Terminal Server
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Terminal Server as PDF for free.
More details
- Words: 4,607
- Pages:
Net-Pro
Par : GHAOUTI Mohamed
Résumé Ce document à pour but de vous guider lors de la création d'un serveur Terminal Server jouant le rôle d'un Kiosque applicatif économique façon Citrix metaframe, en utilisant explusivement les fonctions disponibles sous Windows 2003 et son service Terminal Server. En d'autres termes un serveur d'où les utilisateurs connectés disposeront d'un bureau prédéfini avec des applications bien spécifiques et qui ne pourront en aucun cas lancer quoi que ce soit d'autre. Cet guide à été conçu et testé dans un domaine NT 4.0 classique de sorte de ne tirer partie que des fonctions internes de Windows 2003 et non des GPO d'Active Directory. Il a aussi été validé dans un domaine Windows 200x. Suivez les chapitres suivants dans l'ordre afin d'obtenir un serveur Kiosque Windows 2003 fonctionnel.
Sommaire Introduction 1. Installation du rôle Terminal Server 2. Configuration des services Terminal Services 2.1. Configurer un serveur de licences Terminal Server 2.2. Installer des licences d'accès sur le serveur de licences 2.3. Installer des programmes sur le serveur Terminal Server 2.5. Déployer le programme connexion bureau à distance sur des clients non Windows XP 3. Utilisateurs et sécurité du Terminal Server 3.1. Taches préalables à la mise en place de la stratégie 3.2. Configurer une stratégie de sécurité au niveau global 3.3. Altérer la base de registre 3.4. Restriction des stratégies et modifications par NTFS 4. Taches finales 4.1. Configuration RDP du client 4.2. Tests d'accès aux ressources Conclusion
Introduction La plupart des entreprises utilisent Terminal Server pour permettre aux employés un accès à un bureau distant, mais le combine à Citrix Metaframe lorsqu'elles desirent publier certaines applications dans un kiosque applicatif pour les collaborateurs. S'il est vrai que la simplicité d'utilisation de Metaframe a fait sa renommée, la vitesse d'exécution des Terminal Services sous Windows 2003 est maintenant telle que le produit a suffisement rattrapé son retard sur son concurent pour se poser en alternative crédible lorsque l'on ne cherche pas de module de tolérance de panne évolué.... ou qu'on veut limiter le prix des licences clients. Ce guide vous propose de suivre pas à pas la manière de procéder, afin de transformer le bureau traditionnel de Windows 2003 en menu Kiosque façon Metaframe, d'où les utilisateurs ne pourront qu'executer que les programme squi leurs auront été attribué.
1. • Configuration du rôle Terminal Server En utilisant un serveur Terminal Server, les utilisateurs peuvent, depuis un emplacement distant, exécuter des programmes spécifiques, comme ci ceux-ci étaient installés sur leur propre ordinateur. Cette section décrit comment mettre à jour votre serveur Windows 2003 afin de le transformer en Terminal Server.
1.1. • Avant de commencer Avant de configurer l'ordinateur, vérifiez que :
03/02/2009
1/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Le système d'exploitation est configuré correctement. Le serveur ne fait pas partie d'un domaine L'ordinateur répond aux exigences en matière de processeur et de mémoire, afin d'assurer la prise en charge de plusieurs sessions simultanées. Le serveur en lui-même requiert au moins 128Mo de RAM plus une quantité additionnelle d'environ 10Mo par utilisateur distant. Aucun programme n'est installé sur l'ordinateur. Vous devez ajouter le rôle de Terminal Server avant d'installer les programmes auxquels doivent accéder les utilisateurs. Si des programmes sont déjà installés, vous devrez peut être les réinstaller afin de garantir leur fonctionnement correct. Tous les disques existants utilisent le système de fichiers NTFS, les volumes traditionnels en FAT32 ne fournissant pas le niveau requis de sécurité pour les utilisateurs dans un environnement multisession.
1.2. • Installation du rôle Terminal Server Pour configurer le serveur de terminal, démarrer l'assistant en effectuant les actions suivantes Authentifiez vous en tant qu'administrateur à l'invite d'ouverture de session Windows, attendez que le bureau se charge
Cliquez sur démarrage, allez sur paramètres et attendez que se déplie l'option panneau de configuration . Sélectionnez la en cliquant dessus Maintenant que vous êtes dans le panneau de configuration, sélectionnez l'icône « Ajout/Suppression de programmes » Une fenêtre apparaît, listant les outils éventuellement déjà installés. Cliquez sur l'icône Ajouter ou supprimer des composants Windows La fenêtre de choix des composants Windows apparaît alors. Dans celle-ci vous n'avez que deux options à cocher :
• Gestion des licences Terminal Server • Terminal Server Et une à décocher : Configuration renforcée d'Internet Explorer (pour des raisons d'accès scripts) Un message d'alerte apparaît, validez en cliquant sur suivant. Windows vous propose maintenant de gérer le niveau de sécurité du serveur Terminal Server, choisissez l'option par défaut : sécurité totale , validez en cliquant sur suivant Une dernière option est affichée, ne faisant pas partie d'un domaine ou d'une forêt, n'en tenez pas compte et cliquez sur suivant.
L'installation est maintenant lancée, n'oubliez pas de mettre le Cdrom Windows 2003 dans le lecteur approprié, sinon le système vous le demandera Une fois l'installation terminée, le système vous proposera de redémarrer, validez en cliquant sur Oui
Après le redémarrage de l'ordinateur, il est recommandé de passer en revu toutes les modifications apportées grâce au journal configuration de votre serveur, celui-ci se trouve. Dans racine_systeme\debug\configure your server.log
03/02/2009
2/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
2.Configuration des services Terminal Services Vous devez maintenant effectuer les étapes suivantes afin permettre à votre serveur de fonctionner correctement • Configurer un serveur de licences Terminal Server • Installer des licences d'accès sur le serveur de licences • Installer des programmes sur le serveur Terminal Server • Déployer le fichier connexion bureau à distance sur des clients non Windows XP
2.1 • Configurer un serveur de licences Terminal Server Un serveur de licences Terminal Serveur gère les licences des connexions clientes aux services Terminal Server. Vous n'êtes tenu d'activer un serveur de licences qu'à une seule reprise ; il devient ensuite le référentiel des licences Terminal Server. • Pas de serveur de licences Terminal Server sur le réseau L'étape suivante est obligatoire. Si vous ne configurez pas de serveur de licences, le serveur Terminal Serveur n'acceptera plus de connexions lorsque la période d'évaluation se terminera, 120 jours après la première ouverture de session du client. La méthode recommandée pour l'activation est la méthode automatique. Pour l'utiliser, votre ordinateur doit disposer d'un accès à Internet. La procédure suivante décrit les étapes nécessaires à la configuration et à l'activation d'un serveur de licences à l'aide de la méthode automatique. Ouvrez gestion des licences Terminal Server , cliquez avec le bouton droit sur le serveur de licences à activer puis cliquez sur activer le serveur . L'assistant d'activation démarre. Sur la page méthode de connexion , laissez connexion automatique (recommandé) , puis cliquez sur suivant Sur la page informations sur la société , spécifiez au moins les informations nécessaires suivantes :
Prénom Nom Nom de la société Pays ou région
Vérifiez que les informations entrées sont correctes, puis cliquez sur suivant . Sur la page fin de l'assistant , sous état , le message suivant apparaît : ‘' votre serveur de licences a été activé ''. Laissez coché la case démarrer l'assistant gestion de licences Terminal Server , puis faites Terminer .
