Embed Size (px)
Citation preview
1- Installation de l’Autorité de Certification :
Dans le gestionnaire de serveur, installer le rôle « Service de certificats Active Directory »
Puis sélectionner « Autorité de certification »
Puisque nous somme dans une configuration en domaine, sélectionner « Entreprise »
Puis Autorité de certification racine
Sélectionner « Créer une nouvelle clé privé »
Puis configurer les paramètres du certificat, à savoir, la longueur de la clé, l’algorithme de hachage, le nom du certificat, sa durée de validité ainsi que l’emplacement de la base de données de certificats. Ici, nous laisserons les paramètres par défaut.
Enfin cliquer sur « Installer »
2- Installation des services TSE :
Dans le gestionnaire de serveur, sélectionner le rôle « Service Bureau à distance »
Puis cocher les fonctionnalités suivantes :
- Hôte de session bureau à distance (anciennement service Terminal Server)
- Gestionnaire de licences des services Bureau à distance (gère les licences d’accès client TS)
- Service Broker pour les connexions Bureau à distance (gère l’équilibrage de charge de la session ainsi que l’accès aux utilisateurs aux programmes RemoteApp)
- Passerelle des services Bureau à distance (permet aux utilisateurs autorisés de se connecter au serveur via Internet)
- Accès Bureau à distance par le Web (permet aux utilisateurs d’accéder aux programmes RemoteApp et aux services Bureau à distance par le navigateur web)
A noter que l’installation du service Hôte de session Bureau à distance n’est pas recommandée (pour des raisons de sécurité) sur le serveur contrôleur de domaine. Ici nous validerons « Installer quand même » mais il est préférable de séparer le serveur TSE du serveur Active Directory.
De plus, la sélection des services Web nécessite l’installation de IIS. Cliquer sur « Ajouter les services de rôle requis »
Puis il est nécessaire de spécifier une méthode d’authentification pour les services Bureau à distance.
Nous sélectionnerons « Ne nécessite pas l’authentification au niveau du réseau » (les anciennes versions du bureau à distance pourrons ainsi se connecter au serveur)
Puis sélectionner le type de licences TS en fonction des licences acquises.
Sélectionner les groupe d’utilisateurs autorisés à accéder au serveur via les services TS (par défaut les membres sur groupe « Utilisateurs du Bureau à distance » ont déjà un accès). Nous laisserons cette option par défaut pour y revenir plus tard.
Configurer l’étendue de découverte pour le serveur de licences, ici ce sera au niveau du domaine
Puis sélectionner le certificat pour le chiffrement SSL qui a été généré précédemment
Pour la création d’une stratégie d’autorisation cocher ultérieurement
Concernant la configuration de IIS, laisser les options par défaut (tout sera configuré automatiquement)
Puis installer et redémarrer
Dans les Outils d’Administration, cliquer sur « Gestionnaire de licences des services Bureau à distance »
Puis Clic-droit « activer le serveur »
Faire le choix de la méthode de connexion pour l’activation des licences TS. Ici nous laisserons en auto.
Puis sélectionner le programme de licence selon les licences TS acquise et valider avec le numéro de série.
Ainsi les licences sont disponibles sur le serveur.
3- Personnalisation des services TS :
Dans les Outils d’Administration, cliquer sur « Configuration d’hôte de session Bureau à distance »
Puis Propriétés de RDP-tcp
Pour éviter l’utilisation inutile des licences, il est possible de modifier les paramètres pour les sessions déconnectées, inactives…
A noter que pour utiliser la fonctionnalité Easy Print (gestion des impressions via les imprimantes locales) il est nécessaire que le client Utilise le client Bureau distant (RDC) 6.1 ainsi que le Framework 3.5.Coté serveur il faut installer la fonctionnalité .NET Framwork 3.5 (avec l’option Visionneuse XPS). Pour cela allez dans Outils d’administration / Gestionnaire de serveur / Fonctionnalités et cochez la ligne .NET Framwork 3.5
Pour résoudre certains problèmes d’impression sur les sessions TSE, il est nécessaire de donner le droit en écriture au groupe d’utilisateur TSE sur le répertoire C:\Windows\System32\spool
4- Configuration des RemoteApp :
Dans les Outils d’Administration, cliquer sur « Gestionnaire RemoteApp »
Puis Ajouter des programmes
Ici nous sélectionnerons la calculatrice. Puis Terminer
Puis cliquer sur « Paramètre des signatures numériques »
Puis sur Modifier
Et cocher « Signer avec un certificat numérique » et sélectionner le certificat créé précédemment
Enfin sélectionner si programme est accessible via le web ou pas
5- Configuration de l’Active Directory :
Dans l’AD créer une nouvelle OU nommée TSE
Puis créer un nouveau groupe TSE lui-même membre du groupe « Utilisateurs du bureau à distance »
Dans la stratégie de sécurité locale :
Sous Paramètres de sécurité / Stratégies locales / Attribution des droits utilisateur
Ajouter le groupe TSE à la stratégie « Autoriser l’ouverture de session par les services Bureau à distance »
Noter que dans une configuration en domaine comme celle-ci il est parfois nécessaire de modifier les stratégie de domaine pour autoriser l’ouverture de session locale aux groupe TSE ainsi que l’ouverture de session TSE, pour cela allez dans Outils d’administration / Gestionnaire de Stratégie du Domaine pour modifier le « Default Domain Policy »
Puis dans Configuration Ordinateur / Stratégie / Paramètres Windows / Paramètres de sécurité / Stratégies Locales / Attribution des droits utilisateurs.
Éditer les clés : « Autoriser l’ouverture de session Terminal serveur » et « Permettre l’ouverture d’une session locale » pour ajouter le groupe TSE
Dans l’AD ou dans la gestion des utilisateurs locaux (si serveur TSE dissocié du serveur AD), ajouter le groupe TSE au groupe « Ordinateur Accès Web TS » (pour permettre une connexion via le Web et notre serveur IIS)
6- Création stratégie de groupe :
Dans « Gestion de stratégie de groupe »
Dans l’OU TSE
Créer un objet GPO dans ce domaine et le lier ici…
Il ne vous reste plus qu’à choisir dans les modèle d’administration quelles sont les limitations que vous voulez appliquer.
7- Accès au serveur :
Via le Bureau à distance :
Dans ce cas allez dans Tous les programmes / Accessoires / Connexion Bureau à distance
Entrer le nom du serveur ou l’adresse IP et se connecter avec un compte membre du groupe TSE
Via les RemoteApp :
Dans les Outils d’Administration, cliquer « Gestionnaire RemoteApp »
Sélectionner l’application, puis Créer le fichier .rdp
Puis partager le dossier C:\Program Files\Packaged Programs et diffuser les fichiers .rdp qui ici exécute la calculatrice vie les services TS
Via le web :
Sur l’adresse https://nom_du_serveur/RDWeb
On y retrouve l’accès à nos RemoteApp mais via un simple navigateur web
