1/14

BTS SIO / Module SI 5 Mise en place d’un serveur d’application TS

M. KARROUM

Installation et configuration d’un serveur TSE sous Windows 2008 R2

Cet atelier porte sur l’installation et la configuration d’un serveur TSE dans un environnement

Windows 2008 R2. La configuration de départ comprend un serveur Active Directory et DNS.

1- Installation de l’Autorité de Certification

Dans le gestionnaire de serveur, installer le rôle « Service de certificats Active Directory »

Puis sélectionner « Autorité de certification »

Puisque nous sommes dans une configuration en domaine, sélectionner « Entreprise »

2/14

Puis Autorité de certification racine

Sélectionner « Créer une nouvelle clé privé »

Puis configurer les paramètres du certificat, à savoir, la longueur de la clé, l’algorithme de hachage,

le nom du certificat, sa durée de validité ainsi que l’emplacement de la base de données de

certificats. Ici, nous laisserons les paramètres par défaut.

Enfin cliquer sur « Installer »

3/14

2- Installation des services TSE

Dans le gestionnaire de serveur, sélectionner le rôle « Service Bureau à distance »

Puis cocher les fonctionnalités suivantes :

Hôte de session bureau à distance (anciennement service Terminal Server)

Gestionnaire de licences des services Bureau à distance (gère les licences d’accès client TS)

Service Broker pour les connexions Bureau à distance (gère l’équilibrage de charge de la session ainsi que l’accès aux utilisateurs aux programmes RemoteApp)

Passerelle des services Bureau à distance (permet aux utilisateurs autorisés de se connecter au serveur via Internet)

Accès Bureau à distance par le Web (permet aux utilisateurs d’accéder aux programmes RemoteApp et aux services Bureau à distance par le navigateur web)

A noter que l’installation du service Hôte de session Bureau à distance n’est pas recommandée

(pour des raisons de sécurité) sur le serveur contrôleur de domaine. Ici nous validerons « Installer

quand même » mais il est préférable de séparer le serveur TSE du serveur Active Directory.

4/14

De plus, la sélection des services Web nécessite l’installation de l’application Web IIS. Cliquer sur

« Ajouter les services de rôle requis »

Puis il est nécessaire de spécifier une méthode d’authentification pour les services Bureau à

distance.

Nous sélectionnerons « Ne nécessite pas l’authentification au niveau du réseau » (les anciennes

versions du bureau à distance pourront ainsi se connecter au serveur)

Puis sélectionner le type de licences TS en fonction des licences acquises.

La licence gratuite est valable pendant 120 jours !

Sélectionner les groupe d’utilisateurs autorisés à accéder au serveur via les services TS (par défaut

les membres du groupe « Utilisateurs du Bureau à distance » ont déjà un accès). Nous laisserons

cette option par défaut pour y revenir plus tard.

Configurer l’étendue de découverte pour le serveur de licences, ici ce sera au niveau du domaine

5/14

Puis sélectionner le certificat pour le chiffrement SSL qui a été généré précédemment

Pour la création d’une stratégie d’autorisation cocher ultérieurement.

Concernant la configuration de IIS, laisser les options par défaut (tout sera configuré

automatiquement)

Puis installer et redémarrer

Dans les Outils d’Administration, cliquer sur « Gestionnaire de licences des services Bureau à

distance »

Puis Clic-droit « activer le serveur »

6/14

Faire le choix de la méthode de connexion pour l’activation des licences TS. Ici nous laisserons en

auto.

Puis sélectionner le programme de licence selon les licences TS acquises et valider avec le numéro

de série.

Ainsi les licences sont disponibles sur le serveur.

3- Personnalisation des services TS

Dans les Outils d’Administration, cliquer sur « Configuration d’hôte de session Bureau à distance »

Puis Propriétés de RDP-TCP

Pour éviter l’utilisation inutile des licences, il est possible de modifier les paramètres pour les

sessions déconnectées, inactives…

7/14

A noter que pour utiliser la fonctionnalité Easy Print (gestion des impressions via les imprimantes

locales) il est nécessaire que le client Utilise le client Bureau distant (RDC) 6.1 ainsi que le

Framework 3.5.

Coté serveur il faut installer la fonctionnalité .NET Framwork 3.5 (avec l’option Visionneuse XPS).

Pour cela allez dans Outils d’administration / Gestionnaire de serveur / Fonctionnalités et cochez la

ligne .NET Framwork 3.5

Pour résoudre certains problèmes d’impression sur les sessions TSE, il est nécessaire de donner le

droit en écriture au groupe d’utilisateurs TSE sur le répertoire C:\Windows\System32\spool

4- Configuration des RemoteApp

Dans les Outils d’Administration, cliquer sur « Gestionnaire RemoteApp »

Puis Ajouter des programmes

Ici nous sélectionnerons la calculatrice. Puis Terminer.