• Un serveur de licences Terminal Server existe sur le réseau Il n'est pas possible d'utiliser tel quel un serveur de licences Windows 2000 afin de fournir les licences au serveur Windows 2003. Les modèles de licences Windows 2000 ne sont en effet valides que pour l'utilisation d'un serveur Terminal Server Windows 2000. Un serveur Terminal Server 2003 vérifiera d'abord que la licence distribuée est de sa propre version. Microsoft recommandant l'utilisation d'un serveur de licence Terminal Server unique sur le réseau, il est recommandé de procéder à l'installation du serveur de licences Terminal Server comme vu précédement, de désinstaller ou désactiver l'ancien serveur de licences Windows 2000, et de rajouter les licences d'accès Windows 2000 sur le serveur de licence Windows 2003. La procédure suivante décrit les étapes nécessaires à la désinstallation de licences Terminal Server depuis un serveur de licences Windows 2000.
03/02/2009
3/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Ouvrez une session sur le serveur de licences Terminal Server Windows 2000 en tant qu'administrateur. Une fois le bureau chargé, cliquez sur démarrage , choisissez programmes , puis outils d'administration . Cliquez enfin sur l'icône gestionnaire de licences. Sous l'onglet Affichage des produits , choisissez le produit se rapportant au terminal Server 2000 pour lequel vous souhaitez supprimer des licences et cliquez dessus. Dans le menu Licence , cliquez sur Supprimer.
Dans la zone Nombre de licences à supprimer , tapez le nombre de licences à supprimer. Cliquez sur Supprimer .
2.2 • Installer des licences d'accès sur le serveur de licences Avant d'installer des licences d'accès client, vous devez disposer des numéros de contrat de licence, et connaître la méthode utilisée pour les acheter. La procédure suivante décrit les étapes nécessaires à l'installation de licences d'accès client sur un serveur de licences Terminal Server. Cette procédure est valable aussi bien pour des licences Windows 2000 que Windows 2003 L'assistant d'installation de licences d'accès a du démarrer automatiquement, si ce n'est pas le cas, dans l'arborescence de la console Gestion de licences Terminal Server , cliquez avec le bouton droit sur le serveur de licences terminal Serveur à qui attribuer des licences. Cliquez sur installer les licences , puis cliquez sur suivant . Sur la page programme de licence , sélectionnez le programme de licence sous lequel vous avez acquis les licences, puis faites suivant . Sur la page code de licence , tapez le code pour chaque licence/ensemble de licences que vous avez acquis, puis cliquez sur ajouter après chaque entrée. Faites finalement suivant . La page fin d'installation affiche un message indiquant que les licences ont été correctement installées. Cliquez sur terminer .
2.3 • Installer des programmes sur le serveur Terminal Server Il faut maintenant installer les programmes externes nécessaires à l'application. La manière décrite est générique et est ici valable pour Microsoft Office 2003 mais ceci est valable pour tout autre programme traditionnelacceptant l'installation sur un serveur TS. La méthode décrite est celle de l'ajout/suppression de programmes. Il existe d'autres méthodes d'installation, notamment la commande change user , mais celle-ci ne sera pas décrite dans ce manuel. Pour améliorer les performances et réduire le trafic réseau, installez les programmes sur le disque local du serveur Terminal Server et non sur un serveur de fichiers. Vérifiez que l'espace disponible est suffisant pour installer des programmes sur les lecteurs de système de fichiers NTFS.
03/02/2009
4/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Vous devez installer des programmes à partir d'une session de la console du serveur terminal Server. Vous pouvez installer les programmes à partir d'une session distante mais cette méthode d'installation n'est pas recommandée. Le tableau suivant illustre les étapes nécessaires à l'installation de programmes sur un serveur Terminal Server à l'aide de la méthode ajout/suppression de programmes . Tâche Vérifier qu'aucun utilisateur n'a ouvert de session sur un serveur Terminal Server.
Commentaire Envoyer un message à tous les utilisateurs connectés au serveur Terminal Server. L'installation d'un programme nécessite le redémarrage de l'ordinateur, ce qui déconnectera les sessions des utilisateurs. Vous ne devez pas autoriser les utilisateurs à accéder au serveur Terminal Server avant l'installation et la vérification des programmes.
Désactiver temporairement les connexions aux Cliquez avec le bouton droit sur poste de travail , cliquez sur services Terminal propriétés . Cliquez sur l'onglet connexion à distance, puis Server. désactivez la case à cocher autoriser les utilisateurs à se Installer les programmes à partir du menu ajout/suppression de programme.
connecter à distance à cet ordinateur . Vérifiez si vous avez ouvert une session en tant que membre du groupe administrateurs sur le serveur Terminal Server. Ouvrez ajout/suppression de programmes dans le panneau de configuration, puis cliquez sur ajouter de nouveaux programmes . Cliquez sur Cdrom , insérer le Cd dans le lecteur approprié, puis cliquez sur suivant . Si le programme n'est pas livré sur Cdrom mais provient par exemple du réseau, à la fenêtre d'échec, cliquez sur parcourir puis dans la fenêtre d'exploration, indiquez le chemin local ou réseau où se situe l'application. Cliquez sur Ok pour validez le chemin puis une deuxième fois pour lancer le programme d'installation
Vérifiez si le fichier d'installation est correctement indiqué dans la zone ouvrir de la page exécution du programme d'installation ( SETUP.EXE pour office), puis cliquez sur Terminer . Suivez les instructions qui s'affichent dans l'assistant d'installation. Une fois l'installation terminée, vous devrez cliquer deux fois de suite sur suivant dans le sous programme d'installation masqué auparavant ; celui-ci modifiant les propriétés du programme installé afin de lui octroyer des utilisations Terminal Server Tester l'installation Démarrez le(s) programme(s) et exécutez certaines taches de base. Assurez vous que les fonctions principales comme l'enregistrement ou l'impression fonctionnent correctement. C'est la seule méthode qui puisse garantir que vous disposez de tous les accès requis Activer les connexions distantes sur le Cliquez avec le bouton droit sur poste de travail , cliquez sur serveur Terminal propriétés . Cliquez sur l'onglet connexion à distance, puis Server activez la case à cocher autoriser les utilisateurs à se connecter à distance à cet ordinateur .
2.5• Déployer le programme connexion bureau à distance sur des clients non Windows XP Le programme Connexion bureau à distance est installé automatiquement sur Windows XP et Windows Server 2003. Pour des raisons de performance et de sécurité, les ordinateurs exécutant des versions antérieures de Windows doivent être équipés de la dernière version de ce programme.
03/02/2009
5/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Il existe plusieurs manières de déployer le logiciel client :
Demander à chaque utilisateur du Terminal Server de télécharger directement le programme msrdpcli.exe depuis le site Web de Microsoft (une copie du programme est fournie avec ce guide) Placer le fichier .msi dans un dossier partagé résidant sur un serveur du réseau
• Installation depuis le site Internet Microsoft France C'est la méthode la plus simple, puisque les utilisateurs concernés doivent récupérer et installer le programme tous seuls. Pour ceci, ils devront se rendre sur l'Url suivante http://www.microsoft.com/downloads/details.aspx?FamilyID=a8255ffc-4b4a-40e7-a706cde7e9b57e79&displaylang=fr Puis cliquer sur le bouton télécharger. Toutefois, le programme nécessitera d'être administrateur local de la machine, sous peine de plantage au milieu de l'installation.
