none
Bloquer l'accès RDP aux utilisateurs, mais laisser RemoteApp RRS feed

  • Question

  • Bonsoir à tous,

    J'ai déployé une infrastructure RDP chez un client, avec RemoteApp.

    Je souhaiterai empêcher les utilisateurs de pouvoir ouvrir une session RDP standard sur le serveur.
    Mais ils doivent quand même utiliser RemoteApp, est-ce possible ?

    J'aimerai qu'ils ne puissent plus ouvrir une session directement dans un client RDP afin de bloquer l'accès au serveur.. les disques locaux, les divers paramètres etc. Je préfère bloquer plutôt que devoir déployer plein de GPO juste pour 3 utilisateurs.


    Meilleures salutations


    Plus tu pédales moins vite moins t'avance plus vite

    lundi 18 août 2014 18:18

Réponses

  • Bonjour,

    l'accès /lancement d'une Une App publiée sur un RD SH (RemoteApp) se fait à l'aide du protocole RDP, bloquer l'accès à distance via RDP = bloquer l'accès aux remoteApps. d'ailleurs au lancement de la remoteApp en cliquant sur afficher les details on peut constater l'ouverture d'une session à distance.

    Je connais une technique que je te conseille pas d'utiliser qui consiste à modifier 3 valeurs au niveau du BDR, j'ai été amené à le faire chez un client (bank) assez exigent en matière de sécurité mais y'a eu des effets de bord.

    De toute façon si tes users ont des comptes users AD "standard" ils pourront pas faire grand chose sur les serveurs.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy


    jeudi 21 août 2014 17:52
  • Bonjour Moule-a-Gaufre,

    Je vous invite à consulter cet article pour la partie restriction accès aux disques locaux pour les users distants :

    http://blogs.msdn.com/b/rds/archive/2011/05/26/how-to-restrict-users-from-accessing-local-drives-of-an-rd-session-host-server-while-using-remoteapp-programs.aspx

    C'est clair et assez complet, en gros il faut configurer un paramètre GP pour cacher ou interdire l'accès aux users standard AD qui se connectent via un serveur hote de session BàD.

    Goodluck.

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy

    • Marqué comme réponse Moule-a-Gaufre mercredi 3 septembre 2014 18:11
    dimanche 24 août 2014 14:54
  • Tout à fait :).

    Pour la configuration des GPO, il existe deux outils :

    > (GPEDIT.MSC) Editeur de stratégie de groupe locale : les paramètres de stratégies de groupes configurés seront appliqués uniquement sur la machine locale et les utilisateurs locaux et du domaine qui s'y connectent.

    > (GPMC.MSC) : Console de gestion de stratégie de groupe basé sur l'éditeur de stratégie de groupe local mais concerne les utilisateurs et ordinateurs du domaine.

    Dans votre cas, il suffit de lancer GPEDIT.MSC depuis le serveur TSE en question, ensuite 

    > Naviguez jusqu'au : Configuration Utilisateur\Modèles d'Administration\Composants Windows\Explorateur de fichiers\

    > Localisez les deux paramètres 

       * Dans Poste de travail, masquer ces lecteurs spécifiés

       * Empêcher l'accès aux lecteurs à partir du Poste de travail

    > Enfin, cliquez sur Activé pour les deux paramètres, et choisissez une combinaison : l'accès à C uniquement, C & D, D uniquement ou à tous les lecteurs ...etc

    N'oubliez pas de lancer par la suite l'invite de commande (cmd.exe) et saisir : gpupdate /force pour actualiser le moteur de stratégie de groupe.

    Après cette opération, tous les utilisateurs standard se connectant sur le serveur TSE vont se voire appliquer ces deux paramètres de GP et donc n'auront aucune possibilité de voir ou d'accéder aux disques locaux /partitions :).

    Goodluck.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy




    mercredi 3 septembre 2014 18:39
  • ah j'ai carément oublié, vous êtes dans un domaine AD.

    Dans ce cas là, vous devez créer une GPO depuis GPMC.msc et ciblés l'objet (utilisateurs ou groupes sur lequel appliqué la GPO).

    La meilleure facon est de créer un groupe AD (RestrictedRDSUsers par exemple) auquel vous ajoutez les comptes AD des 3 personnes, ensuite vous créer la GPO, vous configurez les deux paramètres GPO pour cacher /restreindre l'accès aux lecteurs locaux et l'appliquez uniquement à :

    Groupe AD : RestrictedRDSUSers (contenant les comptes AD des 3 utilisateurs)

    Serveur TSE en question

    Voir cet exemple dans lequel je créer une GPO nommée "Test" que j'édite pour configurer les 2 paramètres de stratégie de groupe ensuite je l'applique uniquement sur l'utilisateur "vLAN\hkadiri" et sur le serveur SRV2012R2.

