Remote Desktop Services (RDS) est une architecture centralisée qui permet à un utilisateur de se connecter sur un ordinateur distant utilisant Microsoft Terminal Services. Il utilise le protocole RDP.
C’est particulièrement utile avec des clients légers, en effet sur le bureau de ceux-ci il faut juste mettre le raccourci du bureau à distance vers le serveur, et l’utilisateur se connectera sur le serveur avec sa propre session.
De plus, il est possible de personnaliser les sessions des utilisateurs via les GPO afin de limiter leurs droits ou leurs accès.
Pour commencer, il vous faudra une IP fixe, je vous conseille de mettre un nom à votre machine.
Votre machine devra aussi être dans un domaine ( en effet pour récupérer les utilisateurs pour la connexion a distance, il faut qu’il y ait un AD de lié).
Je vous conseille de ne pas installer le rôle AD sur cette machine, mais plutôt de l’inclure au domaine, il est mieux d’installer seulement le rôle RDS sur votre machine, car si vous avez beaucoup d’utilisateurs connectés, il faudra beaucoup de ressources.
Rendez vous dans l’assistant d’ajout de rôles et de fonctionnalités
Sélectionnez la 2e option, comme ci-dessous, Suivant
Cochez démarrage rapide car nous voulons déployer les services seulement sur ce serveur, Suivant
Je vous conseille de choisir le déploiement de sessions, Suivant
Ensuite, lancez l’installation, cela peut être long, patientez.
Une fois terminé, si vous n’avez pas l’utilité, je vous conseille de supprimer le service IIS qui se sera normalement installé avec le rôle RDS.
En effet, IIS est utile si vous voulez utiliser RDS via un navigateur Web, dans mon cas je ne m’en servirais pas, et le laisser pourrait poser des problèmes de sécurité, je préfère donc l’enlever.
Sélectionnez votre serveur, Suivant
Décochez le rôle que vous souhaitez supprimer.
Une fois ceci fait, Suivant
Vérifiez vos choix, puis une fois que vous êtes sûrs, cliquez sur Supprimer.
Ensuite, rendez vous dans votre Gestionnaire de Serveur, cliquez sur RDS, et rentrez dans la console de gestion.
Allez dans collections, puis comme ci-dessous, Créez une collection de sessions
Nommez la, Suivant
Choisissez votre serveur, Suivant
Choisissez les utilisateurs qui pourront se connecter en via TSE sur votre serveur, c’est la que se trouve l’importance d’être contrôleur de domaine, ou d’être membre d’un domaine.
Ici j’indique que tous les utilisateurs de mon domaine peuvent se connecter sur mon serveur.
Personnellement j’ai décoché cette option car je souhaitais créer les dossiers pour mes utilisateurs plus tard, en revanche, si vous ne voulez pas vous embêter, vous pouvez cocher ce paramètre
Créez votre collection.
Patientez.
Ensuite, toujours dans votre console de gestion, cliquez sur Gestionnaire de licences, mettez votre serveur, et faites Suivant.
Validez
Félicitations votre serveur est opérationnel, si vous avez fait comme moi, il ne vous reste plus qu’à créer les dossiers de vos utilisateurs.
Pour cela c’est simple, créez d’abord vos utilisateurs comme vous l’entendez,
Puis, créez un dossier partagé à l’endroit ou vous voulez stocker les documents de vous utilisateurs.
Par exemple créez un dossier ProfilsUtilisateurs dans votre C:.
Ensuite, sélectionnez tous vos utilisateurs comme ci-dessous, faites clic-droit propriétés.
Allez dans profil, cochez chemin du profil, et la mettez le dossier que vous avez crée exprès.
Et n’oubliez pas le \%username%\, car cela va créer dans le gros dossier un dossier relatif à chaque utilisateurs, car %username% est une variable qui récupère le nom d’utilisateur ( flaloge par ex).
Faites appliquer.
Vous pouvez maintenant vous rendre dans votre dossier, vos dossiers de profil utilisateur auront été crées.
Vous pouvez vous connecter avec vos utilisateurs.
Avant cela je vous conseille de personnaliser les paramètres de leurs sessions via les GPO.
Si vous avez des questions n’hésitez pas à laisser un commentaire.
Bonjour,
Merci pour ce tuto. J’ai une question les utilisateurs que vous créez , vous les créez sur le serveur RDS?
J’aimeJ’aime
Bonjour, merci pour votre commentaire.
Non les utilisateurs sont sur un autre serveur, car en effet il est recommandé par microsoft de ne pas mettre les rôles RDS et AD sur le même serveur
J’aimeAimé par 1 personne
Bonjour,
Donc il s’agit des utilisateurs de votre AD?
Autre chose avez-vous des exemples de GPO pour personnaliser les sessions utilisateurs?
D’avance merci pour votre retour.
J’aimeAimé par 1 personne
Je suis également intéressé
J’aimeJ’aime
Bonjour,
Tout à fait, je peux vous conseiller d’aller voir du coté du panneau de configuration (du genre bloquer le gestionnaire de périphs, de disque, le centre réseau et partage, bloquer le windows +r).
Je vous conseille également de regarder les GPO pour déployer des logiciels sur vos sessions, sans oublier les GPO pour les imprimantes, ou encore les partages réseaux.
Je ne peux malheureusement pas vous donner celles que j’utilise dans mon entreprise, mais je reste à votre disposition !
Merci pour votre commentaire !
J’aimeAimé par 1 personne
Bonjour, qu’en est il des profil itinérants de vos utilisateurs ? Un simple dossier partagé sur le serveur de fichiers et à la place du « C:\profils\%username% »\etc\etc » on met un « \\ServeurDefichier\Profils\%username%\ » ?
J’aimeJ’aime
Bonjour, oui tout à fait, vous créez vos utilisateurs et dans la section profil, vous mettez un chemin avec la variable %username% qui permet de s’occuper de tous les utilisateurs en même temps
J’aimeJ’aime
Bonjour, et merci pour votre tuto. Pour les GPO, pour les faire appliquer quand les utilisateurs se loguent sur le serveur distant ( et pas sur leur machine) vous configurer comment le filtrage de sécurité? Et faut-il lier la gpo?
J’aimeJ’aime
Bonjour Antoine, Merci pour ce commentaire.
Pour la GPO je l’a applique sur un groupe comme par ex Users_TSE dans lequel je met uniquement les users qui ont le droit de se connecter au TSE.
Ensuite, je l’applique uniquement sur le serveur distant.
Donc pour résumer, dans le filtrage de sécurité de la GPO, j’ai un groupe Users_TSE et un ordinateur ( SRVTSE) par exemple.
J’espère t’avoir aidé, si je n’ai pas été assez clair n’hésite pas !
J’aimeJ’aime
oui impec et tu la places dans quel OU dans les gestionnaire?
J’aimeJ’aime