• Déploiement depuis un dossier partagé C'est la méthode la plus fiable lorsque aucun domaine Active Directory n'est présent sur votre réseau. Avant de déployer le logiciel client, déterminez quel(s) utilisateur(s) auront besoin de l'utiliser. La procédure suivante illustre les étapes à prendre en compte afin de déployer efficacement la dernière version du programme connexion bureau à distance : Partager le dossier de configuration du client : Sur l'ordinateur exécutant Windows Server 2003, ouvrez l'explorateur de fichiers Windows, accédez au dossier windows\system32\clients\Tsclient\Win32, cliquez avec le bouton droit sur partage et sécurité . Sous l'onglet partage , cliquez sur partager ce dossier , puis cliquez sur OK Installer : sur l'ordinateur client, cliquez sur démarrer , sur exécuter , puis dans ouvrir . Taper \\nom_serveur_2003\win32 , double-cliquez sur le fichier msrdpcli.msi pour démarrer l'assistant d'installation du logiciel, puis cliquez sur suivant . Lisez le contrat de licence, cliquez sur j'accepte les termes du contrat de licence , puis sur suivant . Tapez votre nom et votre organisation sur la page Informations client , cliquez sur Toute personne utilisant cet ordinateur , puis sur suivant . Sur la page prêt à installer le programme , cliquez sur Précédent pour consulter ou modifier les paramètres d'installation ou sur Installer pour commencer l'installation . Pour achever l'installation, cliquez sur Terminer .
3. Utilisateurs et sécurité du Terminal Server Dans les étapes précédentes, nous avons mis en place un serveur Terminal Server basique et opérationnel. Toutefois il incombe maintenant de le paramétrer plus finement, afin d'une part, de ne limiter son accès qu'aux utilisateurs en ayant l'utilité ; de l'autre de ne leurs donner accès qu'aux fonctions dont ils ont besoin pour utiliser l'application, en évitant de laisser des portes ouvertes vers Internet ou l'arborescence du serveur. Les utilisateurs ayant la possibilité d'utiliser le service Terminal Server sont par défaut • Le compte administrateur • Le groupe utilisateurs du bureau à distance Vous devez maintenant effectuer les étapes suivantes pour permettre à des utilisateurs spécifiques d'utiliser le serveur Terminal Server : • • • •
Taches préalables à la mise en place de la stratégie Configurer une stratégie de sécurité au niveau global Altérer la base de registre Restriction des stratégies et modifications par NTFS
Attention :
03/02/2009
6/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Les manipulations décrites ci-dessous ne doivent s'appliquer qu'au groupe utilisateurs du bureau à distance , il sera recommandé de ne pas inclure dans ce groupe, un utilisateur déjà présent dans un autre (exemples : utilisateurs ). Il faut bien comprendre que les stratégies très restrictives appliquées au groupe utilisateurs du bureau à distance n'ont été faites que pour des utilisateurs utilisant exclusivement l'accès au serveur Terminal Server. Toute utilisation autre pourrait créer des conflits de sécurité empêchant l'utilisateur d'accéder à ses propres ressources locales.
3.1.Taches préalables à la mise en place de la stratégie Avant de mettre en place la stratégie de sécurité, il convient de préparer le serveur Terminal Server. Ces taches sont obligatoires car elles sont les bases des stratégies de type ‘'empêcher de …''.
• Mise en place de l'utilisateur modèle L'utilisateur modèle est notre base pour la création des utilisateurs disposant d'un profile prédéfini et utilisant les restrictions de sécurité. Sa mise en place consiste en sa création, son paramétrage par défaut et enfin, son transfert.
• Création de l'utilisateur modèle Ouvrez une session Windows en tant qu'administrateur. Une fois le bureau chargé, cliquez avec le bouton droit sur l'icône Poste de travail , puis cliquez sur gérer . La fenêtre gestion de l'ordinateur s'affiche alors. Suivez la procédure suivante afin de créer l'utilisateur modèle. Dépliez l'arborescence utilisateurs et groupes locaux . Donnez lui comme nom TS_model, puis décochez la case l'utilisateur doit changer de mot de passe à la prochaine ouverture de session . Validez en cliquant sur OK , puis cliquez sur fermer. Cliquez maintenant sur l'icône utilisateurs , une liste apparaît à droite. Double cliquez sur le nom de l'utilisateur que vous venez de créer. Une fenêtre apparaît Cliquez sur l'onglet membre de , dans la fenêtre qui s'affiche cliquez sur utilisateurs puis sur supprimer. Le champ est maintenant vide. Cliquez sur ajouter , et entrez Utilisateurs du Bureau à distance dans le champ entrez les noms des objets à sélectionner . Validez en cliquant sur OK. Vous disposez maintenant d'un modèle d'utilisateur qui va servir au premier paramétrage du profile.
• Paramétrage du profile de l'utilisateur modèle Ouvrez une session Windows en tant que TS_model. Une fois le bureau chargé, cliquez avec le bouton droit sur la barre des taches puis cliquez sur propriétés. Une fenêtre ressemblant a l'illustration ci-dessous apparaît alors :
03/02/2009
7/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Suivez les informations ci-dessous afin de la paramétrer : Cliquez sur l'onglet menu démarrer . Cliquez –s'il n'est pas déjà sélectionné- sur le bouton menu démarrer , puis sur Personnaliser . Dans l'onglet général changez la valeur du champ programmes 6 à 0 Dans l'onglet avancé , suivez le tableau ci-dessous : décocher les boutons
activer le glisser-déplacer aide et support commande exécuter défilement des programmes favoris réseau imprimante et télécopieurs menu favoris rechercher
Modifiez les éléments suivants connexions réseau en cliquant sur le bouton "ne ma musique pas afficher cet élément" mes documents mes images outils d'administration système panneau de configuration poste de travail
Une fois cette étape terminée, déconnectez vous. Loguez vous en tant qu'administrateur puis rendez vous dans le dossier : C:\Documents and Settings\TS_model\Bureau Créez y des raccourcis vers les programmes devant être disponibles sur le serveur Kiosque. Si vous vous apercevez que vous avez oublié un élément, il vous sera toujours possible d'en rajouter d'autres au même endroit dans le futur. Attention : si certaines applications sont de type Web, créez un raccourci par lien hypertexte car l'utilisateur n'auras jamais accès à la barre recherche d'Internet Explorer
• Transfert du profile de l'utilisateur modèle
03/02/2009
8/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Connectez vous en administrateur. Une fois le chargement du bureau terminé, ouvrez un explorateur de fichiers Windows et créez le dossier Profil . Cliquez avec le bouton droit dessus, puis cliquez sur propriétés. Allez dans l'onglet sécurité et suivez les instructions suivantes : Ajoutez le groupe utilisateurs du bureau à distance . Pour se faire, cliquez sur ajouter puis entrez utilisateurs du bureau à distance dans le champs entrez les noms des objets à sélectionner . Cliquez sur OK pour valider. De retour dans la fenêtre sécurité , sélectionnez utilisateurs du bureau à distance . Une liste d'autorisations apparaît dans le champ du bas. Dans la colonne Autoriser , cliquez sur la case en face de lecture et exécution . Revenez ensuite au bureau Windows. Cliquez avec le bouton droit sur poste de travail puis cliquez sur propriétés . Cliquez ensuite sur l'onglet avancé puis sur le bouton paramètres du menu profil des utilisateurs . Vous arrivez à une fenêtre ressemblant à celle-ci :
Cliquez sur le profil TS_model puis sur le bouton copier dans . Dans la fenêtre qui apparaît remplissez le champ copier le profil dans avec le chemin : c:\profil. Lorsaue Windows vous demande si vous voulez vraiment continuer, cliquez sur oui . Cliquez ensuite sur le bouton modifier de la section autorisé a utiliser. Entrez Utilisateurs du Bureau à distance dans le champ entrez les noms des objets à sélectionner . Validez en cliquant sur OK . Si vous obtenez une erreur spécifiant que le nom n'a pas été trouvé, cliquez sur le bouton types d'objet , puis cochez la case Groupes. Validez en cliquant sur Ok puis e ntrez Utilisateurs du Bureau à distance dans le champ entrez les noms des objets à sélectionner . Validez ensuite à chaque fois par ok afin de vous retrouver sur le bureau. Lancez maintenant un explorateur de fichiers Windows et allez dans c:\profil. Vous trouverez à la racine du dossier un fichier ntuser.dat . Renommez le en ntuser.MAN . Accédez maintenant au dossier c:\profil\bureau. Sélectionnez tous les documents qui s'y trouvent puis cliquez sur propriétés. Ajoutez le groupe utilisateurs du bureau à distance . Pour se faire, cliquez sur ajouter puis entrez utilisateurs du bureau à distance dans le champs entrez les noms des objets à sélectionner . Cliquez sur OK pour valider. De retour dans la fenêtre sécurité , sélectionnez utilisateurs du bureau à distance . Une liste d'autorisations apparaît dans le champ du bas. Dans la colonne Autoriser , cliquez sur la case en face de lecture et exécution .
