GPO à activer pour sécuriser un terminal serveur (TSE)

Toutes les réponses

• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  tout dépend du degré de sécurité que tu souhaites appliquer.

  Le mieux est de limiter au maximum les interactions possibles avec l'environnement de travail.

  Pour cela, il n'y  pas plusieurs GPO à activer mais une seule comprenant beaucoup de paramètres.

  tout cela peut se détailler mais il faudrait d'abord que tu précises ce que tu veux faire.

  cdlt

  ---

  Bruno Capron - Administrateur systèmes & réseaux Microsoft MCSE/MCSA 2003 - MCITP-EA 2008

  mercredi 10 octobre 2012 13:36
• 

  

  0

  Connectez-vous pour voter

  Bonjour Drumart,

  Merci pour ta participation. Justement j'avais pensé à appliquer Une seule GPO sur le controlleur de domaine vu que sur le TSE il nya pas d'AD installé.

  Je voudrai juste eviter que les utilisateurs sur le TSE n'ai acces par exemple a la bd SQL installé dans programfiles ou encore d'autres repertoires comme windows ou utilisateurs parce que vu qu'ils sont en tse ils ont acces à tout!

  Tu recommanderais quoi comme parametres a activer pour une GPO minimale?

  ---

  M. BARO

  mercredi 10 octobre 2012 14:33
• 

  

  1

  Connectez-vous pour voter

   

  Bonsoir Slanixxus,

  Savez-vous que vous avez la possibilité via GPO de ne pas afficher les lecteurs C: / D: ?

  Vos sessions TSE sont un service pour lancer seulement certaines applications ? Si tel est le cas pourquoi pas vous orienter vers du RemoteAPP ?

  J’espère que cela vous aidera.

  Cordialement,

  ---

  Cordialement, Yann Biez http://www.adminsysteme.fr

  mercredi 10 octobre 2012 16:25
• 

  

  0

  Connectez-vous pour voter

  Bonjour Esteban,

  J'avai oublié de preciser que sur le serveur hébergeant le TSE il n'ya pas d'AD installé ni aucune service. Et donc pas de gestion de strategie de groupe (domaine) mais uniquement en local.Donc toutes les GPO qu'on mettra en place se repertcutent egalement sur l'administrateur. PArce qu'en fait je ne peux pas appliquer ces GPO sur le serveur controlleur du domaine car cela restreindra encore plus les users quand ils voudront se connecter non en TSE mais sur leur compte du domaine.

  C'est assez complexe.

  Mais je vais voir l'idee du remote app.en attendant je me contente de la GPO en local.

  Cordialement

  ---

  M. BARO

  • Marqué comme réponse Slanixxus jeudi 11 octobre 2012 10:17
  • Non marqué comme réponse Slanixxus jeudi 11 octobre 2012 15:10

  jeudi 11 octobre 2012 10:16
• 

  

  0

  Connectez-vous pour voter

   

  Bonjour Slanixxus,

  Si votre serveur TSE n'est pas membre d'un domaine Active Directory, ont ne parle pas alors GPO mais seulement une notion de restriction serveur ou utilisateur.

  Donc vos actions pour configurer les restrictions utilisateurs ne s'appliquent pas par GPO. J'insiste sur ce terme car c'est important pour les modifications que vous souhaitez apporter à vos utilisateurs TSE.

  Dans le cas de restriction Utilisateur, cela est tout à fait réalisable non pas par GPO mais par script d'ouverture de sessions. En effet les GPO de restriction utilisateur ont pour actions majoritaires d'écrire dans le registre au démarrage des sessions d'un utilisateur. Cela est facilement réalisable  via un script PowerShell, VBS, BAT.

  Je reviens vers vous avec un exemple de script.

  Cordialement,

  ---

  Cordialement, Yann Biez http://www.adminsysteme.fr

  jeudi 11 octobre 2012 10:55
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  il n'y pas besoin d'avoir un serveur avec les services AD installés pour paramétrer des sessions TSE utilisateur sur celui-ci.

  Le serveur est bien membre du domaine ?

  Si c'est le cas, c'est simple, il suffit de créer une GPO appliquée sur une unité d'organisation "TSE" (par exemple) dans laquelle on placera le serveur en question.

