Partagez un bureau avec vos utilisateurs

Dans ce chapitre, je vous propose de débuter dans l’aventure des bureaux virtuels. Vous allez
pouvoir con gurer Windows Server de sorte que vos utilisateurs puissent utiliser le serveur en tant
que poste de travail. Ainsi, au lieu d’avoir un nombre conséquent de postes à administrer, vous
n’aurez plus que votre serveur à gérer, depuis lequel vous pourrez organiser la gestion des
différents postes de travail.

Activez le bureau à distance


Sous Windows Server, il est très simple d’activer le bureau à distance. Tous les clients
Windows (7, 8, 8.1, 10…) disposent du client des services de bureaux à distance. Ainsi, vous
n’aurez pas de déploiement particulier à effectuer sur vos postes de travail. Il vous suf ra de
con gurer une adresse et de fournir cette dernière à tous vos utilisateurs.

Dans le gestionnaire de serveur, rendez-vous sur le tableau de bord de votre serveur. Sélectionnez
“Bureau à distance” et cliquez sur la mention “Désactivé” (c’est un service désactivé par défaut
pour des raisons de sécurité) a n d’activer le service.

Une fois que vous avez activé le service, voici les quelques opérations à effectuer :

1. Rendez-vous dans les propriétés système de votre serveur, sur l’onglet “Utilisation à distance” ;
2. Cochez la case “Autoriser les connexions à distance à cet ordinateur” ;
3. Décochez “N’autorisez que la connexion des ordinateurs avec authenti cation NLA” ;
4. Ouvrez le port 3389/tcp à destination de votre serveur.

Maintenant, vous pouvez ouvrir le client sur un poste Windows. Pour cela, exécutez la commande
MSTSC :

Client permettant l’accès à un bureau à distance

Entrez l’adresse IP de votre serveur et cliquez sur “Connexion”. Une fenêtre vous invite à vous
authenti er, entrez les identi ants de votre administrateur local et vous devriez avoir un
avertissement de sécurité.

En effet, cette connexion est chiffrée mais avec un certi cat auto-signé par Microsoft, il est
préférable d’utiliser un certi cat de con ance qui ne soit pas auto-signé. Validez et vous
arrivez sur le bureau de votre serveur !

Bureau du serveur à distance.

Ainsi, vous pouvez fournir ce type d’accès à vos utilisateurs. Ils disposeront d’un bureau, sur le
serveur, qui leur sera propre (avec une session personnelle).

Vous devez vous assurer au préalable que les utilisateurs soient membres du groupe local
“Utilisateur du bureau à distance”.

Personnalisez le bureau à distance



Avec le temps, Microsoft a verrouillé ce type d’accès a n d’empêcher les utilisateurs, non
administrateurs, d’effectuer certaines actions. Ainsi vos utilisateurs auront une vue plus restreinte
de votre serveur, ils ne pourront pas, par exemple, arrêter le serveur. De même le gestionnaire de
serveur ne se lancera pas à l’ouverture de session et, même s’il est possible pour l’utilisateur de le
lancer, aucune action ne sera disponible.

Il convient tout de même de personnaliser le bureau d’un utilisateur en réduisant la présence de

certains raccourcis, notamment dans le menu Démarrer (se trouvant à l’emplacement suivant :
C:\Users\nom-d-utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

En supprimant dans ce répertoire des entrées, vous réduirez le nombre de raccourcis

accessibles à votre utilisateur.

Pour effectuer cela de manière générale, avant qu’un utilisateur ne se connecte, rendez-vous à
l’emplacement suivant :
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs .

Pour personnaliser encore plus la session, hors environnement, Active Directory ou les GPO vous
seront d’une grande aide, rendez-vous dans l’éditeur de stratégie de groupe locale. Il s’agit des
même paramètres que les GPO, sauf que l’impact ne sera visible que sur le serveur ou le poste local.

Sachez que cette méthode restreint également les utilisateurs du groupe administrateurs
locaux.

Bureau restreint sur le serveur à tous les utilisateurs

Gérez une ferme de serveurs bureaux à distance


Depuis Windows 2008, le bureau à distance s’est vu considérablement amélioré, notamment avec
des services dédiés à la gestion de bureaux à distance complètement intégrés, permettant
d’augmenter l’expérience utilisateur.

