locked
[TSE 2008] Config. environnement bureau à distance et déploiement d'applications RRS feed

  • Discussion générale

  • Bonjour,

    je travail actuellement sur un projet nécessitant qu'une poignée d'utilisateurs puissent se connecter à notre serveur (sous Windows Server 2008 R2) pour y exécuter des application sur leur bureau distant.

    Je vais essayer d'être le plus clair possible sur la configuration actuelle et mes problématiques :

    • Les utilisateurs se connectent au serveur via leur client léger (sous linux).
    • La volumétrie est très faible: 8 utilisateurs en tout.
    • La configuration réseau des 6 clients légers et des 2 stations de travail est statique, pas de DHCP.
    • Aucun contrôleur de domaine n'est pas installé.
    • Les profile utilisateur (pour accès à distance) ont été créés dans le Gestionnaire de serveur (Utilisateurs et groupes locaux)
    • Chaque profile est membre du groupe "Utilisateurs du Bureau à distance". Les autres propriétés possèdent les valeurs par défaut.
    • Le groupe "Utilisateur du Bureau à distance" est présent dans l'onglet "Sécurité" des propriétés de RDP-tcp (Configuration d'hôte de session à distance).
    • Il n'y a pas de gestionnaire de licence ou de passerelle TS installé. Cela viendra probablement après.
    • Les applications RemoteApp ne sont pas accessibles via l'interface web (inutile dans notre projet).

    Actuellement, je suis en mesure de me connecter à partir des mes clients légers sur le serveur.

    Voici mes questions:

    • Lorsqu'un utilisateur se connecte à distance, il a accès à la quasi totalité des ressources du serveur. Par "ressources", j'entends les différents disques durs, les programmes du menu Démarrer (dont la majorité peuvent être exécutés sans droits administrateur), certaines informations réseau (comme les machines du même groupe de travail), etc. Je souhaiterai pouvoir "masquer" tout ce qui n'est pas utile à l'utilisateur pour éviter que celui-ci ne soit tenté d'aller explorer les bas-fond du serveur ou lancer des programme dont il n'a pas besoin. Ce type de confinement est-il possible ? Si oui, jusqu'à quel point ?
    • A ma connaissance pour déployer mes applications (sur un poste client), j'ai deux solutions (après avoir installer l'application sur le serveur et l'avoir mappé dans la liste des RemoteApp): 1) Créer un fichier RDP, qui ne semble pas être autre chose qu'un lien vers l'application distante. 2) Créer un package MSI, qui fait mine d'installer véritablement une application dans le menu démarrer mais qui en fait, exécute l'application de manière distante. A ma connaissance toujours, les package MSI sont fait pour être distribués sur des postes de travail et non dans un environnement Bureau à distance. Est-ce optimal d'exécuter un fichier MSI à partir d'une session Bureau à distance pour bénéficier d'un programme installé sur le serveur ? Ou dois-je plutôt passer par un fichier RDP ? A priori la question ne se pose pas pour les deux station de travail sur lesquelles j'exécuterai les fichiers MSI.
    • Je souhaiterai configurer le même environnement applicatif pour tous les comptes utilisateurs. Pour cela, en l'état actuel de mes connaissances, je dois passer par un groupe (GPO) géré par AD pour lequel je stipule quelles sont les applications dont peuvent bénéficier les utilisateurs. Ai-je bon jusque là ?
    • Si oui, alors j'ai un souci puisque, à ma connaissance, depuis Windows Server 2003, il n'est plus possible de mettre en place des accès clients distant (via TSE) sur un serveur faisant office de contrôleur de domaine (et que la configuration des applications accessibles en fonction d'un groupe passe par Active Directory, d'après la doc).
    Si automatiser la mise en place d'applications est trop lourds, rien ne m'empêche de me logger sur les 8 sessions et d'y exécuter les fichier de distribution d'application (RDP ou MSI, je sais pas). Si vous pensez que c'est le plus simple pour moi :)

     

    Cela fait beaucoup de questions, je sais. Mais sans espérer me fournir une solutions clef en main, j'aimerai pouvoir éclaircir au mieux toute ces problématiques.

    Enfin sachez que j'ai en ma possession le livre "TSE2008 - Clients légers : Architecture et implémentation " avec lequel je n'ai malheureusement pas trouvé mon bonheur. Je suis à la recherche d'un ouvrage plus poussé (Français ou Anglais, comme le propose l'éditeur SAMS avec la série UNLEASHED). Si vous avez des références pointues à me communiquer, je suis preneur :)

    N'hésitez pas à me solliciter plus de précisions si besoin !!

     

    D'avance merci, bonne journée.
    --
    Cordialement,
    Florent

    mardi 11 janvier 2011 10:55

Toutes les réponses

  • Bump ?


