Je voudrais savoir s’il était possible via GPO d’avoir des niveaux de priorité pour les connexions RDP.
Je m’explique :
J’ai plusieurs types de personnes qui se connectent sur un même serveur ( des admins du domaine et des personnes avec des droit restrictifs). Lorsqu’un admin est connecté à ce serveur et qu’un user standard veut se connecté il à la possibilité de déconnecté l’admin.
Je voudrais que seul les admins est le droit de déconnecter qui ils veulent, et les autres users ne peuvent en aucun cas déconnecté un admin. Bien sur si l’on peut faire sa part GPO sa serait le must.
Merci de vos réponses.
Edité le 23/06/2010 à 10:37
Quand un utilisateur est autorisé à accéder au TSE il peut déconnecté une session de n’importe qui car il a les droits pour se connecter en TSE. Je pense.
Il ne s’agit pas des type d’accès mais de la fonction “observation” qui n’est (était) accessible qu’aux clients Citrix.
Ensuite: n’oublie pas que cet article traite de TSE sur winNT4/2000.
Depuis les choses ont evoluées et le serveur RDP de TSE n’a plus grand chose à voir avec celui d’alors. Beaucoup de choses faites par Citrix ont été integrées dans les produits Microsoft.
J’ai trouvé une option dans les GPO “Deny Logoof of an administrator logged in to the console session” applicable sur les ordinateurs, je les activés et rien n’y fait.
Un peu plus de renseignements :
Les utilisateurs de l’OU “DEV” sont dans les groupes :
Backup Operators
Remote Destkop Users
Les utilisateurs admins sont dans les groupes :
Administrators
Domain Admins
Group Policy Creator Owners
Si j’ai bien compris cette option elle permet de bloquer la déconnexion d’un admin. Mais lorsque je me connecte en tant que DEV (utilisateurs standard) je peut comme même déconnecté un admin. Est-ce que l’un de ces groupes à des droits spécifiques qui serait au même niveau que les admins ?? Ou faudrait-il se logguer en mode CONSOLE pour le RDP ?
Pour moi ce genre de chose se règle dans les paramètres du serveur RDP.
Là j’ai un 2003 server sous les yeux, ça doit être similaire dans 2008 (je pourrais jeter un oeil ce soir sur un 2008 R2):
outils d’administration -> Terminal Services configuration => connexion => clic droit sur la connexion à configurer => propriétés
Là tu as un onglet permissions qui permet de gérer les droits des groupes/utilisateurs au niveau du TSE.
N’hésites pas à aller dans l’aide (F1) pour avoir plus d’infos, c’est assez complet.
Alors moi je n’ais pas installé le rôle Terminal Services qui s’appelle “Remote Desktop Services” sous 2008 R2.
Mais j’ai comme même le service présent dans “administration Tools”.
Pour ma part :
Administrative Tools -> Terminal Services -> Remote Desktop Session Host Configuration
Clique droit sur ma connexion (RDP-TCP) -> Properties.
Après j’ai essayé d’aller dans l’onglet “security” pour pouvoir modifier les droits du groupe “Remote Destkop Users” :
J’ai mis ceci :
Guest Access => Session invité
J’ai été dans les propriétés avancé, puis j’ai mis en DENY :
° Remote Control, Message, Disconnect
Et… aucun effet
Je fait quelques tests de sécurité pour voir les options;
Tout à fait, mais lors de se paramétrage j’étais connecté en tant qu’admin.
J’ai à chaque fois 2 connexions en admin et une 3ème en users standard qui veut se connecter. Lors de sa connexion j’ai cet écran qui permet de choisir quel utilisateur je veut déconnecter. Je choisi la personne et celle-ci reçoit un message lui précisant qu’un users standard veut se connecter et vous déconnecter, et on peut choisir “accepter” ou “refuser”.
Le message exacte :
“domaine\user want to connect to this machine.
Clik OK to disconnect your session immediatly or clik cancel to say connected.
Other, you willo be disconnected in 30 seconds.”
Edité le 23/06/2010 à 16:34
Le problème là c’est qu’il va falloir faire un choix, parce que ton soucis ce n’est pas que l’utilisateur puisse déconnecter l’admin, c’est qu’il n’y a pas assez de connexions possibles pour que l’utilisateur puisse se connecter. Obligeant le système à fermer une des sessions déjà ouverte.
En gros il faudrait que l’utilisateur ne puisse pas se connecter si X admins sont connectés alors que tu ne peux accepter que X session. Ce ne sera que si X-1 admins seront connectés que l’utilisateur aura la possibilité d’ouvrir sa session.
Je ne suis pas certain que tu puisses accepter ce fonctionnement à l’usage, tes utilisateurs auront vite fait de râler en te disant qu’ils ne peuvent pas ouvrir leur session.
As-tu essayé de voir avec plusieurs sessions utilisateurs ouvertes (et une admin) si l’arrivée d’une nouvelle connexion ne va pas d’abord fermer une session utilisateur avant de vouloir fermer une session admin ?
Si ça fonctionne l’idée serait de régler le nombre de sessions possibles pour le groupe admin et le nombre de sessions possibles pour le groupe utilisateur. Je ne suis pas certain mais à mon avis c’est possible à faire ça.
Ce n’est pas quelque chose que je peux tester avec ce que j’ai (windows home server, basé sur 2033 server… en plus limité sur le RDP ) mais peut-etre faut-il que tu regardes de ce coté.
Parce que tu ne pourras pas exploiter le GPO pour la simple et bonne raison que ton problème se situe en amont de la connexion utilisateur et donc avant que les GPO s’applique à celui-ci.
Ce n’est qu’au niveau des reglages du TSE que tu pourras faire (ou pas) quelque chose.
Celui qui se fait déconnecter c’est celui qu’on à choisi :), si il accepte bien entendu.
Après c’était pour te dire que nous avons 2 sites complètements étanches l’un de l’autre.
Ou je voulais en venir :
Il faut que j’applique une GPO qui spécifie le type de connexion RDP du client (session invité). J’applique une GPO depuis le domaine 01 et non le 02. Dit moi si je me trompes.
Sa devient complexe, mais bon vu que je n’ais pas accès au serveur du domaine 01. Nous pouvons dire que le sujet se termine ici lol.
Comem dit je ne pense pas que ce soit au niveau des GPO qu’il faut chercher, vu que tu es avant connexion utilisateur.
En gros il faudrait un réglage au niveau du TSE qui dise qu’une session admin ne puisse pas être déconnecte par un utilisateur… et non regarder au niveau du compte utilisateur pour le bloquer.
Je ne maitrise pas assez le sujet pour t’en dire plus là maintenant :neutre: mais c’est dans cette voie que je chercherai.