À quoi cela peut-il bien servir ?

Reprenez les différentes contraintes que vous avez précédemment observées, ainsi que d’autres
contraintes propres au partage de bureau :

Vous avez l’obligation de con gurer des restrictions sur les serveurs ;
Vos utilisateurs ne pourront pas conserver leurs sessions s’il y a plusieurs serveurs disponibles ;
La gestion des ressources se fera uniquement sur la disponibilité réseau du serveur et non sur
l’état de ses ressources réellement disponibles ;
Vous ne pourrez pas ajouter un serveur sans impacter la fourniture du service.

La liste peut être assez longue. La réponse à toutes ces contraintes : des services proposés
par Microsoft a n de mettre en œuvre du VDI (pour Virtual Desktop Infrastructure), une
infrastructure de bureau virtuel.

Avec une infrastructure de ce type, vous allez pouvoir aller plus loin dans l’expérience utilisateur,
avec notamment :

Une gestion avancée des sessions (stockées à un emplacement unique, quel que soit le
nombre de sessions) ;
La possibilité de déployer un bureau ou simplement des applications (sans avoir besoin de
les installer sur les postes clients) ;
L’ajout simpli é de serveurs grâce à la création d’une sorte de ferme de serveurs où les
machines virtuelles dédiées au partage de bureau peuvent être plus simplement ajoutées.

Trois options s’offrent alors à vous :

1. Plusieurs serveurs, chacun ayant un rôle spéci que dans le système VDI ;
2. Un unique serveur regroupant tous les rôles VDI ;
3. Des services MultiPoint qui permettent de créer des stations pour des utilisateurs et de leur
donner accès avec des concentrateurs USB.

Voici un tableau comparatif des options de partage de bureau :

Option Plusieurs serveurs Un unique serveur Services MultiPoint

Type Infrastructure de Infrastructure de bureaux Partage de serveur

bureaux virtuels virtuels (VDI)
(VDI)
 Avantages Simpli e la montée Simpli e le déploiement Réduit le coût de la
en charge et permet jusqu’à quelques solution
de gérer de utilisateurs (idéalement
nombreux moins de 25)
utilisateurs

Inconvénients Lourd à installer puis Nombre d’utilisateurs Nombre d’utilisateurs

à administrer réduit, rend dif cile l’ajout réduit, rend dif cile l’ajout
de serveurs pour gérer de serveurs pour gérer
d’autres utilisateurs d’autres utilisateurs

Les options 1 et 2 vous obligent à mettre en œuvre un Active Directory, car le(s) serveur(s)
hébergeant l’infrastructure doi(ven)t être membre(s) d’un domaine.

Les services MultiPoint


Commençons par le plus simple, grâce à ces services, vous allez pouvoir con gurer un serveur qui
sera utilisé par plusieurs claviers, souris et écrans. Simple, non ? Ainsi, vous con gurez ce serveur,
paramétrez ces services, et posez l’unité centrale au milieu d’un îlot de plusieurs bureaux. Chaque
utilisateur dispose de son propre clavier, sa souris et son écran.

Chaque utilisateur disposera également de sa propre session qu’il pourra utiliser comme s’il
était sur son propre ordinateur. Cela permet de considérablement réduire les frais matériels,
mais également de n’avoir qu’une seule unité centrale à gérer.

Par contre,vous vous retrouverez dans les mêmes contraintes que la dernière fois, à savoir :

Un nombre limité de sessions possible ;

Une administration, certes moindre qu’avec le nombre d’ordinateurs qu’il aurait fallu mettre
en place, mais tout de même autant de serveurs MultiPoint que de groupes d’utilisateurs.

Cette solution, de par son coût d’implémentation réduit (1 seule licence) permet de répondre
à certains cas d’usage, tels que les environnements scolaires où il est plus pratique de n’avoir
qu’un seul poste pour une seule classe.