03/02/2009
9/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
• Création du groupe d'utilisateurs non TS Le groupe utilisateurs du bureau à distance faisant partie du groupe utilisateurs , il ne sera pas possible d'affiner la stratégie de groupe entre les deux. Nous allons donc créer un nouveau groupe, assimilable au groupe prédéfini utilisateurs , mais sur lequel la stratégie ne s'appliquera pas. Ouvrez une session Windows. Une fois le bureau chargé, cliquez avec le bouton droit sur l'icône Poste de travail , puis cliquez sur gérer . La fenêtre gestion de l'ordinateur s'affiche alors. Suivez la procédure suivante afin de créer le groupe d'utilisateurs non TS. Dépliez l'arborescence utilisateurs et groupes locaux . Cliquez avec le bouton droit sur groupes , cliquez sur nouveau groupe , un formulaire apparaît. Remplissez le champ Nom du groupe avec groupe nonTS , et le champ Description avec utilisateurs n'utilisant pas la stratégie dédiée Terminal Server. Ajoutez y éventuellement des utilisateurs locaux déjà créés et n'utilisant pas le service Terminal Server. Validez en cliquant sur Créer . • Préparation et réglages d'Internet Explorer Ouvrez une session Windows avec l'utilisateur multisession. Attendez que le bureau se charge puis lancez Internet Explorer. Dans le menu Outils, choisissez Options Internet . Cliquez sur l'onglet Sécurité puis sur le bouton Personnaliser le niveau . Assurez-vous que les 3 boutons radio Activer de la zone Script sont bien cochés. Terminez en cliquant sur OK . Cache Dans le menu Outils, choisissez Options Internet . Cliquez sur l'onglet Général puis sur le bouton Paramètres… Assurez-vous que le bouton à chaque visite de la page est coché. Terminez en cliquant sur OK . Après être revenu à la page par défaut d'Internet Explorer, cliquez avec le bouton droit au niveau des icones. Une fenêtre apparaît. Décochez les options barre d'adresse et liens si elles le sont. Laissez boutons standard . Fermez ensuite le navigateur et relancez le pour vérifiez que les barres ne réapparaissent pas. Fermez enfin votre session.
page 2
4. Taches finales Votre serveur Terminal Server est maintenant prêt à l'utilisation. Il convient toutefois d'effectuer certaines taches avant mise en production • Configuration RDP du client terminal HP t5000 • Tests d'accès aux ressources
4.1 Configuration RDP du client La procédure suivante décrit la configuration du client connexion bureau à distance sur un terminal HP t5000, elle est toutefois identique à celle configurable sur un client lourd traditionnel. Assurez vous en revanche d'avoir bien installé le programme bureau à distance comme décrit au chapitre adéquoit Ouvrez une session sur le client léger. Une fois le bureau chargé, cliquez sur start , pointez sur programs et cliquez sur l'icône RDP . La fenêtre principale de connexion s'ouvre alors
03/02/2009
10/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Cliquez sur le bouton options>> , la fenêtre d'option apparaît alors. Dans l'onglet général , entrez le nom du serveur Terminal Server 2003 dans le champ ordinateur , puis saisissez les noms et mot de passe de l'utilisateur multisession dans leurs champs respectifs. Laissez le champ domaine vide. Vous obtenez alors une fenêtre ressemblant à celle-ci :
Dans l'onglet affichage , laissez le nombre de couleurs par défaut à hautes (16 bits). Si vous utilisez un client lourd pour vous connecter, il vous est aussi possible d'imposer la résolution. Choisissez la taille du bureau à distance la plus appropriée à vos besoins entre 800x600pour la performance et 1024x768 pour la qualité. Assurez vous que l'onglet avancé est par défaut sur le choix modem (56 kbps) , dans la mesure ou aucune animation en arrière-plan n'est disponible avec la configuration du serveur effectuée précédemment. Revenez ensuite à l'onglet général et enregistrez les paramètres actuels. Pour se faire, cliquez sur enregistrer sous . Laissez les paramètres de destination et de nom par défaut et validez en cliquant sur
03/02/2009
11/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Ok . Fermez le programme connexion bureau à distance puis relancez le, afin de vous assurez que les paramètres remplis sont dorénavant ceux qui sont pris par défaut par le programme.
4.2 • Tests d'accès aux ressources Maintenant que les parties serveurs et clients sont achevées, il convient de faire plusieurs tests d'accès aux ressources avec l'utilisateur multisession afin de vous assurer que tout fonctionne correctement, on pourra citer en exemple (à modifier suivant les applications disponibles sur votre serveur Kiosque) : • • • • •
Une Une Une Une Une
tentative d'enregistrement de page Web sous Internet Explorer modification des paramètres Internet impression de Page Web procédure appel aux logiciels disponibles sur le bureau exportation de données sous Microsoft Excel 2003 suivie d'une impression
Conclusion Si vous avez correctement suivi les manipulations décrites ci-dessus, vous disposez maintenant d'un serveur kiosque sous Windows 2003 entièrement fonctionnel et comparable à son homologue sous Citrix Metaframe. Il ne tient qu'à vous de modifier la maquette que vous venez de monter en lui ajoutant par exemple des règles IPSec afin de crypter toutes les données émises vers le réseau et en restreignant son accès aux seules machines authorisées.