8/14

Puis cliquer sur « Paramètre des signatures numériques »

Puis sur Modifier

Cocher « Signer avec un certificat numérique » et sélectionner le certificat créé précédemment

Enfin sélectionner si programme est accessible via le web ou pas

5- Configuration de l’Active Directory

Dans l’AD créer une nouvelle OU nommée TSE (ou celle existante)

9/14

Puis créer un nouveau groupe TSE lui-même membre du groupe « Utilisateurs du bureau à

distance »

Dans la stratégie de sécurité locale :

Sous Paramètres de sécurité / Stratégies locales / Attribution des droits utilisateur

Ajouter le groupe TSE à la stratégie « Autoriser l’ouverture de session par les services Bureau à

distance »

10/14

Noter que dans une configuration en domaine comme celle-ci il est parfois nécessaire de modifier

les stratégie de domaine pour autoriser l’ouverture de session locale aux groupes TSE ainsi que

l’ouverture de session TSE ; pour cela, allez dans Outils d’administration / Gestionnaire de

Stratégie du Domaine pour modifier le « Default Domain Policy »

Puis dans Configuration Ordinateur / Stratégie / Paramètres Windows / Paramètres de sécurité /

Stratégies Locales / Attribution des droits utilisateurs.

Éditer les clés : « Autoriser l’ouverture de session Terminal serveur » et « Permettre l’ouverture

d’une session locale » pour ajouter le groupe TSE

Dans l’AD ou dans la gestion des utilisateurs locaux (*) (si serveur TSE dissocié du serveur AD),

ajouter le groupe TSE au groupe « Ordinateur Accès Web TS » (pour permettre une connexion via

le Web et notre serveur IIS)

(*)

L'utilisateur doit être intégré dans le groupe utilisateur bureau à distance du serveur 2008 à cet

emplacement du groupe utilisateurs bureau à distance

:

11/14

6- Création stratégie de groupe

Dans « Gestion de stratégie de groupe »

Dans l’OU TSE

Créer un objet GPO dans ce domaine et le lier ici…

Il ne vous reste plus qu’à choisir dans les modèle d’administration quelles sont les limitations que

vous voulez appliquer.

Quelques exemples :

Empêcher l’accès aux lecteurs depuis le poste de travail

Désactiver le menu contextuel

Enlever Internet Explorer

Interdire la modification du bureau

… etc (les possibilités sont très nombreuses, il y a plus de 900 critères)

7- Accès au serveur

Via le Bureau à distance :

Dans ce cas allez dans Tous les programmes / Accessoires / Connexion Bureau à distance

Entrer le nom du serveur ou l’adresse IP et se connecter avec un compte membre du groupe TSE

Via les RemoteApp :

Dans les Outils d’Administration, cliquer « Gestionnaire RemoteApp »

Sélectionner l’application, puis Créer le fichier .rdp

12/14

Puis partager le dossier C:\Program Files\Packaged Programs et diffuser les fichiers .rdp qui ici

exécute la calculatrice via les services TS

Via le web :

Sur l’adresse https://nom_du_serveur/RDWeb

On y retrouve l’accès à nos RemoteApp mais via un simple navigateur web

13/14

8- Pour aller plus loin

Dans le cas du serveur TS différencié du serveur Active directory

Pour une utilisation du TSE avec un même compte que sur un poste utilisateur avec une application

ciblée de la stratégie de groupe selon le poste utilisé

Ajouter le serveur TS dans l’OU TSE avec l’option « Déplacer »

Puis dans le gestionnaire de stratégie de groupe

Éditer la stratégie « Default Domain Policy »

Puis dans Configuration ordinateur / Stratégies / Modèle d’administration / Système / Stratégie de

groupe

Configurer sur « Remplacer » la clé « Mode de traitement par boucle de rappel de la stratégie de

groupe utilisateur »

Ce qui permet d’appliquer notre stratégie TSE uniquement lors de la connexion sur le serveur TS et

non sur un poste client standard

Par contre, dans la stratégie TSE, il faut exclure le compte Administrateur de l’exécution (sinon ce

dernier se retrouvera avec les mêmes droits que définis pour les utilisateurs…)

14/14

Dans l’onglet « Délégation » cliquer sur Avancée

Puis ajouter le compte Administrateur et enfin cocher « Refuser » sur le paramètre « Appliquer la

stratégie de groupe »

Ainsi le compte Administrateur sera exclu de la stratégie