  Après il ne reste qu'à régler les paramètres de la GPO.

  Sinon, il faut être rigoureux sur les terminologies employées, il n'y a pas de GPO en local, une gpo est un objet AD. En local, l'outil à disposition est gpedit.msc qui est très limité comparé aux GPO, à éviter pour ce que tu souhaites faire.

  Par ailleurs, il faudra penser à installer un serveur de licences TSE.

  Merci dans un premier temps de préciser si le serveur est membre d'un domaine ou stand alone.

  cdlt

  ---

  Bruno Capron - Administrateur systèmes & réseaux Microsoft MCSE/MCSA 2003 - MCITP-EA 2008

  jeudi 11 octobre 2012 13:27
• 

  

  0

  Connectez-vous pour voter

  Merci pour ces petites précisions en effet au lieu de GPO local je voulais parler de l'outil gpedit.msc :-)

  Alors mon serveur est bien membre d'un domaine et le serveur de license TSE est bien en place et fonctionne correctement.

  Je vous explique en detail:

  sur le serveur principal (controleur du domaine) j'ai bien créé des GPO appliqué à des UO.

  Mais seulement voila, certains de ces users ont acces également au serveur hebergeant le TSE pour une application speciale qui nécessite l'acces au disque local C:

  De ce fait sur ce TSE les users sont tjrs soumis aux GPO qui leurs sont affectés depuis le controleur de domaine (jusque la pas de souci) mais sur leur session TSE j'essai d'appliquer plus de sécurité (parce qu'il ya des acces VPN).

  L'idée de creer une UO "TSE" m'a bien effleuré cependant les users concernés sont deja memebres de leurs UO respectifs.

  De ce fait pour par exemple bloquer l'outil "executer" sur les sessions tse mais pas dans les sessions Active j'ai due empecher l'acces via gpedit sur le TSE meme.

  Alors si apres tout ces details vous proposez une solution plus optimisé je suis grandement à l'ecoute.

  Cordialement,

  ---

  M. BARO

  jeudi 11 octobre 2012 15:10
• 

  

  1

  Connectez-vous pour voter

  Bonjour Baro,

  Si je comprends bien, les utilisateurs TSE ce connectent simplement pour lancer un applicatif métier ? Si c'est bien le cas pourquoi ne pas essayer de configurer cette application en RemoteApp ?

  Voir ce lien : http://fr.scribd.com/doc/64676642/Installation-et-configuration-de-RemoteApps et http://www.tuto-it.fr/RemoteApp.php

  Coté GPO, vous avez la possibilité de créer un GPO "TSE" qui ne s'appliquera aux utilisateurs seulement si ils utilisent leur session TSE. Cela s'effectue via un filtre WMI sur la GPO TSE qui validera le nom de votre serveur TSE. Si le nom correspond la GPO est appliqué sinon elle ne l'est pas. ;)

  J'espère que cela vous aidera.

  Cordialement,

  ---

  Cordialement, Yann Biez http://www.adminsysteme.fr

  jeudi 11 octobre 2012 16:04
• 

  

  0

  Connectez-vous pour voter

  Salut, je ne peux utiliser pour le moment le remote app parce que l'application est assez sensible et tourne en collaboration avec le pack office interne du tse ! et les users naviguent egaelement dans des repertoires present dans ce meme tse!!

  :-[ pas evident!!

  Mais je n'avais jamai utilisé les filtre wmi..ca m'interesse je vai aller jeter un coup d'oeil! un lien ou tuto pour moi? ;-)

  ---

  M. BARO

  jeudi 11 octobre 2012 16:26
• 

  

  1

  Connectez-vous pour voter

  Slanixxus,

  Voici un article qui va vous permetre d'avancer sur le sujet des filtres WMI. C'est un tuto vraiment bien réalisé. 

  Lien : http://www.pierresalvy.fr/2010/12/creez-un-filtre-wmi-pour-vos-gpo/

  Coter filtre WMI :

  Cela fonctionne comme un language SQL.

  Exemple de filtre avec un nom de serveur :

  SELECT * FROM Win32_ComputerSystem WHERE Name = 'SERV01'

  J'espere que cela vous aidera.

