none
Configuration des services bureau à distance par le web RRS feed

  • Discussion générale

  • Bonjour,

    Sur un serveur Windows Server 2012 R2 de mon AD, j'ai installé et configuré les services bureau à distance par le web dans le but de publier des Remoteapps pour mes utilisateurs.

    Tout fonctionne bien, les comptes AD se connectent sur la page Web https d'accès bureau à distance par le web et voient les Remoteapps auxquelles ils ont droit.

    Cependant, si l'on ouvre le programme "Connexion bureau à distance" d'un client Windows et que l'on entre l'adresse du serveur et ses identifiants AD, on ouvre alors une session locale sur le serveur de bureau à distance et ce n'est pas le but, je veux que les gens ne puissent qu'y accéder par la page https et y utiliser seulement les Remoteapps autorisées.

    Vu que le principe de lancement d'une Remoteapp repose sur une ouverture de session interactive sur le serveur de bureau à distance, je ne vois pas comment bloquer cela, si l'utilisateur ne fait plus partie du groupe local du serveur "Utilisateurs du bureau à distance", ça fonctionne mais ça bloque aussi le lancement des Remoteapps.

    Avez vous une solution ? Merci.


    • Modifié kasimodem mercredi 23 décembre 2015 14:30
    • Type modifié Emile Supiot mardi 12 janvier 2016 12:43 en attente de retour
    mercredi 23 décembre 2015 14:29

Toutes les réponses

  • Bonjour, kasimodem,

    Veuillez consulter l'article en bas :
    RemoteApp improvements in Windows Server 2012 R2
    Je vous remercie par avance de votre retour.


    Cordialement,
    Teodora


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    jeudi 24 décembre 2015 11:54
  • Bonjour,

    Merci pour votre intervention, cet article parle d'améliorations possibles pour Remoteapp, mais je ne vois pas de sujet sur mon problème précis. Je vais continuer à chercher quand même.

    Cordialement.

    jeudi 24 décembre 2015 14:43
  • Bonjour,

    Est-ce que le problème est toujours d'actualité?

    Cordialement,

    Boyan

    vendredi 8 janvier 2016 16:01
  • Bonjour Kasimodem,

    Votre question est légitime. Avez-vous trouvé une solution ?
    Je laisse une note pour le suivant si jamais :

    Il n'y a pas de méthode supportée pour empêcher une session complète sans interdire le RemoteApp. Car comme vous l'avez très bien expliqué empêcher l'interactive logon empêche aussi les RemoteApp de se lancer.

    Le workarround le plus simple serait de configurer votre SessionHost hébergeant vos RemoteApp à déclencher "c:\windows\system32\logoff.exe" comme programme au démarrage de la session. 

    - Cette option ne sera pas prise en compte par les clients RemoteApp (l'astuce)
    - Pour administrer le serveur, un mstsc /admin sera obligatoire.

    Ceci devrait vous aider, je vous conseille de configurer cette option en GPO.

    Spécifier un programme qui s’exécutera automatiquement lorsqu’un utilisateur ouvre une session :

    https://technet.microsoft.com/fr-fr/library/cc770821.aspx
    https://nchrissos.wordpress.com/2014/03/09/prevent-interactive-logon/

    Cordialement,

    mardi 12 janvier 2016 20:39
  • Bonjour kasimodel, 

    Vous posez une vraie question :).

    Le droit d'accès aux RemoteApp consiste simplement à ajouter vos utilisateurs dans le groupe de sécurité "Utilisateurs Bureau à distance" ou "Remote Desktop Users" sur les OS en EN

    L'appartenance à ce groupe donne automatiquement accès aux RemoteApp mais aussi au serveur via l'utilisation du client MSTSC (RDC : Remote Desktop Connection).

    Comme vous l'avez dis, restreindre l'accès au serveur via Connexion Bureau à distance ==> restreindre l'accès aux RemoteApp

    La solution que je propose à mes clients consiste à faire du Hardening de votre OS Serveur, je m'explique :

    > Créer une nouvelle GPO que vous pouvez nommez "RestrictionRDS"

    > Configurer toute une liste de paramètre de stratégie de groupe pour hardener votre serveur au maximum, exemple : restreindre l'accès au panneau de configuration | restreindre l'accès à l'Interface UI (ecran d'accueil) | restreindre l'accès aux outils d'admin | restreindre l'accès au Registre, Gestionnaire de tâche ...Etc

    > Vous appliquez ensuite cette GPO au groupe "Utilisateurs Bureau à distance"

    dès récupération de ces paramètres de GPO, les utilisateurs tentant d'ouvrir une session Bureau à distance directe sur le serveur verront uniquement un pauvre Bureau Windows sans aucune option et aucune possibilité d'accès aux différentes options de configuration /administration liée au système.

    J'espère avoir répondu à votre question.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy
    eBook RDS 2012 R2 désormais disponible !

    mardi 12 janvier 2016 22:32
  • Bonjour,

    Merci à vous deux pour vos astuces de contournement, je vais tester ce qui est possible sans être contraignant.

    Cordialement.

    lundi 18 janvier 2016 13:57