03/02/2009
12/12
[email protected]
Par : GHAOUTI Mohamed
Résumé Ce document à pour but de vous guider lors de la création d'un serveur Terminal Server jouant le rôle d'un Kiosque applicatif économique façon Citrix metaframe, en utilisant explusivement les fonctions disponibles sous Windows 2003 et son service Terminal Server. En d'autres termes un serveur d'où les utilisateurs connectés disposeront d'un bureau prédéfini avec des applications bien spécifiques et qui ne pourront en aucun cas lancer quoi que ce soit d'autre. Cet guide à été conçu et testé dans un domaine NT 4.0 classique de sorte de ne tirer partie que des fonctions internes de Windows 2003 et non des GPO d'Active Directory. Il a aussi été validé dans un domaine Windows 200x. Suivez les chapitres suivants dans l'ordre afin d'obtenir un serveur Kiosque Windows 2003 fonctionnel.
Sommaire Introduction 1. Installation du rôle Terminal Server 2. Configuration des services Terminal Services 2.1. Configurer un serveur de licences Terminal Server 2.2. Installer des licences d'accès sur le serveur de licences 2.3. Installer des programmes sur le serveur Terminal Server 2.5. Déployer le programme connexion bureau à distance sur des clients non Windows XP 3. Utilisateurs et sécurité du Terminal Server 3.1. Taches préalables à la mise en place de la stratégie 3.2. Configurer une stratégie de sécurité au niveau global 3.3. Altérer la base de registre 3.4. Restriction des stratégies et modifications par NTFS 4. Taches finales 4.1. Configuration RDP du client 4.2. Tests d'accès aux ressources Conclusion
Introduction La plupart des entreprises utilisent Terminal Server pour permettre aux employés un accès à un bureau distant, mais le combine à Citrix Metaframe lorsqu'elles desirent publier certaines applications dans un kiosque applicatif pour les collaborateurs. S'il est vrai que la simplicité d'utilisation de Metaframe a fait sa renommée, la vitesse d'exécution des Terminal Services sous Windows 2003 est maintenant telle que le produit a suffisement rattrapé son retard sur son concurent pour se poser en alternative crédible lorsque l'on ne cherche pas de module de tolérance de panne évolué.... ou qu'on veut limiter le prix des licences clients. Ce guide vous propose de suivre pas à pas la manière de procéder, afin de transformer le bureau traditionnel de Windows 2003 en menu Kiosque façon Metaframe, d'où les utilisateurs ne pourront qu'executer que les programme squi leurs auront été attribué.
1. • Configuration du rôle Terminal Server En utilisant un serveur Terminal Server, les utilisateurs peuvent, depuis un emplacement distant, exécuter des programmes spécifiques, comme ci ceux-ci étaient installés sur leur propre ordinateur. Cette section décrit comment mettre à jour votre serveur Windows 2003 afin de le transformer en Terminal Server.
1.1. • Avant de commencer Avant de configurer l'ordinateur, vérifiez que :
03/02/2009
1/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Le système d'exploitation est configuré correctement. Le serveur ne fait pas partie d'un domaine L'ordinateur répond aux exigences en matière de processeur et de mémoire, afin d'assurer la prise en charge de plusieurs sessions simultanées. Le serveur en lui-même requiert au moins 128Mo de RAM plus une quantité additionnelle d'environ 10Mo par utilisateur distant. Aucun programme n'est installé sur l'ordinateur. Vous devez ajouter le rôle de Terminal Server avant d'installer les programmes auxquels doivent accéder les utilisateurs. Si des programmes sont déjà installés, vous devrez peut être les réinstaller afin de garantir leur fonctionnement correct. Tous les disques existants utilisent le système de fichiers NTFS, les volumes traditionnels en FAT32 ne fournissant pas le niveau requis de sécurité pour les utilisateurs dans un environnement multisession.
1.2. • Installation du rôle Terminal Server Pour configurer le serveur de terminal, démarrer l'assistant en effectuant les actions suivantes Authentifiez vous en tant qu'administrateur à l'invite d'ouverture de session Windows, attendez que le bureau se charge
Cliquez sur démarrage, allez sur paramètres et attendez que se déplie l'option panneau de configuration . Sélectionnez la en cliquant dessus Maintenant que vous êtes dans le panneau de configuration, sélectionnez l'icône « Ajout/Suppression de programmes » Une fenêtre apparaît, listant les outils éventuellement déjà installés. Cliquez sur l'icône Ajouter ou supprimer des composants Windows La fenêtre de choix des composants Windows apparaît alors. Dans celle-ci vous n'avez que deux options à cocher :
• Gestion des licences Terminal Server • Terminal Server Et une à décocher : Configuration renforcée d'Internet Explorer (pour des raisons d'accès scripts) Un message d'alerte apparaît, validez en cliquant sur suivant. Windows vous propose maintenant de gérer le niveau de sécurité du serveur Terminal Server, choisissez l'option par défaut : sécurité totale , validez en cliquant sur suivant Une dernière option est affichée, ne faisant pas partie d'un domaine ou d'une forêt, n'en tenez pas compte et cliquez sur suivant.
L'installation est maintenant lancée, n'oubliez pas de mettre le Cdrom Windows 2003 dans le lecteur approprié, sinon le système vous le demandera Une fois l'installation terminée, le système vous proposera de redémarrer, validez en cliquant sur Oui
Après le redémarrage de l'ordinateur, il est recommandé de passer en revu toutes les modifications apportées grâce au journal configuration de votre serveur, celui-ci se trouve. Dans racine_systeme\debug\configure your server.log
03/02/2009
2/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
2.Configuration des services Terminal Services Vous devez maintenant effectuer les étapes suivantes afin permettre à votre serveur de fonctionner correctement • Configurer un serveur de licences Terminal Server • Installer des licences d'accès sur le serveur de licences • Installer des programmes sur le serveur Terminal Server • Déployer le fichier connexion bureau à distance sur des clients non Windows XP
2.1 • Configurer un serveur de licences Terminal Server Un serveur de licences Terminal Serveur gère les licences des connexions clientes aux services Terminal Server. Vous n'êtes tenu d'activer un serveur de licences qu'à une seule reprise ; il devient ensuite le référentiel des licences Terminal Server. • Pas de serveur de licences Terminal Server sur le réseau L'étape suivante est obligatoire. Si vous ne configurez pas de serveur de licences, le serveur Terminal Serveur n'acceptera plus de connexions lorsque la période d'évaluation se terminera, 120 jours après la première ouverture de session du client. La méthode recommandée pour l'activation est la méthode automatique. Pour l'utiliser, votre ordinateur doit disposer d'un accès à Internet. La procédure suivante décrit les étapes nécessaires à la configuration et à l'activation d'un serveur de licences à l'aide de la méthode automatique. Ouvrez gestion des licences Terminal Server , cliquez avec le bouton droit sur le serveur de licences à activer puis cliquez sur activer le serveur . L'assistant d'activation démarre. Sur la page méthode de connexion , laissez connexion automatique (recommandé) , puis cliquez sur suivant Sur la page informations sur la société , spécifiez au moins les informations nécessaires suivantes :
Prénom Nom Nom de la société Pays ou région
Vérifiez que les informations entrées sont correctes, puis cliquez sur suivant . Sur la page fin de l'assistant , sous état , le message suivant apparaît : ‘' votre serveur de licences a été activé ''. Laissez coché la case démarrer l'assistant gestion de licences Terminal Server , puis faites Terminer .
