par Christa Anderson - Mis en ligne le 31/03/2004
Windows 2003 améliore la gestion des serveurs de terminaux
Depuis que Microsoft a présenté
Windows NT Server 4.0, Terminal
Server Edition (WTS) en 1998, la firme
a beaucoup facilité le travail de ceux
qui utilisent RDP pour se connecter
aux serveurs de terminaux...Dans Windows Server 2003, le client RDP est
presque aussi capable que le client ICA
l'était pour se connecter aux serveurs
Citrix MetaFrame. Le seul support qui
lui manque est celui de la publication
des applications et de Seamless Windows.
Si MetaFrame ne vous est pas familier,
sachez que la publication d'applications
valide une connexion avec
une application sur un serveur de terminaux,
et Seamless Windows permet
aux utilisateurs finaux de maintenir des
connexions multiples avec un serveur
de terminaux, qui toutes se connectent
à la même session, et donc ne multiplient
pas l'utilisation des ressources.
Toutefois, Microsoft n'a pas mis autant
de zèle à améliorer la gestion des
serveurs dans WTS et Windows 2000
Server Terminal Services. Comme NT
4.0 était antérieur à WTS, l'OS NT central
n'a pas de possibilités de gestion de serveurs de terminaux - même la
gestion des comptes utilisateur doit
être faite sur une machine WTS ou en
utilisant le User Account Manager de
type WTS. Win2K inclut le support de
Terminal Services dans l'OS central,
mais les outils de gestion de serveurs
ne permettent de gérer qu'un petit
nombre d'utilisateurs ou de serveurs
parce qu'il faut configurer les paramètres
de Terminal Services séparément
pour chaque compte ou machine.
Comme les paramètres de
Terminal Services tels que le chemin
de profil ne sont pas exposés par l'intermédiaire
de ADSI (Active Directory
Service Interfaces), on ne peut pas
scripter la gestion des serveurs au-delà
de ce que permettent les outils ligne
de commande. Cette restriction est tolérable
si l'on envisage de garder les
paramètres par défaut ou si l'on n'a
que deux ou trois comptes utilisateur
ou serveur à configurer. Mais les choses
se compliquent quand il faut configurer
et gérer davantage de paramètres
utilisateur et de serveurs de
terminaux en permanence.
Windows 2003 a beaucoup fait
pour rendre les serveurs de terminaux
- et les paramètres de comptes utilisateur
qui s'appliquent à Terminal Services
- plus gérables en exposant de
nombreux paramètres au travers de
ADSI et de WMI (Windows Management
Instrumentation). Vous pouvez
utiliser des scripts administratifs pour
gérer ces paramètres, ou bien utiliser
des GPO (Group Policy Objects) que
vous pourrez appliquer aux OU (organizational
units). Je vous présente
quelques GPO permettant de gérer les
paramètres pour des utilisateurs et des
ordinateurs, et vous montre comment
les appliquer dans des tâches courantes.
Utiliser des GPO pour configurer Terminal Services
Quand vous ouvrez GPE (Group Policy
Editor) sur un ordinateur Windows
2003, vous voyez un nouveau dossier –
Administrative Templates\Windows
Components\Terminal Services – sous
les deux dossiers Computer Configuration
et User Configuration. La figure 1 montre les paramètres disponibles
dans le dossier Computer ConfigurationAdministrative Templates\Windows
Components\Terminal Services.
Un petit nombre de ces paramètres
sont dupliqués dans le dossier User
Configuration\Administrative TemplatesWindows Components\Terminal
Services. Les paramètres de Computer
Configuration sont organisés en plusieurs
sous-dossiers Terminal Services.
La Web Table 1 (http://www.itpro.fr
Club Abonnés) donne la liste de l’emplacement
des paramètres de Computer
Configuration et de User ConfigurationTerminal Services.
Pour configurer un paramètre,
double-cliquez dessus pour ouvrir sa
boîte de dialogue Properties, puis sélectionnez
Enable ou Disable selon le
cas. Pour certains paramètres, vous devrez
fournir un complément d’informations
; par exemple, pour définir
des répertoires home utilisateur pour
des sessions de terminaux, vous devez
fournir le chemin local ou réseau et –
en supposant que vous utilisez un emplacement
réseau pour le répertoire
home – la lettre du lecteur réseau auquel
vous voulez associer le chemin.
Bien que la plupart des paramètres ne
s’appliquent qu’aux serveurs de terminaux
Windows Server 2003 ou à
Windows XP Remote Desktop Connection,
un petit nombre de paramètres
(la possibilité d’enlever le bouton
Disconnect du menu Start, par
exemple) peuvent s’appliquer aux serveurs
de terminaux Win2K. Les exigences
de la version se trouvent dans la
boîte de dialogue Properties de
chaque policy.
S’il vous est déjà arrivé de modifier
les paramètres d’utilisateur et de serveur
de terminaux par défaut de
Terminal Services, vous savez qu’il
existe une priorité de contrôle pour les
paramètres configurables pour les serveurs
et utilisateurs. En principe, si un
paramètre existe pour à la fois les serveurs
et les utilisateurs (comme les paramètres
de mapping d’imprimante
par défaut), le paramètre utilisateur a priorité. Vous pouvez utiliser Terminal
Services Configuration pour supplanter
le paramètre utilisateur et donner la
priorité aux paramètres du serveur. Si
vous ne configurez pas un GPO, les paramètres
que vous aurez choisis
comme ayant priorité auront le
contrôle. En revanche, quand vous configurez un GPO, ses paramètres ont
priorité sur ceux que vous avez modifiés
à l’aide de Terminal Services
Configuration ou à l’aide des propriétés
du compte utilisateur et ce, que
vous activiez ou désactiviez le GPO. Si
vous avez configuré le même paramétrage
pour les utilisateurs et les ordinateurs (tout à fait possible avec un petit
nombre de paramètres, comme ceux
qui gèrent le contrôle à distance), les
paramètres de l’ordinateur ont priorité
sur ceux de l’utilisateur. (Si vous reliez
les GPO à des conteneurs différents
dans le domaine, les règles d’héritage
de policy en place s’appliquent. Si vous
n’avez pas l’habitude de travailler avec
des GPO, voir Getting Started With
Win2K, « Group Policy », mars 2000,
http://www.itpro.fr Club Abonnés.)
Soyez toujours très prudent quand
vous activez ou désactivez des policies
parce que la formulation des GPO peut
prêter à confusion. Ainsi, si vous configurez
le paramétrage pour utiliser des
cartes intelligentes avec un serveur de
terminaux et voulez vous assurer que
les cartes intelligentes sont supportées,
vous devez désactiver le Do Not
Allow Smart Card Redirection Policy.
Téléchargez cette ressource
Comment sécuriser une PME avec l’approche par les risques ?
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés
- CRM : quand l’IA fait dans le détail
- Baromètre cybersécurité 2023 : Top 7 des enseignements
- Sauvegarde : Comment protéger les données contre les menaces de ransomware en constante évolution ?
