none
RDS, GPO et filtrage de sécurité RRS feed

  • Question

  • Bonjour à tous,

    Apres de nombreux tests je me decide a faire un post, je vous explique :

    Un Serveur RDS Windows 2012 R2 dans une AD géré par deux serveurs en windows 2008 avec les ADMX importés dans l'AD.

    Concretement sur mon 2008 je possede un groupe "1-RDS 2012 RDS" membre du groupe "Utilisateurs du bureau à distance" ainsi je peux au niveau du 2012 (propriété RDS) spécifié que seul les membres du groupe "1-RDS 2012 RDS" peuvent se connecter au serveur.

    Jusque la pas de probleme en revanche sur mon OU "Utilisateurs" j'applique de maniere a parametrer les bureaux RDS une GPO avec un filtre de sécurité sur mon groupe "1-RDS 2012 RDS" puis un filtrage WMI sur l'OS pour du 2012R2 (select * from Win32_OperatingSystem where Version like "6.3%" and ProductType = "3")

    Quand je me connecte sur le serveur avec un utilisateur membre du groupe "1-RDS 2012 RDS" je peux ouvrir une session RDS (normal) mais ma GPO ne s'applique pas !!!

    Si je fais un "GPRESULT /R" mon utilisateur est bien dans le bon groupe mais je ne vois meme pas ma GPO en refusée ou acceptée... Chose encore plus bizarre si au lieu du groupe "1-RDS 2012 RDS" je place le groupe "Utilisateurs authentifiés" dans mon filtrage de sécurité ma GPO s'applique...

    Je precise que je possede deux autres RDS en 2008 et que j'ai toujours utilisé une GPO avec en filtrage des groupes mais que la même en creant un nouveau groupe pour test et en mettant mes utilisateurs cette GPO ne s'applique pas.

    Si vous avez une piste ?

    Merci

    mardi 21 juin 2016 12:22

Réponses

Toutes les réponses

  • Bonjour,

    Oui, vous avez appliqué MS16-072 et il manque dans la GPO sur l'onglet delegation la permission 'Read' (lecture) pour 'authenticated users' (le groupe AD 'utilisateurs authentifiés)

    C'est nouveau et documenté dans https://support.microsoft.com/fr-fr/kb/3163622

    mardi 21 juin 2016 15:58
  • Si vous ajoutez utilisateurs authentifié la GPo s'applique à tous les utilisateurs. Si vous voulez quelles s'appliquent à un groupe d'utilisateur spécifique , mettez en plus du groupe d'utilisateur le groupe "ordianteur du domaine".

    Le changement depuisla mise à jour est que l'accès au partage contenant les GPO se fait avec le compte de machine, naturellment inclus dans utilisateurs authentifié. Si vous mettez ordinateur du domaine, les serveur TS peut lire la GPO et elle sne sera appliqué que pour le groupe d'utilisateur.

    mardi 21 juin 2016 16:07
    Modérateur
  • Merci à vous !!! En effet j'ai ajouté en delegation en lecture le groupe "Authenticated users" et miracle ma GPO s'applique bien sur mes groupes RDS.

    Encore merci !

    mercredi 22 juin 2016 12:33