• Un serveur de licences Terminal Server existe sur le réseau Il n'est pas possible d'utiliser tel quel un serveur de licences Windows 2000 afin de fournir les licences au serveur Windows 2003. Les modèles de licences Windows 2000 ne sont en effet valides que pour l'utilisation d'un serveur Terminal Server Windows 2000. Un serveur Terminal Server 2003 vérifiera d'abord que la licence distribuée est de sa propre version. Microsoft recommandant l'utilisation d'un serveur de licence Terminal Server unique sur le réseau, il est recommandé de procéder à l'installation du serveur de licences Terminal Server comme vu précédement, de désinstaller ou désactiver l'ancien serveur de licences Windows 2000, et de rajouter les licences d'accès Windows 2000 sur le serveur de licence Windows 2003. La procédure suivante décrit les étapes nécessaires à la désinstallation de licences Terminal Server depuis un serveur de licences Windows 2000.
03/02/2009
3/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Ouvrez une session sur le serveur de licences Terminal Server Windows 2000 en tant qu'administrateur. Une fois le bureau chargé, cliquez sur démarrage , choisissez programmes , puis outils d'administration . Cliquez enfin sur l'icône gestionnaire de licences. Sous l'onglet Affichage des produits , choisissez le produit se rapportant au terminal Server 2000 pour lequel vous souhaitez supprimer des licences et cliquez dessus. Dans le menu Licence , cliquez sur Supprimer.
Dans la zone Nombre de licences à supprimer , tapez le nombre de licences à supprimer. Cliquez sur Supprimer .
2.2 • Installer des licences d'accès sur le serveur de licences Avant d'installer des licences d'accès client, vous devez disposer des numéros de contrat de licence, et connaître la méthode utilisée pour les acheter. La procédure suivante décrit les étapes nécessaires à l'installation de licences d'accès client sur un serveur de licences Terminal Server. Cette procédure est valable aussi bien pour des licences Windows 2000 que Windows 2003 L'assistant d'installation de licences d'accès a du démarrer automatiquement, si ce n'est pas le cas, dans l'arborescence de la console Gestion de licences Terminal Server , cliquez avec le bouton droit sur le serveur de licences terminal Serveur à qui attribuer des licences. Cliquez sur installer les licences , puis cliquez sur suivant . Sur la page programme de licence , sélectionnez le programme de licence sous lequel vous avez acquis les licences, puis faites suivant . Sur la page code de licence , tapez le code pour chaque licence/ensemble de licences que vous avez acquis, puis cliquez sur ajouter après chaque entrée. Faites finalement suivant . La page fin d'installation affiche un message indiquant que les licences ont été correctement installées. Cliquez sur terminer .
2.3 • Installer des programmes sur le serveur Terminal Server Il faut maintenant installer les programmes externes nécessaires à l'application. La manière décrite est générique et est ici valable pour Microsoft Office 2003 mais ceci est valable pour tout autre programme traditionnelacceptant l'installation sur un serveur TS. La méthode décrite est celle de l'ajout/suppression de programmes. Il existe d'autres méthodes d'installation, notamment la commande change user , mais celle-ci ne sera pas décrite dans ce manuel. Pour améliorer les performances et réduire le trafic réseau, installez les programmes sur le disque local du serveur Terminal Server et non sur un serveur de fichiers. Vérifiez que l'espace disponible est suffisant pour installer des programmes sur les lecteurs de système de fichiers NTFS.
03/02/2009
4/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Vous devez installer des programmes à partir d'une session de la console du serveur terminal Server. Vous pouvez installer les programmes à partir d'une session distante mais cette méthode d'installation n'est pas recommandée. Le tableau suivant illustre les étapes nécessaires à l'installation de programmes sur un serveur Terminal Server à l'aide de la méthode ajout/suppression de programmes . Tâche Vérifier qu'aucun utilisateur n'a ouvert de session sur un serveur Terminal Server.
Commentaire Envoyer un message à tous les utilisateurs connectés au serveur Terminal Server. L'installation d'un programme nécessite le redémarrage de l'ordinateur, ce qui déconnectera les sessions des utilisateurs. Vous ne devez pas autoriser les utilisateurs à accéder au serveur Terminal Server avant l'installation et la vérification des programmes.
Désactiver temporairement les connexions aux Cliquez avec le bouton droit sur poste de travail , cliquez sur services Terminal propriétés . Cliquez sur l'onglet connexion à distance, puis Server. désactivez la case à cocher autoriser les utilisateurs à se Installer les programmes à partir du menu ajout/suppression de programme.
connecter à distance à cet ordinateur . Vérifiez si vous avez ouvert une session en tant que membre du groupe administrateurs sur le serveur Terminal Server. Ouvrez ajout/suppression de programmes dans le panneau de configuration, puis cliquez sur ajouter de nouveaux programmes . Cliquez sur Cdrom , insérer le Cd dans le lecteur approprié, puis cliquez sur suivant . Si le programme n'est pas livré sur Cdrom mais provient par exemple du réseau, à la fenêtre d'échec, cliquez sur parcourir puis dans la fenêtre d'exploration, indiquez le chemin local ou réseau où se situe l'application. Cliquez sur Ok pour validez le chemin puis une deuxième fois pour lancer le programme d'installation
Vérifiez si le fichier d'installation est correctement indiqué dans la zone ouvrir de la page exécution du programme d'installation ( SETUP.EXE pour office), puis cliquez sur Terminer . Suivez les instructions qui s'affichent dans l'assistant d'installation. Une fois l'installation terminée, vous devrez cliquer deux fois de suite sur suivant dans le sous programme d'installation masqué auparavant ; celui-ci modifiant les propriétés du programme installé afin de lui octroyer des utilisations Terminal Server Tester l'installation Démarrez le(s) programme(s) et exécutez certaines taches de base. Assurez vous que les fonctions principales comme l'enregistrement ou l'impression fonctionnent correctement. C'est la seule méthode qui puisse garantir que vous disposez de tous les accès requis Activer les connexions distantes sur le Cliquez avec le bouton droit sur poste de travail , cliquez sur serveur Terminal propriétés . Cliquez sur l'onglet connexion à distance, puis Server activez la case à cocher autoriser les utilisateurs à se connecter à distance à cet ordinateur .
2.5• Déployer le programme connexion bureau à distance sur des clients non Windows XP Le programme Connexion bureau à distance est installé automatiquement sur Windows XP et Windows Server 2003. Pour des raisons de performance et de sécurité, les ordinateurs exécutant des versions antérieures de Windows doivent être équipés de la dernière version de ce programme.
03/02/2009
5/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Il existe plusieurs manières de déployer le logiciel client :
Demander à chaque utilisateur du Terminal Server de télécharger directement le programme msrdpcli.exe depuis le site Web de Microsoft (une copie du programme est fournie avec ce guide) Placer le fichier .msi dans un dossier partagé résidant sur un serveur du réseau
• Installation depuis le site Internet Microsoft France C'est la méthode la plus simple, puisque les utilisateurs concernés doivent récupérer et installer le programme tous seuls. Pour ceci, ils devront se rendre sur l'Url suivante http://www.microsoft.com/downloads/details.aspx?FamilyID=a8255ffc-4b4a-40e7-a706cde7e9b57e79&displaylang=fr Puis cliquer sur le bouton télécharger. Toutefois, le programme nécessitera d'être administrateur local de la machine, sous peine de plantage au milieu de l'installation.