  Cordialement,

  ---

  Cordialement, Yann Biez http://www.adminsysteme.fr

  
  

  • Modifié Esteban_135 jeudi 11 octobre 2012 17:02

  jeudi 11 octobre 2012 16:54
• 

  

  1

  Connectez-vous pour voter

  bonjour Slanixxus,

  L'OU "TSE" que je te suggérais de créer n'était pas une OU "utilisateurs" mais "ordinateurs", c'est à dire dans laquelle tu vas placer ton serveur et non tes utilisateurs.

  C'est pour cela que dans un objet GPO, tu as des paramètres qui s'appliquent d'une part sur des machines et d'autres part sur des sessions utilisateurs du domaine.

  A priori, je ne pense pas qu'il soit nécessaire d'avoir recours aux filtres wmi dans ton cas.

  Place juste ton serveur dans l'OU puis applique une GPO avec des paramètres de restriction communs à tous les users qui se connecteront sur cette machine.

  cdlt

  ---

  Bruno Capron - Administrateur systèmes & réseaux Microsoft MCSE/MCSA 2003 - MCITP-EA 2008

  vendredi 12 octobre 2012 07:55
• 

  

  0

  Connectez-vous pour voter

  Bonjour Drumart,

  J'ai essayé la solution que tu propose: créer une OU "TSE" et y placer mon serveur. POur exemple j'ai juste appliqué la strategie suivante:

  Désactiver l'acces à l'invité de commandes = désactivé.

  En sachant que sur le serveur principal, les utilisateur sont soumis à un GPO similaire mais activé.

  Alors en principe sur leur session les users ne peuvent pas lancer l'outil cmd car etant restreint mais en tse ils devraient pouvoir.

  RESULTAT: ca ne marche pas.en tse ils nont tjr pas acces a cmd

  ---

  M. BARO

  vendredi 12 octobre 2012 12:02
• 

  

  1

  Connectez-vous pour voter

  Bonjour Slanixxus,

  Les Restriction prime sur les autorisations ;-)

  Dans votre cas, la GPO des utilisateurs est appliquer alors sur le serveur TSE !!! Si ont ajoute un filtre WMI a la GPO utilisateur du genre suivant :

  SELECT * FROM Win32_ComputerSystem WHERE not Name  'SERVTSE'

  
  

  Cela permetra a votre GPO utilisateur d'etre apppliqué a tous les postes ou meme serveurs SAUF si celui-ci ce nomme 'SERVTSE'

  j'espere que cela vous sera utile.

  Cordialement,  

  ---

  Cordialement, Yann Biez http://www.adminsysteme.fr

  Afin de voir comment vos GPO s'appliquent sur votre Serveur TSE, lancer la commande suivante :

  gpresult /h gpo.html

  ouvrir le fichier html pour l'etudier.

  Cordialement,

  • Modifié Esteban_135 vendredi 12 octobre 2012 12:24 ajout Gpresult
  • Marqué comme réponse Florin Ciuca vendredi 12 octobre 2012 15:08
  • Non marqué comme réponse Slanixxus lundi 15 octobre 2012 09:55
  • Marqué comme réponse Slanixxus mardi 16 octobre 2012 16:04

  vendredi 12 octobre 2012 12:12
• 

  

  0

  Connectez-vous pour voter

  Encore une fois, pas nécessaire d'appliquer les filtre wmi dans ton cas.

  je pense qu'il faut jouer sur l'héritage des stratégies de groupe. Il faut bloquer l'héritage au niveau de ton OU "TSE", (clic-droit propriétés puis cocher "bloquer l'héritage")

  De cette amnière si des paramètres contreviennent à la GPO appliquée à l'OU "TSE" ils ne seront pas pris en compte,

  J'espère que j'ai été clair, dis moi si il te manque des infos,

  bon courage

  cdlt

  ---

  Bruno Capron - Administrateur systèmes & réseaux Microsoft MCSE/MCSA 2003 - MCITP-EA 2008

  • Marqué comme réponse Florin Ciuca vendredi 12 octobre 2012 15:08
  • Non marqué comme réponse Slanixxus lundi 15 octobre 2012 09:55

  vendredi 12 octobre 2012 14:24
• 

  

  0

  Connectez-vous pour voter

  Ceci dit, je ne nie pas l'intérêt des filtres wmi, c'est une autre solution c'es tout.

