier dans Program Files et copier
lexcutable dans ce dossier. Crer un raccourci vers lexcutable dans
\\fichiers\startmenu$\Programmes
9.3.
PDF995
PDF995 est un outil gratuit (moyennant laffichage dune page publicitaire chaque
utilisation) permettant de crer des fichiers PDF partir de nimporte quel document.
Pour crer un fichier PDF, il suffit dimprimer vers une imprimante nomme PDF995
et de spcifier le nom de fichier de destination.
Installer les 2 composants du programme PDF995.
Modifier la scurit sur le fichier C:\Program Files\Pdf995\res\pdf995.ini et
donner la permission Modifier au groupe Utilisateurs du bureau distance
Dans le cas dune architecture multi-serveurs, crer une GPO dans lUO
.Serveurs TSE qui modifie le systme de fichiers pour attribuer les bonnes
permissions.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 18/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
10.
Dossier de base
Connecter le lecteur U: \\fichiers\repperso$\%username%
Ne pas renseigner les onglets Environnement, Sessions, Contrle distant et
Profil de services Terminal Server.
Groupe Prodware
Auteur : Romain GARRIGUES
Page 19/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
11.
COMPLEMENTS DE SECURITE
ABE est un outil gratuit fourni par Microsoft qui na quun seul but : faire en sorte que
les utilisateurs ne voient pas les dossiers partags auxquels ils nont pas accs.
Le comportement par dfaut de Windows fait quun utilisateur peut voir tous les
dossiers mais pas leur contenu. Prenons lexemple dun dossier partag nomm
COMMUN qui contient 3 sous-dossiers Finance, Marketing et Ventes. Prenons un
utilisateur faisant partie du groupe daccs au dossier Ventes. Sans ABE, lutilisateur
verra lcran ci-dessous :
Avec ABE, ce mme utilisateur aura la vue suivante dans le dossier COMMUN :
Groupe Prodware
Auteur : Romain GARRIGUES
Page 20/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Page 21/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
11.3. Prvention de lexcution des donnes
Groupe Prodware
Auteur : Romain GARRIGUES
Page 22/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Par dfaut, Windows implmente une stratgie qui permet de masquer les lecteurs
A: D: ou tous les lecteurs. Ceci savre problmatique ds que le serveur
dapplications comporte 3 partitions, 1 lecteur de disquette et 1 lecteur de CD car au
moins 1 lecteur sera apparent dans le poste de travail.
Un petit utilitaire gratuit est dispo sur Internet :
http://www.dabcc.com/downloadfile.aspx?id=20
Cet outil permet de slectionner un par un les lecteurs masquer (de A: Z:). Le
rsultat est un fichier ADM que lon peut incorporer aux modles dadministration des
stratgies de groupe.
Loutil est sympa mais il suffit davoir un modle de fichier ADM sur soi et de modifier
une valeur dans ce fichier pour obtenir le mme rsultat sans le soft.
Fichier modle HIDEDRV.ADM (copier/coller le texte ci-dessous dans le bloc-notes)
CLASS USER
CATEGORY !!WindowsComponents
CATEGORY !!Explorer
CATEGORY !!Hidecalc
KEYNAME
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
POLICY !!HideDrives
EXPLAIN !!HideDrivesHelp
PART !!DlgHideDrives NUMERIC REQUIRED
VALUENAME "NoDrives"
MIN 0 MAX 134217728 DEFAULT 0
END PART
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY
[strings]
WindowsComponents="Composants Windows"
Explorer="Explorateur Windows"
HideDrives="Masquer les lecteurs dans le poste de travail"
Hidecalc="Masquer les lecteurs"
HideDrivesHelp="Pour calculer cette valeur, il suffit de
reprsenter un nombre binaire o A:=bit 0, B:=bit 1, C:=bit 2,
......, Z:=bit 26.\nSi on dsire masquer le lecteur A:, il
faut mettre le bit 0 1, si on dsire masquer le lecteur F:
on mettra le bit 5 1, etc..., etc...\n\nExemple : Pour
masquer les lecteurs A:, B:, C:, D: et G:, il faut spcifier
la valeur 79 (64 + 8 + 4 + 2 + 1)\n\n Note:\n\n Cette
stratgie peut entrer en conflit avec la stratgie Masquer les
Groupe Prodware
Auteur : Romain GARRIGUES
Page 23/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
lecteurs suivants dans le poste de travail situe dans
common.adm"
DlgHideDrives="Valeur de masquage des lettres de lecteurs :\n"
Sauvegarder le fichier dans C:\Windows\Inf des contrleurs de domaine sous
le nom hidedrv.adm
Crer une nouvelle GPO
Se positionner sur le dossier Configuration Utilisateur > Modles
dadministration. Clic droit, puis Ajout/Suppression de modles.
Cliquer sur Ajouter
Slectionner le fichier hidedrv.adm
De retour dans la console, aller dans Configuration Utilisateur > Modles
dadministration > Composants Windows > Explorateur Windows
I
8
H
7
G
6
F
5
E
4
D
3
C
2
B
1
A
0
Groupe Prodware
Auteur : Romain GARRIGUES
Page 24/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
12.
LE RESULTAT EN IMAGES
Un menu dmarrer rduit sa plus simple expression et commun aux utilisateurs TSE
Le poste de travail ne comporte que les lecteurs rseau monts par script
Page 25/26
FICHE TECHNIQUE
Version 1.1
09/09/2006
FICHE TECHNIQUE
Architecture TSE 2003
Groupe Prodware
Auteur : Romain GARRIGUES
Page 26/26
FICHE TECHNIQUE
Version 1.1
09/09/2006