• Déploiement depuis un dossier partagé C'est la méthode la plus fiable lorsque aucun domaine Active Directory n'est présent sur votre réseau. Avant de déployer le logiciel client, déterminez quel(s) utilisateur(s) auront besoin de l'utiliser. La procédure suivante illustre les étapes à prendre en compte afin de déployer efficacement la dernière version du programme connexion bureau à distance : Partager le dossier de configuration du client : Sur l'ordinateur exécutant Windows Server 2003, ouvrez l'explorateur de fichiers Windows, accédez au dossier windows\system32\clients\Tsclient\Win32, cliquez avec le bouton droit sur partage et sécurité . Sous l'onglet partage , cliquez sur partager ce dossier , puis cliquez sur OK Installer : sur l'ordinateur client, cliquez sur démarrer , sur exécuter , puis dans ouvrir . Taper \\nom_serveur_2003\win32 , double-cliquez sur le fichier msrdpcli.msi pour démarrer l'assistant d'installation du logiciel, puis cliquez sur suivant . Lisez le contrat de licence, cliquez sur j'accepte les termes du contrat de licence , puis sur suivant . Tapez votre nom et votre organisation sur la page Informations client , cliquez sur Toute personne utilisant cet ordinateur , puis sur suivant . Sur la page prêt à installer le programme , cliquez sur Précédent pour consulter ou modifier les paramètres d'installation ou sur Installer pour commencer l'installation . Pour achever l'installation, cliquez sur Terminer .
3. Utilisateurs et sécurité du Terminal Server Dans les étapes précédentes, nous avons mis en place un serveur Terminal Server basique et opérationnel. Toutefois il incombe maintenant de le paramétrer plus finement, afin d'une part, de ne limiter son accès qu'aux utilisateurs en ayant l'utilité ; de l'autre de ne leurs donner accès qu'aux fonctions dont ils ont besoin pour utiliser l'application, en évitant de laisser des portes ouvertes vers Internet ou l'arborescence du serveur. Les utilisateurs ayant la possibilité d'utiliser le service Terminal Server sont par défaut • Le compte administrateur • Le groupe utilisateurs du bureau à distance Vous devez maintenant effectuer les étapes suivantes pour permettre à des utilisateurs spécifiques d'utiliser le serveur Terminal Server : • • • •
Taches préalables à la mise en place de la stratégie Configurer une stratégie de sécurité au niveau global Altérer la base de registre Restriction des stratégies et modifications par NTFS
Attention :
03/02/2009
6/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Les manipulations décrites ci-dessous ne doivent s'appliquer qu'au groupe utilisateurs du bureau à distance , il sera recommandé de ne pas inclure dans ce groupe, un utilisateur déjà présent dans un autre (exemples : utilisateurs ). Il faut bien comprendre que les stratégies très restrictives appliquées au groupe utilisateurs du bureau à distance n'ont été faites que pour des utilisateurs utilisant exclusivement l'accès au serveur Terminal Server. Toute utilisation autre pourrait créer des conflits de sécurité empêchant l'utilisateur d'accéder à ses propres ressources locales.
3.1.Taches préalables à la mise en place de la stratégie Avant de mettre en place la stratégie de sécurité, il convient de préparer le serveur Terminal Server. Ces taches sont obligatoires car elles sont les bases des stratégies de type ‘'empêcher de …''.
• Mise en place de l'utilisateur modèle L'utilisateur modèle est notre base pour la création des utilisateurs disposant d'un profile prédéfini et utilisant les restrictions de sécurité. Sa mise en place consiste en sa création, son paramétrage par défaut et enfin, son transfert.
• Création de l'utilisateur modèle Ouvrez une session Windows en tant qu'administrateur. Une fois le bureau chargé, cliquez avec le bouton droit sur l'icône Poste de travail , puis cliquez sur gérer . La fenêtre gestion de l'ordinateur s'affiche alors. Suivez la procédure suivante afin de créer l'utilisateur modèle. Dépliez l'arborescence utilisateurs et groupes locaux . Donnez lui comme nom TS_model, puis décochez la case l'utilisateur doit changer de mot de passe à la prochaine ouverture de session . Validez en cliquant sur OK , puis cliquez sur fermer. Cliquez maintenant sur l'icône utilisateurs , une liste apparaît à droite. Double cliquez sur le nom de l'utilisateur que vous venez de créer. Une fenêtre apparaît Cliquez sur l'onglet membre de , dans la fenêtre qui s'affiche cliquez sur utilisateurs puis sur supprimer. Le champ est maintenant vide. Cliquez sur ajouter , et entrez Utilisateurs du Bureau à distance dans le champ entrez les noms des objets à sélectionner . Validez en cliquant sur OK. Vous disposez maintenant d'un modèle d'utilisateur qui va servir au premier paramétrage du profile.
• Paramétrage du profile de l'utilisateur modèle Ouvrez une session Windows en tant que TS_model. Une fois le bureau chargé, cliquez avec le bouton droit sur la barre des taches puis cliquez sur propriétés. Une fenêtre ressemblant a l'illustration ci-dessous apparaît alors :
03/02/2009
7/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Suivez les informations ci-dessous afin de la paramétrer : Cliquez sur l'onglet menu démarrer . Cliquez –s'il n'est pas déjà sélectionné- sur le bouton menu démarrer , puis sur Personnaliser . Dans l'onglet général changez la valeur du champ programmes 6 à 0 Dans l'onglet avancé , suivez le tableau ci-dessous : décocher les boutons
activer le glisser-déplacer aide et support commande exécuter défilement des programmes favoris réseau imprimante et télécopieurs menu favoris rechercher
Modifiez les éléments suivants connexions réseau en cliquant sur le bouton "ne ma musique pas afficher cet élément" mes documents mes images outils d'administration système panneau de configuration poste de travail
Une fois cette étape terminée, déconnectez vous. Loguez vous en tant qu'administrateur puis rendez vous dans le dossier : C:\Documents and Settings\TS_model\Bureau Créez y des raccourcis vers les programmes devant être disponibles sur le serveur Kiosque. Si vous vous apercevez que vous avez oublié un élément, il vous sera toujours possible d'en rajouter d'autres au même endroit dans le futur. Attention : si certaines applications sont de type Web, créez un raccourci par lien hypertexte car l'utilisateur n'auras jamais accès à la barre recherche d'Internet Explorer
• Transfert du profile de l'utilisateur modèle
03/02/2009
8/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Connectez vous en administrateur. Une fois le chargement du bureau terminé, ouvrez un explorateur de fichiers Windows et créez le dossier Profil . Cliquez avec le bouton droit dessus, puis cliquez sur propriétés. Allez dans l'onglet sécurité et suivez les instructions suivantes : Ajoutez le groupe utilisateurs du bureau à distance . Pour se faire, cliquez sur ajouter puis entrez utilisateurs du bureau à distance dans le champs entrez les noms des objets à sélectionner . Cliquez sur OK pour valider. De retour dans la fenêtre sécurité , sélectionnez utilisateurs du bureau à distance . Une liste d'autorisations apparaît dans le champ du bas. Dans la colonne Autoriser , cliquez sur la case en face de lecture et exécution . Revenez ensuite au bureau Windows. Cliquez avec le bouton droit sur poste de travail puis cliquez sur propriétés . Cliquez ensuite sur l'onglet avancé puis sur le bouton paramètres du menu profil des utilisateurs . Vous arrivez à une fenêtre ressemblant à celle-ci :
Cliquez sur le profil TS_model puis sur le bouton copier dans . Dans la fenêtre qui apparaît remplissez le champ copier le profil dans avec le chemin : c:\profil. Lorsaue Windows vous demande si vous voulez vraiment continuer, cliquez sur oui . Cliquez ensuite sur le bouton modifier de la section autorisé a utiliser. Entrez Utilisateurs du Bureau à distance dans le champ entrez les noms des objets à sélectionner . Validez en cliquant sur OK . Si vous obtenez une erreur spécifiant que le nom n'a pas été trouvé, cliquez sur le bouton types d'objet , puis cochez la case Groupes. Validez en cliquant sur Ok puis e ntrez Utilisateurs du Bureau à distance dans le champ entrez les noms des objets à sélectionner . Validez ensuite à chaque fois par ok afin de vous retrouver sur le bureau. Lancez maintenant un explorateur de fichiers Windows et allez dans c:\profil. Vous trouverez à la racine du dossier un fichier ntuser.dat . Renommez le en ntuser.MAN . Accédez maintenant au dossier c:\profil\bureau. Sélectionnez tous les documents qui s'y trouvent puis cliquez sur propriétés. Ajoutez le groupe utilisateurs du bureau à distance . Pour se faire, cliquez sur ajouter puis entrez utilisateurs du bureau à distance dans le champs entrez les noms des objets à sélectionner . Cliquez sur OK pour valider. De retour dans la fenêtre sécurité , sélectionnez utilisateurs du bureau à distance . Une liste d'autorisations apparaît dans le champ du bas. Dans la colonne Autoriser , cliquez sur la case en face de lecture et exécution .