    Cordialement, Florent Tatard
    mercredi 12 janvier 2011 09:28
  • Bonjour Roxana et merci pour votre réponse.

    En effet cela fait deux jours que je passe en revu toute la documentation disponible à ce sujet sur Technet. Je vous avouerez que plus ma lecture avance, et plus je découvre les limitations de Windows Server 2008R2...

    Je tâcherai bien évidement de vous tenir au courant de l'avancement de mes recherches.

    Bonne journée.


    Cordialement, Florent Tatard
    mercredi 12 janvier 2011 09:48
  • Bonjour,

    je vais tenter de fait le point sur la situation en répondant à mes propres interrogations.
    Sachant que mes nouvelles problématiques actuelles reposent sur SQL Server (ce qui fera l'objet d'un autre message sous peu).

    Voici mes questions:

    • Lorsqu'un utilisateur se connecte à distance, il a accès à la quasi totalité des ressources du serveur. Par "ressources", j'entends les différents disques durs, les programmes du menu Démarrer (dont la majorité peuvent être exécutés sans droits administrateur), certaines informations réseau (comme les machines du même groupe de travail), etc. Je souhaiterai pouvoir "masquer" tout ce qui n'est pas utile à l'utilisateur pour éviter que celui-ci ne soit tenté d'aller explorer les bas-fond du serveur ou lancer des programme dont il n'a pas besoin. Ce type de confinement est-il possible ? Si oui, jusqu'à quel point

    Oui ce confinement est possible mais il nécessite l'installation d'un contrôleur de domaine (Active Directory) pour gérer les profiles utilisateurs qui seront rassemblés dans le groupe "'Utilisateurs du bureau à distance" du serveur TSE. La configuration de l'environnement sur lesquels les clients se connectent (les droits d'accès aux ressources citées dans ci-dessus) passe par les GPO qu'il faut paramétrer et appliquer aux dits utilisateurs.

    Il reste un souci (il me semble) qui est que l'installation d'un contrôleur de domaine sur un serveur interdit l'accès Bureau à distance aux profiles clients déclaré sur cette même machine. Il faut donc découpler la partie "Serveur contrôleur de domaine" et "Service(s) TSE". C'est d'ailleurs l'objet de mon dernier point.

    Dans mon cas, je n'ai pas cette possibilité. Donc tous les utilisateurs auront accès à toutes les ressources du serveur qui ne nécessitent pas les droits administrateur. C'est un risque de sécurité et de monté en charge non contrôlée du serveur... mais pour l'instant, on s'en contente.

     

    • A ma connaissance pour déployer mes applications (sur un poste client), j'ai deux solutions (après avoir installer l'application sur le serveur et l'avoir mappé dans la liste des RemoteApp): 1) Créer un fichier RDP, qui ne semble pas être autre chose qu'un lien vers l'application distante. 2) Créer un package MSI, qui fait mine d'installer véritablement une application dans le menu démarrer mais qui en fait, exécute l'application de manière distante. A ma connaissance toujours, les package MSI sont fait pour être distribués sur des postes de travail et non dans un environnement Bureau à distance. Est-ce optimal d'exécuter un fichier MSI à partir d'une session Bureau à distance pour bénéficier d'un programme installé sur le serveur ? Ou dois-je plutôt passer par un fichier RDP ? A priori la question ne se pose pas pour les deux station de travail sur lesquelles j'exécuterai les fichiers MSI.

    Je n'ai pas encore pris de décision sur le mode de déploiement mais il semble que la distribution de fichier RDP soit de loin de plus simple. L'intérêt des fichier MSI étant très limité puisque notre infrastructure ne comporte pas de contrôleur de domaine (comme précisé précédemment).

     

    • Je souhaiterai configurer le même environnement applicatif pour tous les comptes utilisateurs. Pour cela, en l'état actuel de mes connaissances, je dois passer par un groupe (GPO) géré par AD pour lequel je stipule quelles sont les applications dont peuvent bénéficier les utilisateurs. Ai-je bon jusque là ?

    A priori j'avais bon, bien qu'il faille probablement des années de pratique avant de bien maitriser SQL Server 2008. Les GPO sont décidément la clef de l'administration sous WS :)

    Ma configuration est bien loin d'être optimal et complète (la problématique des licence n'a pas encore été traitée) mais les remoteApp distribuées sur les profiles client sont fonctionnelles, c'est l'essentiel.

    Au moins j'aurai appris plein de choses, et pour un étudiant c'est forcement positif :) Je relancerai éventuellement ce sujet si j'ai des informations supplémentaire à y apporter.


    Cordialement, Florent Tatard
    vendredi 21 janvier 2011 15:35