Vous allez vous focaliser sur la mise en œuvre avec un serveur unique. Bien qu’une mise en œuvre
avec plusieurs serveurs nécessite plus de temps, la démarche restera la même. Vous pourrez donc
appliquer ce que vous avez appris sur serveur unique, à la mise en oeuvre de plusieurs serveurs.

Mettez en place un serveur unique regroupant tous les rôles VDI

La première étape dans le VDI Microsoft, consiste à mettre en oeuvre l’intégralité des rôles et
services sur un unique serveur.

Pour cette option de déploiement, vous avez deux scénarios :

1. Utiliser des ordinateurs virtuels ;

2. Utiliser des sessions sur le serveur actuel.

Pour ce cours, je vous propose de mettre en œuvre non pas des ordinateurs virtuels qui
nécessitent Hyper-V et donc la prise en charge de la virtualisation au sein de votre machine
virtuelle, mais d’utiliser des sessions sur le serveur actuel !

À l’aide de l’assistant “Ajout de rôles et fonctionnalités”, ajoutez des services de bureaux à distance,
sélectionnez le scénario avec un unique serveur et déployez uniquement des sessions.

L’installation se lance et vous devrez obligatoirement redémarrer le serveur pour naliser la

con guration.

Les rôles et services de rôle suivants seront installés sur votre serveur :

Service Broker pour les connexions Bureau à distance ;

Accès Web des services Bureau à distance ;
Hôte de session Bureau à distance.

Le Service Broker pour les connexions Bureau à distance permet de diriger les utilisateurs
vers le serveur le moins sollicité de la ferme (pour le coup, ici il n’y en a qu’un) a n de répartir
la charge. Il permet également aux utilisateurs de se reconnecter à leur session existante.

L’Accès Web des services Bureau à distance permet de fournir une interface web pour accéder aux
services de bureau à distance et aux applications disponibles directement sans bureau.

l’Hôte de session Bureau à distance est le serveur qui héberge le bureau et les applications (via
RemoteApp) disponibles aux utilisateurs.

Maintenant que ces services sont installés, il vous est possible de véri er l’installation en vous
rendant sur https://localhost/rdWeb (là encore le certi cat est autosigné). Vous retrouvez alors,
après authenti cation, une page web vous proposant par défaut la calculatrice, Paint et Wordpad :
 Accès à la calculatrice via les services Bureau à distance (il s’agit de
RemoteApp)

Vous pouvez accéder à ce service sur votre réseau après avoir ouvert le port 443 en plus du port
3389.

Cela est particulièrement pratique pour fournir des applications à des utilisateurs sans avoir
à installer quoi que ce soit sur le poste client.

Si vous souhaitez faire apparaître le bureau dans cette liste, aucun souci, rendez-vous sur le
gestionnaire de serveur dans la partie “Services Bureau à distance”, puis dans la partie
“QuickSessionCollection” qui a été créée par défaut (vous pouvez renommer cette collection de
service via ses propriétés).

Ensuite, accéder à partie “Programmes RemoteApp”, ajoutez les programmes dont vous avez
besoin via les tâches disponibles sur le coin supérieur droit de cet encart. Pour le bureau, vous
retrouverez le programme “Connexion bureau à distance”.

C’est un moyen idéal pour fournir un accès à des outils d’administration (tel que le Gestionnaire IIS)
à vos collègues.

Attention, ces services nécessitent l’acquisition de licences d’accès client (CAL) en plus de
toutes les autres licences déjà en votre possession (Windows Server, Accès à Windows Server,
Windows Client).
En résumé


Les services Bureau à distance permettent, en plus de partager un bureau, de publier des
applications que vos utilisateurs pourront utiliser, sans avoir à les installer ;
Windows Server simpli e le déploiement d’infrastructure de bureaux partagés via les
services Bureau à distance ;
Un accès web permet de centraliser tous les accès aux services de bureau à distance ;
Ces services permettent, via l’AD, de continuer la centralisation de l’administration et des
accès, permettant ainsi de garantir la sécurité en maîtrisant les accès aux applications
validées uniquement.

Allez plus loin

Guide Microsoft sur le sujet

Le professeur
Tony Boucheau
Freelance, Expert en infrastructures et Optimiste de la Cyber Sécurité