    C claire pour vous ?

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    jeudi 4 septembre 2014 18:13

Toutes les réponses

  • Bonsoir à tous,

    J'ai déployé une infrastructure RDP chez un client, avec RemoteApp.

    Je souhaiterai empêcher les utilisateurs de pouvoir ouvrir une session RDP standard sur le serveur.
    Mais ils doivent quand même utiliser RemoteApp, est-ce possible ?

    J'aimerai qu'ils ne puissent plus ouvrir une session directement dans un client RDP afin de bloquer l'accès au serveur.. les disques locaux, les divers paramètres etc. Je préfère bloquer plutôt que devoir déployer plein de GPO juste pour 3 utilisateurs.


    Meilleures salutations


    Plus tu pédales moins vite moins t'avance plus vite

    Bonjour Moule à Gaufre,

    As-tu essayé avec ceci :


    Blog
    Scripts

    lundi 18 août 2014 19:40
  • Bonjour,

    « Interdire l'ouverture d'une session locale, n'impacte pas les sessions rdp "sessions distantes". »

    pour répondre à votre question, je ne crois pas qu'une telle configuration est possible, en tous cas pas à ma connaissance, je m'explique, en effet pour qu’ un utilisateur utilise une session distante il a besoin du protocole RDP "cas de windows" et d'un client « RDC » qui va initier et interpréter cette session, et dans les deux cas "utilisation d'une session distante normal ou ouverture d'une application Remote App ou WebApp", l'utilisateur ouvre une session TSE, ce qui rend très difficile voir impossible de lui interdire l'ouverture de session, car cela revient à l’empêcher d’ouvrir la session, même le fait de lui interdire l’utilisation par exemple du client RDC sur son poste, va l’empêcher de lancer une application Remote App.

    Il faudra creuser un peut, je vous tiendrai au courant, à vari dire je n'ai jamais pensé à ce besoin.

    A+



    L’information n’a de valeur que si elle est partagée!! AK

    mardi 19 août 2014 09:05
  • Bonjour,

    l'accès /lancement d'une Une App publiée sur un RD SH (RemoteApp) se fait à l'aide du protocole RDP, bloquer l'accès à distance via RDP = bloquer l'accès aux remoteApps. d'ailleurs au lancement de la remoteApp en cliquant sur afficher les details on peut constater l'ouverture d'une session à distance.

    Je connais une technique que je te conseille pas d'utiliser qui consiste à modifier 3 valeurs au niveau du BDR, j'ai été amené à le faire chez un client (bank) assez exigent en matière de sécurité mais y'a eu des effets de bord.

    De toute façon si tes users ont des comptes users AD "standard" ils pourront pas faire grand chose sur les serveurs.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy


    jeudi 21 août 2014 17:52
  • Bonjour,

    Effectivement c'est ce que je pensais.

    On voit clairement que RemoteApp ouvre une session normale RDP.

    Mais sur le serveur en question, il y a les lecteurs C: et D: qui ont des données critiques, et malheureusement les utilisateurs peuvent donc aller fouiller la dedans.

    Je vais devoir mettre en place des dizaines de GPO pour contrôler cela, et ça m'embête beaucoup.

    Salutations


    Plus tu pédales moins vite moins t'avance plus vite

    dimanche 24 août 2014 14:18
  • Bonjour Moule-a-Gaufre,

    Je vous invite à consulter cet article pour la partie restriction accès aux disques locaux pour les users distants :

    http://blogs.msdn.com/b/rds/archive/2011/05/26/how-to-restrict-users-from-accessing-local-drives-of-an-rd-session-host-server-while-using-remoteapp-programs.aspx

    C'est clair et assez complet, en gros il faut configurer un paramètre GP pour cacher ou interdire l'accès aux users standard AD qui se connectent via un serveur hote de session BàD.

    Goodluck.

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy

    • Marqué comme réponse Moule-a-Gaufre mercredi 3 septembre 2014 18:11
    dimanche 24 août 2014 14:54
  • Merci beaucoup.

    Dernière question, comment puis-je appliquer la GPO aux utilisateurs sur le Serveur, sans que cela applique les paramètres sur les stations Windows 7 ?

    Les utilisateurs étant membres du domaine, si j'applique la GPO sur le domaine, les postes seront aussi concernés.

