> Tech > Utiliser des GPO pour configurer Terminal Services

Utiliser des GPO pour configurer Terminal Services

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Christa Anderson - Mis en ligne le 31/03/2004

Windows 2003 améliore la gestion des serveurs de terminaux

Depuis que Microsoft a présenté Windows NT Server 4.0, Terminal Server Edition (WTS) en 1998, la firme a beaucoup facilité le travail de ceux qui utilisent RDP pour se connecter aux serveurs de terminaux...Dans Windows Server 2003, le client RDP est presque aussi capable que le client ICA l'était pour se connecter aux serveurs Citrix MetaFrame. Le seul support qui lui manque est celui de la publication des applications et de Seamless Windows. Si MetaFrame ne vous est pas familier, sachez que la publication d'applications valide une connexion avec une application sur un serveur de terminaux, et Seamless Windows permet aux utilisateurs finaux de maintenir des connexions multiples avec un serveur de terminaux, qui toutes se connectent à  la même session, et donc ne multiplient pas l'utilisation des ressources.
Toutefois, Microsoft n'a pas mis autant de zèle à  améliorer la gestion des serveurs dans WTS et Windows 2000 Server Terminal Services. Comme NT 4.0 était antérieur à  WTS, l'OS NT central n'a pas de possibilités de gestion de serveurs de terminaux - même la gestion des comptes utilisateur doit être faite sur une machine WTS ou en utilisant le User Account Manager de type WTS. Win2K inclut le support de Terminal Services dans l'OS central, mais les outils de gestion de serveurs ne permettent de gérer qu'un petit nombre d'utilisateurs ou de serveurs parce qu'il faut configurer les paramètres de Terminal Services séparément pour chaque compte ou machine. Comme les paramètres de Terminal Services tels que le chemin de profil ne sont pas exposés par l'intermédiaire de ADSI (Active Directory Service Interfaces), on ne peut pas scripter la gestion des serveurs au-delà  de ce que permettent les outils ligne de commande. Cette restriction est tolérable si l'on envisage de garder les paramètres par défaut ou si l'on n'a que deux ou trois comptes utilisateur ou serveur à  configurer. Mais les choses se compliquent quand il faut configurer et gérer davantage de paramètres utilisateur et de serveurs de terminaux en permanence.
Windows 2003 a beaucoup fait pour rendre les serveurs de terminaux - et les paramètres de comptes utilisateur qui s'appliquent à  Terminal Services - plus gérables en exposant de nombreux paramètres au travers de ADSI et de WMI (Windows Management Instrumentation). Vous pouvez utiliser des scripts administratifs pour gérer ces paramètres, ou bien utiliser des GPO (Group Policy Objects) que vous pourrez appliquer aux OU (organizational units). Je vous présente quelques GPO permettant de gérer les paramètres pour des utilisateurs et des ordinateurs, et vous montre comment les appliquer dans des tâches courantes.

Utiliser des GPO pour configurer Terminal Services

Quand vous ouvrez GPE (Group Policy
Editor) sur un ordinateur Windows
2003, vous voyez un nouveau dossier –
Administrative Templates\Windows
Components\Terminal Services – sous
les deux dossiers Computer Configuration
et User Configuration. La figure 1 montre les paramètres disponibles
dans le dossier Computer ConfigurationAdministrative Templates\Windows
Components\Terminal Services.
Un petit nombre de ces paramètres
sont dupliqués dans le dossier User
Configuration\Administrative TemplatesWindows Components\Terminal
Services. Les paramètres de Computer
Configuration sont organisés en plusieurs
sous-dossiers Terminal Services.
La Web Table 1 (http://www.itpro.fr
Club Abonnés) donne la liste de l’emplacement
des paramètres de Computer
Configuration et de User ConfigurationTerminal Services.
Pour configurer un paramètre,
double-cliquez dessus pour ouvrir sa
boîte de dialogue Properties, puis sélectionnez
Enable ou Disable selon le
cas. Pour certains paramètres, vous devrez
fournir un complément d’informations
; par exemple, pour définir
des répertoires home utilisateur pour
des sessions de terminaux, vous devez
fournir le chemin local ou réseau et –
en supposant que vous utilisez un emplacement
réseau pour le répertoire
home – la lettre du lecteur réseau auquel
vous voulez associer le chemin.
Bien que la plupart des paramètres ne
s’appliquent qu’aux serveurs de terminaux
Windows Server 2003 ou à 
Windows XP Remote Desktop Connection,
un petit nombre de paramètres
(la possibilité d’enlever le bouton
Disconnect du menu Start, par
exemple) peuvent s’appliquer aux serveurs
de terminaux Win2K. Les exigences
de la version se trouvent dans la
boîte de dialogue Properties de
chaque policy.
S’il vous est déjà  arrivé de modifier
les paramètres d’utilisateur et de serveur
de terminaux par défaut de
Terminal Services, vous savez qu’il
existe une priorité de contrôle pour les
paramètres configurables pour les serveurs
et utilisateurs. En principe, si un
paramètre existe pour à  la fois les serveurs
et les utilisateurs (comme les paramètres
de mapping d’imprimante
par défaut), le paramètre utilisateur a priorité. Vous pouvez utiliser Terminal
Services Configuration pour supplanter
le paramètre utilisateur et donner la
priorité aux paramètres du serveur. Si
vous ne configurez pas un GPO, les paramètres
que vous aurez choisis
comme ayant priorité auront le
contrôle. En revanche, quand vous configurez un GPO, ses paramètres ont
priorité sur ceux que vous avez modifiés
à  l’aide de Terminal Services
Configuration ou à  l’aide des propriétés
du compte utilisateur et ce, que
vous activiez ou désactiviez le GPO. Si
vous avez configuré le même paramétrage
pour les utilisateurs et les ordinateurs (tout à  fait possible avec un petit
nombre de paramètres, comme ceux
qui gèrent le contrôle à  distance), les
paramètres de l’ordinateur ont priorité
sur ceux de l’utilisateur. (Si vous reliez
les GPO à  des conteneurs différents
dans le domaine, les règles d’héritage
de policy en place s’appliquent. Si vous
n’avez pas l’habitude de travailler avec
des GPO, voir Getting Started With
Win2K, « Group Policy », mars 2000,
http://www.itpro.fr Club Abonnés.)
Soyez toujours très prudent quand
vous activez ou désactivez des policies
parce que la formulation des GPO peut
prêter à  confusion. Ainsi, si vous configurez
le paramétrage pour utiliser des
cartes intelligentes avec un serveur de
terminaux et voulez vous assurer que
les cartes intelligentes sont supportées,
vous devez désactiver le Do Not
Allow Smart Card Redirection Policy.

Téléchargez gratuitement cette ressource

Cybersécurité sous contrôle à 360°

Cybersécurité sous contrôle à 360°

Avec Cloud in One, les entreprises ne gagnent pas uniquement en agilité, en modernisation et en flexibilité. Elles gagnent également en sécurité et en résilience pour lutter efficacement contre l’accroissement en nombre et en intensité des cyberattaques. Découvrez l'axe Cybersécurité de la solution Cloud In One.

Tech - Par iTPro.fr - Publié le 24 juin 2010