03/02/2009
9/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
• Création du groupe d'utilisateurs non TS Le groupe utilisateurs du bureau à distance faisant partie du groupe utilisateurs , il ne sera pas possible d'affiner la stratégie de groupe entre les deux. Nous allons donc créer un nouveau groupe, assimilable au groupe prédéfini utilisateurs , mais sur lequel la stratégie ne s'appliquera pas. Ouvrez une session Windows. Une fois le bureau chargé, cliquez avec le bouton droit sur l'icône Poste de travail , puis cliquez sur gérer . La fenêtre gestion de l'ordinateur s'affiche alors. Suivez la procédure suivante afin de créer le groupe d'utilisateurs non TS. Dépliez l'arborescence utilisateurs et groupes locaux . Cliquez avec le bouton droit sur groupes , cliquez sur nouveau groupe , un formulaire apparaît. Remplissez le champ Nom du groupe avec groupe nonTS , et le champ Description avec utilisateurs n'utilisant pas la stratégie dédiée Terminal Server. Ajoutez y éventuellement des utilisateurs locaux déjà créés et n'utilisant pas le service Terminal Server. Validez en cliquant sur Créer . • Préparation et réglages d'Internet Explorer Ouvrez une session Windows avec l'utilisateur multisession. Attendez que le bureau se charge puis lancez Internet Explorer. Dans le menu Outils, choisissez Options Internet . Cliquez sur l'onglet Sécurité puis sur le bouton Personnaliser le niveau . Assurez-vous que les 3 boutons radio Activer de la zone Script sont bien cochés. Terminez en cliquant sur OK . Cache Dans le menu Outils, choisissez Options Internet . Cliquez sur l'onglet Général puis sur le bouton Paramètres… Assurez-vous que le bouton à chaque visite de la page est coché. Terminez en cliquant sur OK . Après être revenu à la page par défaut d'Internet Explorer, cliquez avec le bouton droit au niveau des icones. Une fenêtre apparaît. Décochez les options barre d'adresse et liens si elles le sont. Laissez boutons standard . Fermez ensuite le navigateur et relancez le pour vérifiez que les barres ne réapparaissent pas. Fermez enfin votre session.
page 2
4. Taches finales Votre serveur Terminal Server est maintenant prêt à l'utilisation. Il convient toutefois d'effectuer certaines taches avant mise en production • Configuration RDP du client terminal HP t5000 • Tests d'accès aux ressources
4.1 Configuration RDP du client La procédure suivante décrit la configuration du client connexion bureau à distance sur un terminal HP t5000, elle est toutefois identique à celle configurable sur un client lourd traditionnel. Assurez vous en revanche d'avoir bien installé le programme bureau à distance comme décrit au chapitre adéquoit Ouvrez une session sur le client léger. Une fois le bureau chargé, cliquez sur start , pointez sur programs et cliquez sur l'icône RDP . La fenêtre principale de connexion s'ouvre alors
03/02/2009
10/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Cliquez sur le bouton options>> , la fenêtre d'option apparaît alors. Dans l'onglet général , entrez le nom du serveur Terminal Server 2003 dans le champ ordinateur , puis saisissez les noms et mot de passe de l'utilisateur multisession dans leurs champs respectifs. Laissez le champ domaine vide. Vous obtenez alors une fenêtre ressemblant à celle-ci :
Dans l'onglet affichage , laissez le nombre de couleurs par défaut à hautes (16 bits). Si vous utilisez un client lourd pour vous connecter, il vous est aussi possible d'imposer la résolution. Choisissez la taille du bureau à distance la plus appropriée à vos besoins entre 800x600pour la performance et 1024x768 pour la qualité. Assurez vous que l'onglet avancé est par défaut sur le choix modem (56 kbps) , dans la mesure ou aucune animation en arrière-plan n'est disponible avec la configuration du serveur effectuée précédemment. Revenez ensuite à l'onglet général et enregistrez les paramètres actuels. Pour se faire, cliquez sur enregistrer sous . Laissez les paramètres de destination et de nom par défaut et validez en cliquant sur
03/02/2009
11/12
[email protected]
Net-Pro
Par : GHAOUTI Mohamed
Ok . Fermez le programme connexion bureau à distance puis relancez le, afin de vous assurez que les paramètres remplis sont dorénavant ceux qui sont pris par défaut par le programme.
4.2 • Tests d'accès aux ressources Maintenant que les parties serveurs et clients sont achevées, il convient de faire plusieurs tests d'accès aux ressources avec l'utilisateur multisession afin de vous assurer que tout fonctionne correctement, on pourra citer en exemple (à modifier suivant les applications disponibles sur votre serveur Kiosque) : • • • • •
Une Une Une Une Une
tentative d'enregistrement de page Web sous Internet Explorer modification des paramètres Internet impression de Page Web procédure appel aux logiciels disponibles sur le bureau exportation de données sous Microsoft Excel 2003 suivie d'une impression
Conclusion Si vous avez correctement suivi les manipulations décrites ci-dessus, vous disposez maintenant d'un serveur kiosque sous Windows 2003 entièrement fonctionnel et comparable à son homologue sous Citrix Metaframe. Il ne tient qu'à vous de modifier la maquette que vous venez de monter en lui ajoutant par exemple des règles IPSec afin de crypter toutes les données émises vers le réseau et en restreignant son accès aux seules machines authorisées.
03/02/2009
12/12
[email protected]
Related Documents
Terminal Server
June 2020 20
Terminal Server
June 2020 19
Terminal Server
July 2020 17
Terminal Server
November 2019 35
Terminal Server
June 2020 17