  Les solutions d'Esteban sont tout aussi pertinentes ;-)

  ---

  Bruno Capron - Administrateur systèmes & réseaux Microsoft MCSE/MCSA 2003 - MCITP-EA 2008

  
  

  • Modifié Drumart vendredi 12 octobre 2012 14:26

  vendredi 12 octobre 2012 14:25
• 

  

  0

  Connectez-vous pour voter

  Bonjour Esteban,
  
  Je commence ma semaine en par tester la solution du filtre WMI que vous m'aviez proposé.
  N'ayant jamais utilisé ces filtres c'est donc l'occasion d'apprendre ;-)
  Cependant il semblerait que je rencontre des difficultés, lorsque j'enregistre le nouveau filtre j'ai la fenetre "Non trouvé"

  
  
  Cordialement

  lundi 15 octobre 2012 08:03
• 

  

  0

  Connectez-vous pour voter

  Salut Drumart,

  Alors voila:

  J'ai crée mon OU 'TSE' puis inséré une machine dans cette OU. Ensuite j'ai créé un objet GPO et l'a lié à cette OU puis bloqué l'héritage.

  J'ouvre ensuite une session sur cet ordinateur et là ce sont les GPO liés au default domain policy qui me sont tjrs appliqués et non uniquement ceux de TSE.

  J'aurai omis quelques chose?

  Cordialement,

  BONNE SEMAINE

  lundi 15 octobre 2012 08:28
• 

  

  1

  Connectez-vous pour voter

  Bonjour Slanixxus,

  Etant actuellement en projet, je suis désolé de n'avoir pas put vous répondre avant.

  Au vue du message d'erreur, il semble que votre Objet "Filtre WMI" ne soit pas répliqué entre vos DC. Par défaut la console MMC  de gestion des GPO se connecte au Contrôleur de Domaine qui dispose du rôle FSMO PDC émulateur. Vous avez la possibilité d'indiquer à votre console MMC de gestion des GPO quel DC utiliser.

  Etape :

  -- > Ouvrir la console MMC de gestion des GPO.

  -- > Développer l'arborescence suivante : Groupe Policy Management / Forest / Domains / Domaine.local

  -- > Effectuer un clique droit sur "domaine.local"  --> Cliquer sur Change Domain Contrôleur

  

  Valider ce point et essayer de creer votre filtre WMI.

  Valider la replication de celui-ci sur l'ensemble de vos DC.

  J'espere que cela vous sera utile.

  Cordialement,

  ---

  Cordialement, Yann Biez http://www.adminsysteme.fr

  mardi 16 octobre 2012 09:26
• 

  

  0

  Connectez-vous pour voter

  Hello slanixxus

  et bien à première vue je dirais que sur ta "Default Domain Policy" tu as du spécifier "ne pas passer outre" ou bien tu as seléctionné "Appliquer", ce qui a pour effet de forcer l'application de la GPO quand bien même le blocage de l'héritage est activé sur l'OU.

  Je ne vois que ça comme possibilité.

  Après il se peut aussi qu'il y ait des droits NTFS appliqués sur la GPO, il me faudrait plus d'infos pour juger 

  cdlt

  Bonne semaine également !

  ---

  Bruno Capron - Administrateur systèmes & réseaux Microsoft MCSE/MCSA 2003 - MCITP-EA 2008

  • Proposé comme réponse Drumart mardi 16 octobre 2012 15:29

  mardi 16 octobre 2012 14:33
• 

  

  1

  Connectez-vous pour voter

  Salut Esteban,

  Je veux bien qu'on se tutoie entre professionnel de l'IT :-)

  ALors le filtre marche :-)

  J'ai essayé ta solution suivante:

  SELECT * FROM Win32_ComputerSystem WHERE Name = 'SERV01'

  Et ca fonctionne bien.Quand les users du tse se connectent ils ne sont plus soumis au GPO de leur UO. 

