Appliquer des GPO aux serveurs de terminaux

dans le panneau de
gauche. Dans le menu de contexte,
choisissez New, Organizational Unit. Nommez la nouvelle OU TerminalServers
ou d’un autre nom tout
aussi descriptif, et mettez-y tous les
serveurs d’applications.
Comme Terminal Services n’a pas
de paramètres spécifiques à  l’utilisateur,
vous pourrez peut-être vous
contenter de configurer simplement
des policies pour les serveurs de terminaux.
Vous pourriez choisir de ne
pas configurer tous les paramètres
(comme ceux concernant le contrôle à 
distance des sessions utilisateur) au niveau
ordinateur. Vous pouvez appliquer
des paramètres par utilisateur de
plusieurs manières. Une technique
consiste à  créer une OU pour les gens
autorisés à  se connecter au serveurs de
terminaux. Cependant, les objets AD
peuvent se trouver dans une seule OU,
et il peut être alors difficile de mettre
des gens dans une OU propre à 
Terminal Services. Autre technique :
appliquer les paramètres aux OU utilisateur
que vous établissez et utiliser la
policy loopback pour s’assurer que les
paramètres appropriés sont appliqués
quand l’utilisateur se connecte aux serveurs
de terminaux. Pour utiliser le
traitement loopback, il faut valider le
Group Policy Loopback Policy Processing
Mode sur l’OU Terminal Servers.
Cette policy, présente dans Computer
Configuration\Administrative
Templates\System\Group Policy, contrôle
la manière dont les policies utilisateur
sont appliquées à  des ordinateurs
spécialisés du genre serveurs de
terminaux. Pour être certain que les
policies serveur de terminaux ont priorité,
allez à  l’onglet Settings de la policy
et choisissez Replace dans le menu déroulant.
Après avoir créé les OU utilisateur
et serveur de terminaux, vous êtes
prêts à  leur appliquer les nouvelles policies.
Je montre comment configurer
les serveurs parce que c’est à  eux que
la plupart des policies s’appliquent.
Faites un clic droit sur l’OU
TerminalServers et choisissez Properties.
Sélectionnez l’onglet Group Policy
pour ouvrir la boîte de dialogue illustrée
figure 2. Cliquez sur New pour
créer un nouveau GPO (la figure
montre un nouveau GPO appelé TS
Policies), puis cliquez sur Edit pour revenir
à  l’écran Group Policy Object
Editor de la figure 1.
Vous voilà  prêt à  configurer les paramètres
des nouvelles policies. Les
exemples de configuration suivants
vous permettront de démarrer :
Régler les paramètres de contrôle à 
distance. Le contrôle à  distance permet
à  un administrateur de se connecter à 
la session d’un utilisateur pour voir ce
que celui-ci fait ou pour intervenir directement
dans la session. Si vous utilisez
les paramètres par défaut, un utilisateur
doit permettre explicitement à 
l’administrateur de prendre le contrôle
à  distance de sa session et l’administrateur
peut alors y participer. Pour changer
ces paramètres par défaut pour
l’OU, allez à  Computer ConfigurationAdministrative Templates\WindowsComponentsTerminal Services
et activez Set rules for remote control
of Terminal Services user sessions,
comme le montre la figure 3. Dans la
liste déroulante Options, vous pouvez
choisir de désactiver complètement le
contrôle à  distance ou bien choisir des
paramètres d’un ou deux groupes
principaux : Full Control, qui permet à 
l’administrateur de participer à  la session
de l’utilisateur, et View Session, de
surveiller l’activité de l’utilisateur, sans y participer lui-même. Dans ces deux
groupes, vous pouvez préciser si l’utilisateur
doit permettre explicitement à 
l’administrateur de prendre le contrôle
à  distance de sa session ou si l’administrateur
peut se connecter à  la session
sans obtenir la permission. (Ces paramètres
sont aussi disponibles sous
User Configuration\Administrative
Templates\WindowsComponents\Terminal
Services. Si vous définissez les
policies aux deux endroits, celles de
l’ordinateur s’appliquent.)
Définir un chemin de profil et un
répertoire home pour les sessions de
terminaux. La migration de chemins de
profil de WTS vers Terminal Services
posait des problèmes parce que le chemin
de profil Terminal Services – distinct
du chemin de profil utilisateur –
n’était pas exposée comme une propriété
de l’objet compte utilisateur
dans ADSI ; par conséquent, vous ne
pouviez configurer le chemin de profil
qu’en modifiant les propriétés du
compte utilisateur, soit au moyen de la GUI, soit à  partir de l’outil ligne de
commande Tsprof. Cette information
est désormais disponible aux group
policies. Les policies contrôlant les
profils utilisateur et les répertoires
home sont dans le dossier Terminal
Services racine dans ComputerConfigurationAdministrative TemplatesWindowsComponents. Activez Set
Path for TS Roaming Profiles et TS User
Home Directory. Pour configurer le
chemin de profil, incluez le nom de
l’ordinateur et le chemin vers le répertoire
de profil ; le serveur remplira automatiquement
le nom d’utilisateur. Si
le chemin que vous fournissez n’existe
pas (ou si le serveur ne peut pas l’atteindre),
le compte utilisera des profils
locaux.
Le même processus s’applique
pour mettre en place le répertoire
home – activer la policy, taper le nom
UNC (Universal Naming Convention)
pour la share réseau, et attribuer une
lettre de lecteur local, si nécessaire
(pour les applications qui demandent une lettre de lecteur).
Généralement, je déconseille de
placer le répertoire home utilisateur
sur le serveur de terminaux local, sauf
s’il n’y a pas d’autre possibilité. Cette
façon de faire donne aux utilisateurs
des répertoires home séparés selon le
serveur auquel ils sont connectés, ce
qui complique les sauvegardes et rend
difficile la localisation des fichiers utilisateur.