    Meilleures salutations

    Plus tu pédales moins vite moins t'avance plus vite

    mercredi 3 septembre 2014 18:13
  • Tout à fait :).

    Pour la configuration des GPO, il existe deux outils :

    > (GPEDIT.MSC) Editeur de stratégie de groupe locale : les paramètres de stratégies de groupes configurés seront appliqués uniquement sur la machine locale et les utilisateurs locaux et du domaine qui s'y connectent.

    > (GPMC.MSC) : Console de gestion de stratégie de groupe basé sur l'éditeur de stratégie de groupe local mais concerne les utilisateurs et ordinateurs du domaine.

    Dans votre cas, il suffit de lancer GPEDIT.MSC depuis le serveur TSE en question, ensuite 

    > Naviguez jusqu'au : Configuration Utilisateur\Modèles d'Administration\Composants Windows\Explorateur de fichiers\

    > Localisez les deux paramètres 

       * Dans Poste de travail, masquer ces lecteurs spécifiés

       * Empêcher l'accès aux lecteurs à partir du Poste de travail

    > Enfin, cliquez sur Activé pour les deux paramètres, et choisissez une combinaison : l'accès à C uniquement, C & D, D uniquement ou à tous les lecteurs ...etc

    N'oubliez pas de lancer par la suite l'invite de commande (cmd.exe) et saisir : gpupdate /force pour actualiser le moteur de stratégie de groupe.

    Après cette opération, tous les utilisateurs standard se connectant sur le serveur TSE vont se voire appliquer ces deux paramètres de GP et donc n'auront aucune possibilité de voir ou d'accéder aux disques locaux /partitions :).

    Goodluck.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy




    mercredi 3 septembre 2014 18:39
  • Vous êtes un chef.

    Je vous remercie beaucoup pour vos informations.


    Meilleures salutations


    Plus tu pédales moins vite moins t'avance plus vite

    jeudi 4 septembre 2014 16:06
  • Du coup cela s'applique également à l'utilisateur Administrateur ?

    Plus tu pédales moins vite moins t'avance plus vite

    jeudi 4 septembre 2014 16:32
  • Oui mais une technique existe pour que la GPO ne soit appliquée qu'aux utilisateurs standard.

    au lieu d'utiliser gpedit.msc, il faudrait plutôt suivre les instructions suivantes :

    1. depuis l'interface UI, saisir mmc.exe

    2. la console MMC (vièrge s'ouvre), cliquez ensuite dans le menu "Fichier" et sélectionnez "Ajout /Supprimer composant logiciel enfichable"

    3. Choisir dans la liste (volet gauche) : Editeur d'objets de stratégie de groupe, cliquez sur Ajouter

    4. Dès que vous cliquez sur Ajouter, un assistant s'ouvre, cliquez sur Parcourir comme illustré dans l'image ci-après :

    5. Ensuite depuis l'onglet "Utilisateurs" sélectionnez "Non-Administrateurs", comme ça la GPO ne s'appliquera sur la machine local qu'uniquement aux utilisateurs non Administrateurs.

    Cliquez sur OK, après Terminer.

    Enfin, il faudrait reparamétrer les deux memes paramètres et enregistrer la console sur le bureau (fichier .mmc), vous pourrez le supprimer par la suite. la config ne changera pas.

    Testez cette solution et tenez moi informé du résultat :)

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy


    jeudi 4 septembre 2014 16:52
  • Je n'ai pas la possibilité de choisir un utilisateur.

    Il s'agit d'un Server 2012.


    Plus tu pédales moins vite moins t'avance plus vite

    jeudi 4 septembre 2014 17:53
  • ah j'ai carément oublié, vous êtes dans un domaine AD.

    Dans ce cas là, vous devez créer une GPO depuis GPMC.msc et ciblés l'objet (utilisateurs ou groupes sur lequel appliqué la GPO).

    La meilleure facon est de créer un groupe AD (RestrictedRDSUsers par exemple) auquel vous ajoutez les comptes AD des 3 personnes, ensuite vous créer la GPO, vous configurez les deux paramètres GPO pour cacher /restreindre l'accès aux lecteurs locaux et l'appliquez uniquement à :

    Groupe AD : RestrictedRDSUSers (contenant les comptes AD des 3 utilisateurs)

    Serveur TSE en question

    Voir cet exemple dans lequel je créer une GPO nommée "Test" que j'édite pour configurer les 2 paramètres de stratégie de groupe ensuite je l'applique uniquement sur l'utilisateur "vLAN\hkadiri" et sur le serveur SRV2012R2.

    C claire pour vous ?