  A present je veux essayer ta deuxieme solution (celle de creer un GPO special TSE et l'appliquer only si on est en TSE).
  

  SELECT * FROM Win32_ComputerSystem WHERE not Name  'SERVTSE'

  Mais :-( ca marcheuh pooo !

  J'ai bien créer un GPO et lui ai appliqué le filtre WMI et dans ce GPO appliqué a une UO ya la machine du TSE qui en est membre!

  Y'aurai kekchoz ke j'ai fait de travers???....%-\

  Cordialement,

  ---

  M. BARO

  mardi 16 octobre 2012 16:04
• 

  

  1

  Connectez-vous pour voter

  Bonsoir Slanixxus

  Peux tu changer la regle WMI pour cette regle :

  SELECT * FROM Win32_ComputerSystem WHERE Name <> 'SERVTSE'

  Tu peux controler l'application des GPO via la commande GPRESULT /H gpresult.html et etudier le fichier gpresult.html généré.

  La GPO doit etre creer dans l'OU des utilisateurs :

  La GPO special TSE comportera le filtre WMI suivant :

  SELECT * FROM Win32_ComputerSystem WHERE Name = 'SERV01'

  La GPO de restriction des utilisateurs qui devra etre appliquer a tous les postes sauf le serveur TSE aura le filtre WMI suivant :

  SELECT * FROM Win32_ComputerSystem WHERE Name <> 'SERV01'

  L'Action du filtre WMI est de valider si le nom de la machine est dans mon cas SERV01. Si c'est le cas le filtre WMI "Name =" est alors appliqué, Si cela n'est pas le cas le filtre "Name <>" est alors appliqué.

  J'espere que cela t'aidera.

  Cordialement,

  ---

  Cordialement, Yann Biez http://www.adminsysteme.fr

  
  

  • Modifié Esteban_135 mardi 16 octobre 2012 16:30 ajout des filtres et explication.
  • Marqué comme réponse Slanixxus mercredi 17 octobre 2012 09:34

  mardi 16 octobre 2012 16:16
• 

  

  0

  Connectez-vous pour voter

  Salut Esteban,

   
  

  BRAVO nous venons enfin de venir à bout de mon TSE!

  J'ai suivi tes conseils!J'ai crée 2 filtres l'un "Name <>" et l'autre "Name =".Ensuite dans l'UO où se trouve certains users qui se connectent au TSE j'ai appliqué au GPO de restriction sur leur session le filtre "Name <>" et j'ai ajouté un GPO (qui ne s'appliquera qu'en TSE) en lui assignant le filtre "Name =".

  Et ca marche!!!!

  
  

  ---

  M. BARO

  mercredi 17 octobre 2012 10:06
• 

  

  0

  Connectez-vous pour voter

   

  Slanixxus,

  Je suis heureux de lire cette bonne nouvelle. Cela vous aura permis aussi d'intégrer la notion de fonctionnalité des filtres WMI sur les GPO.

  Je vous conseille d'explorer cette fonctionnalité car elle vous permettra d'effectuer la réalisation de GPO et de l'appliquer dans les cas complexes. Comme par exemple si OUI ou NON un logiciel est installé sur un poste client, Si le poste client est de model X ou Y. Etc…

  N'hésitez pas à revenir vers nous pour demander des compléments d'informations.

  Au plaisir.

  Cordialement,

  ---

  Cordialement, Yann Biez http://www.adminsysteme.fr

  mercredi 17 octobre 2012 10:31
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  Je suis heureux que vous avez résolu votre souci.

  Merci à tous pour vos réponses.

  Bonne journée!

  Cordialement,

  Dan

  ---

  Dan BAJENARU, MSFT    Votez! Appel à la contribution
  Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

  mercredi 17 octobre 2012 12:40
• 

  

  0

  Connectez-vous pour voter

   Merci de votre participation à tous!!!

  Vive le partage de connaissance...

  NOUVEAU DEFI tous vers le thread suivant ! 

  http://social.technet.microsoft.com/Forums/fr-FR/windowsserver2008fr/thread/1543d154-496f-4645-8e1e-30e7b297128d

  ---

  M. BARO

  mercredi 17 octobre 2012 14:11