Windows Server 2012 & TSE
Classé dans : Windows - Mots clés : TSE, RDPPour une fois, je vais parler de Windows et plus spécifiquement de la gestion d'un serveur TSE sur lequel on se connecte à distance par RDP.
Configuration de Serveurs OVH
Les serveurs Windows d'OVH Cloud public sont livrés prêts à l'emploi mais nécessite un petit coup de tournevis.
En Français
L'interface des serveurs est en langue anglaise. Pour obtenir une interface en Français, il faut installer le pack de langue Française depuis le panneau de contrôle : Control Panel ==> Clock, Language and Region, Language ==> Français !
L'installation est très très très longue : prenez votre mal en patience !
Il est possible de définir la langue pour tous les utilisateurs du serveur.
A l'heure
Au démarrage, l'horloge du serveur est décalé : il faut la recaler (sur un serveur de temps).
A faire à chaque redémarrage, après récupuration depuis un snapshot.
Installation de programmes
Pour installer des programmes, à l'heure actuelle, on télécharge depuis internet. Internet Explorer est bloqué par défaut. Il peut être intéressant de le débloquer comme indiqué dans les instructions d'OVH pour ses serveurs ou sur le blog d'Akril, mais de préférence uniquement pour les Administrateurs.
On peut aussi télécharger Firefox et/ou Chrome ... et ne pas les rendre disponibles pour les Users, (cf. point 4 du chapitre Restriction des droits des utilisateurs, ci-dessous)
Création des utilisateurs
On crée des utilisateurs soit par la gestion des utilisateurs du panneau de configuration, soit par le Computer Management => Local Users and Groups .
Si les utilisateurs ne sont pas administrateurs, il faut les ajouter au groupe Remote Desktop Users :
- Ouvrir Computer Management
- Cliquer sur Local Users and Groups
- puis double-cliquer sur le dossier Groups
- double cliquer Remote Desktop Users, et puis Add....
- et tapez le nom de l'utilisateur que vous voulez ajouter
(cf. Technet pour plus de détails)
Restriction des droits des utilisateurs
A priori, les utilisateurs connectés n'auront le droit que de lancer quelques applications et d'accéder quelques répertoires :
- Créer un groupe pour ces utilisateurs
- Créer un ou des répertoires et donner tous les droits au groupe et aucune aux autres utilisateurs (Users) : il faut supprimer les droits hérités sur le répertoire.
- Supprimer les icônes Server Manager et Power Shell, ajoutés à la création de l'utilisateur dans la barre de lancement en suivant les instructions de Clint.
- On peut aussi supprimer l'accès à des programmes en supprimant les droits d'accès au répertoire dans C:\Program Files\
Tant qu'on en est à gérer les droits des utilisateurs, il ne faut pas oublier de les faire membre du groupe Remote Desktop Users, afin de pouvoir se connecter avec une session RDP.
Si on veut empêcher TOUS les utilisateurs d'exécuter un programme, il faut suivre les instructions du support Windows.
Licences TSE
REMARQUE : on peut aussi utiliser JetClouding plutôt que TSE qui est tout aussi efficace et bien moins cher et qui propose de nombreuses options supplémentaires.
Par défaut, on n'a que 2 accès TSE activées sur un serveur Windows 2012, tout neuf.
Il faut activer le serveur de licences TSE : comme décrit dans un article de devellopez (ou sur le blog) ou bien plus en détails sur Installation d'un petit serveur avec TSE sur TechRef.
ATTENTION : après redémarrage du serveur, il faut attendre quelques minutes (au moins 10) avant que le service ne soit activé. Donc le serveur sera redémarré ... mais vous ne pourrez pas vous y connecter immédiatement : soyez patient !
On a 120 jours de grâce après il faut acheter des licences supplémentaires (par 1, ou par 5).
ATTENTION : il sera peut-être nécessaire d supprimer une clef de registre pour que le délia de grâce ne soit plus pris en compte, comme indiqué dans les commentaires de l'Installation d'un petit serveur avec TSE sur TechRef.
Voir aussi un post d'informatiweb-pro et la description de la politique de licences RDS par Microsoft.
Partages
Partage de fichiers
On pourrait installer WebDav (avec IIS) mais le partage réseau standard (avec Samba) fonctionne bien, donc juste clic-droit sur un dossier, et Partager.
D'autre part, avec le client RDP de Windows (Connexion à Distance), on peut copier/coller des fichiers ... ça fonctionne super bien.
Avec le client Remmina (sous Linux), il suffit de cocher Dossier Partagé (dans la fenêtre de préférences de connexion) et on partage un dossier de l'ordinateur local avec l'ordinateur distant : c'est moins sexy, mais ça fonctionne aussi bien.
Partage d'imprimante
Si on a installé les services TSE (comme il faut), on aussi le service Easy Print (qui existe depuis la version Windows Server 2008). Celui-ci crée des imprimantes "proxy" sur l'ordinateur distant qui correspondent aux imprimantes de l'ordinateur local (si celui-ci est sous Windows). Vous pouvez donc imprimer directement sur vos imprimantes locales.
Certains ont eu des soucis avec Easy Print (moi pas): Romain indique comment se dépanner, Serkan aussi, et aussi sur le support de Microsoft enfin si vous avez des soucis avec des imprimantes réseaux, la solution est sur puters.net.
Cependant, pour des grosses impressions avec une connexion faiblarde (mais dans ce cas, l'impression ne sera pas votre seul problème) on peut préférer une impression sans Easy Print, comme indiqué par Asitha sur Technet.
On peut aussi vouloir utiliser l'imprimante grâce au logiciel RDS Print.
Accès depuis un browser web
Pour les tablettes et smartphones, mais aussi pour un accès facilité depuis n'importe quel ordinateur (même s'il existe des clients RDP pour tous les appareils), on installera le logiciel Optimal Web (qui nécessitera l'installation de Java).
ATTENTION : en cas de redémarrage du serveur, il faut retourner dans l'application OptimalWEB pour redémarrer les serveurs Web.
On peut aussi vouloir l'application Libre Guacamole qui donne un accès centralisé à tous vos accès distants via un serveur (Tomcat).
Une seule application
On peut aussi au lieu de fournir toute une session avec un bureau, lors de la connexion au serveur TSE, ne fournir qu'une seule application.
Cela nécessite de définir des scénarios de Group Policy et d'ajouter un script, comme indiqué sur WindowSecurity ou bien avec la gestion TSE : le tout bien expliqué dans une note Technet.
Logiciels RDP
Pour se connecter à votre serveur TSE, il vous faut un logiciel RDP.
Windows est livré avec le logiciel Connexion Bureau à Distance ... qui fonctionne très bien !
Avec Linux, on a le choix (comme souvent) mais je préfère Remmina.
Sous Macintosh, Microsoft fournit également Connexion Bureau à Distance, et il existe un logiciel open-source CoRD : je ne sais pas si un est meilleur que l'autre.
Et voilà, bon lancement de sessions TSE (avec un logiciel RDP ... qui a dit Remmina) !