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    jeudi 4 septembre 2014 18:13
  • Le fonctionnement est clair.

    2 questions:
    A quel endroit il faut créer la GPO dans Gestion des stratégies de groupe ? dans le domaine ? dans domain controllers ?

    Quand on a créé la GPO, ou et comment appliquer les 2 filtres GroupesAD + Serveur RD ?

    Merci :)


    Plus tu pédales moins vite moins t'avance plus vite

    jeudi 4 septembre 2014 19:41
  • de préférence, créez la GPO au niveau de l'OU contenant les comptes utilisateurs & serveur TSE (si ces objets AD sont dans la meme OU) ou sinon à la racine comme illustré dans cette image :

    Pour la deuxième question, il faut spécifier les comptes AD des 3 utilisateurs ainsi que le serveur TSE dans la rubrique Filtrage de sécurité, comme montré dans l'image ci-dessus.

    Dans cet exemple, j'applique la GPO au serveur SRV2012R2 & à l'utilisateur hkadiri.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    jeudi 4 septembre 2014 20:17
  • Bonjour,

    Après test, tout était en ordre et fonctionnel.

    Mais ce matin, appel en urgence du client. Les lecteurs réseaux ne fonctionnent plus..
    Pire encore, le serveur ne répond plus aux pings.

    Je diagnostique, le problème ne concerne que 2 PC Windows 8. Les PC Windows 7 fonctionnent normalement.

    Plus de ping, plus de DNS, plus de DHCP.. en gros la communication entre les PC Windows 8 et le serveur est totalement rompue. Impossible donc de faire un Gpupdate.

    C'est comme si un paramètre GPO s'était propagé sur les stations Windows 8, rendant le réseau inaccessible. Mais uniquement sur le serveur, car Internet fonctionne et je peux pinger le routeur.

    Savez-vous comment je peux faire un gros reset des paramètres GPO qui sont sur les PC Windows 8 ?
    A moins que le problème vienne du serveur, ce que je doute, car les PC W7 fonctionnent correctement.


    Salutations


    Plus tu pédales moins vite moins t'avance plus vite

    vendredi 5 septembre 2014 07:47
  • Comment avez-vous configuré la GPO et sur quel objet l'avez-vous appliqué (filtrage de sécurité) ?

    Sinon pour reset les paramètres, il suffit tout simplement d'éditer la GPO, remettre les paramètres configurés à leurs valeurs de base (Non configuré), par la suite supprimer la GPO, gpupdate /force coté serveur & poste  de travail et c tout.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    vendredi 5 septembre 2014 08:37
  • Je viens de partiellement résoudre la panne.

    Sur le PC Windows 8, j'ai désactivé la carte réseau ethernet et j'ai activé la carte réseau WiFi.

    La connexion est parfaite et fonctionne à 100%.
    Il y a donc un gros problème à quelque part en rapport avec la carte réseau ethernet.

    Je vais aller sur place m'occuper du 2ème PC qui n'a qu'une seule carte réseau.


    Plus tu pédales moins vite moins t'avance plus vite

    vendredi 5 septembre 2014 09:56
  • Merci pour ce retour.

    Merci de marquer toutes les réponses qui vous ont aidé à résoudre votre problème.

    Ca servira pour d'autre personne rencontrant le même problème.

    Goodluck pour la suite.

    A+

    Hicham.


    Hicham KADIRI | Just Another IT Guy

    vendredi 5 septembre 2014 12:10
  • Bonjour,

    Je souhaitais finaliser la configuration initiale, et je rencontre un problème.. le problème de départ.

    Il m'est impossible de séparer l'application de la GPO_RDP du serveur des postes clients.

    J'ai essayé d'appliquer une GPO_Extensions pour configurer l'ouverture de différents fichiers avec un filtre en configurant comme vous l'avez fait:
    - Le serveur
    - Les utilisateurs

    Si je lance un gpresult -r sur les postes clients, la GPO apparait.
    Je suis bloqué.

    J'ai essayé de créer un Filtre VMI mais à chaque fois (quelque soit la requête) j'ai l'erreur suivante:

    C'est désespérant, c'est simple et pourtant rien ne fonctionne correctement. Soit cela s'applique tout le temps, soit jamais.


    Plus tu pédales moins vite moins t'avance plus vite

    lundi 10 novembre 2014 23:54
  • Bonjour Moule-a-Gaufre,

    Comme mentionné dans les précédents messages, interdire les ouvertures de sessions Bureau à distance et autoriser uniquement l'accès aux remoteapp est une opération impossible !

    J'ai été amené à collaborer avec quelques personnes travaillant pour le compte de MS USA (equipe de dev RDS) et je vous confirme qu'il n'y a pas moyen de faire cette action. 

    Ce que microsoft ou meme vous recommande, c'est restreindre l'accès au maximum à votre serveur Hote de session, et ce, on mettant en place des GPO, pour par exemple :

    > Restreindre l'accès au panneau de configuration

    > Accès disques locaux

    > Tous les programmes du menu démarré

    > Menu Exécuté

    > ...

    Il y'a des milliers de paramètre de stratégie de groupe vous permettant de restreindre l'accès à beaucoup de fonctionnalités /options du panneau de configuration, pour rendre votre serveur Hote de session sécurité au max.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    mardi 11 novembre 2014 14:55
  • Bonjour!

    Justement, j'ai donc décidé d'utiliser une solution GPO pour sécuriser l'ouverture des sessions sur le serveur.

    Mais je n'arrive pas à n'appliquer la GPO que sur le serveur, donc la GPO s'applique également sur les PC clients, imaginez donc le PC du directeur avec les paramètres de restrictions activés...

    J'ai repris votre configuration, mais cela ne fonctionne pas.

    mardi 11 novembre 2014 15:53
  • Re Bonjour,

    Je vois, mais j'imagine que les PCs clients (objet Ordinateur AD) ne sont pas situés dans la même OU que les serveurs RDS !!

    Si c'est le cas, organisez vous par GPO pour faire en sorte que les PC clients soient dans une OU dédiée (type : Ordinateurs) et une OU ServeursRDS ou autre. créez et appliquez ensuite les paramètres de restrictions uniquement sur l'OU serveurs. donc les PCs clients ne seront pas touchés par ces modificaitons.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    mardi 11 novembre 2014 16:24
  • Bonsoir,

    Donc je crée mes OU ainsi:

    Je déplace le SRVRDP dans Serveurs, et les PC Clients dans Ordinateurs.
    Et j'applique la GPO sur l'OU Serveurs avec [filtre SRVGPO + Utilisateurs] ?


    Plus tu pédales moins vite moins t'avance plus vite

    mardi 11 novembre 2014 17:24
  • C'est ça :).


    Hicham KADIRI | Just Another IT Guy

    mardi 11 novembre 2014 17:34
  • Testé à l'instant, sans succès.

    La GPO ne s'applique pas sur le serveur avec une session utilisateur.

    J'ai testé avec le filtre:
    SRVRDP + Utilisateurs authentifiés
    SRVRDP + Utilisateur Test

    la GPO ne s'applique jamais.


    Plus tu pédales moins vite moins t'avance plus vite

    mardi 11 novembre 2014 23:43
  • l'OU sur laquelle la GPO a été appliquée est bien celle ou votre serveur RDS est situé ?

    Essayez de faire la chose suivante dans un premier :

    > Placez uniquement le serveur SRVRDP dans l'OU : Serveurs

    > Créez une GPO nommée "RDSRestriction" par exemple

    > Configurez l'ensemble des paramètres de restrictions

    > Laissez le fitlrage de sécu par défaut : Utilisateurs authentifiés

    > Ouvrez une session Bureau à distance pour tester

    > Notez le résultat.


    Hicham KADIRI | Just Another IT Guy

    mercredi 12 novembre 2014 10:18
  • Bonjour,

    Merci encore pour votre support.

    Oui c'est exactement ça.
    Je viens de tester et sans succès.

    La GPO n'est pas appliquée et n'est pas présente dans le test gpresult -r


    Plus tu pédales moins vite moins t'avance plus vite

    mercredi 12 novembre 2014 12:10
  • Bonsoir,

    Cette fois je pense avoir résolu le problème.
    Voici l'arborescence utilisée.

    Après diagnostique, "Utilisateurs Authentifiés" contient également l'utilisateur Administrateur.

    Quelques éléments restent par contre en attente de réponse:
    - Pourquoi la GPO WSUS n'apparait jamais dans gpresult-r alors qu'elle est appliquée ?
    - La GPO_RD a besoin du SRVRDP dans le filtrage de sécurité pour fonctionner
    - La GPO_Ext n'a pas besoin du SRVRDP dans le filtrage de sécurité pour fonctionner
    - Impossible pour moi de créer un Filtre WMI, voici l'erreur

    Quoi qu'il en soit, la configuration est fonctionnelle et je remercie tout le monde pour le support :-)))


    Plus tu pédales moins vite moins t'avance plus vite



    jeudi 13 novembre 2014 01:12