Forum Clubic

Priorité sur les connexions RDP

Bonjour,

Tout d’abord voici la configuration :

OS : Windows 2008 R2
Services installé : AD, DNS

Mon problème :

Je voudrais savoir s’il était possible via GPO d’avoir des niveaux de priorité pour les connexions RDP.

Je m’explique :

J’ai plusieurs types de personnes qui se connectent sur un même serveur ( des admins du domaine et des personnes avec des droit restrictifs). Lorsqu’un admin est connecté à ce serveur et qu’un user standard veut se connecté il à la possibilité de déconnecté l’admin.

Je voudrais que seul les admins est le droit de déconnecter qui ils veulent, et les autres users ne peuvent en aucun cas déconnecté un admin. Bien sur si l’on peut faire sa part GPO sa serait le must.

Merci de vos réponses.
Edité le 23/06/2010 à 10:37

A ma connaissance un utilisateur “non-admin” n’a pas les pouvoirs (par defaut) de déconnecter un autre utilisateur (admin ou non).

Mais je me trompe peut-être, n’ayant jamais eut le cas dans la pratique, il faudrait que je teste ça à l’occasion.

Merci pour ta participation Le_poilu,

Quand un utilisateur est autorisé à accéder au TSE il peut déconnecté une session de n’importe qui car il a les droits pour se connecter en TSE. Je pense.

Ben non, ce serait un peu n’importe quoi si le TSE etait comme ça :stuck_out_tongue:

Là un article de la base de support MS:
support.microsoft.com…

ça parle d’anciennes versions mais à mon avis il n’y a pas de raison que cela ai regressé entre temps.

Donc il suffit de ne pas donner un accès Total ou Spécial à tes utilisateurs et le tour est joué.

(PS: si je trouve une page plus actuelle je complèterai)

Merci pour cette explication, mais maintenant il faudrait savoir comment je peut l’appliquer à un groupe d’utilisateur standard via GPO.

C’est là que ça se corse :slight_smile:

Tu trouveras de la doc ici:

technet.microsoft.com…

Merci je vais regarder et si besoin je reviendrais poster un petit commentaire.

Je reviens vers toi j’ai bien lu l’article, regarde :

Donc cette solution n’est pas disponible sur des clients RDP standard. Mince
Edité le 23/06/2010 à 12:26

Tu as mal lu :wink:

Il ne s’agit pas des type d’accès mais de la fonction “observation” qui n’est (était) accessible qu’aux clients Citrix.

Ensuite: n’oublie pas que cet article traite de TSE sur winNT4/2000.
Depuis les choses ont evoluées et le serveur RDP de TSE n’a plus grand chose à voir avec celui d’alors. Beaucoup de choses faites par Citrix ont été integrées dans les produits Microsoft.

J’ai trouvé une option dans les GPO “Deny Logoof of an administrator logged in to the console session” applicable sur les ordinateurs, je les activés et rien n’y fait.

Un peu plus de renseignements :

Les utilisateurs de l’OU “DEV” sont dans les groupes :

  • Backup Operators
  • Remote Destkop Users

Les utilisateurs admins sont dans les groupes :

  • Administrators
  • Domain Admins
  • Group Policy Creator Owners

Si j’ai bien compris cette option elle permet de bloquer la déconnexion d’un admin. Mais lorsque je me connecte en tant que DEV (utilisateurs standard) je peut comme même déconnecté un admin. Est-ce que l’un de ces groupes à des droits spécifiques qui serait au même niveau que les admins ?? Ou faudrait-il se logguer en mode CONSOLE pour le RDP ?

Merci.
Edité le 23/06/2010 à 14:37

Pour moi ce genre de chose se règle dans les paramètres du serveur RDP.

Là j’ai un 2003 server sous les yeux, ça doit être similaire dans 2008 (je pourrais jeter un oeil ce soir sur un 2008 R2):

outils d’administration -> Terminal Services configuration => connexion => clic droit sur la connexion à configurer => propriétés

Là tu as un onglet permissions qui permet de gérer les droits des groupes/utilisateurs au niveau du TSE.
N’hésites pas à aller dans l’aide (F1) pour avoir plus d’infos, c’est assez complet.

Alors moi je n’ais pas installé le rôle Terminal Services qui s’appelle “Remote Desktop Services” sous 2008 R2.
Mais j’ai comme même le service présent dans “administration Tools”.

Pour ma part :
Administrative Tools -> Terminal Services -> Remote Desktop Session Host Configuration

Clique droit sur ma connexion (RDP-TCP) -> Properties.

Après j’ai essayé d’aller dans l’onglet “security” pour pouvoir modifier les droits du groupe “Remote Destkop Users” :

J’ai mis ceci :

  • Guest Access => Session invité
  • J’ai été dans les propriétés avancé, puis j’ai mis en DENY :
    ° Remote Control, Message, Disconnect

Et… aucun effet :frowning:

Je fait quelques tests de sécurité pour voir les options;

Attention, cela ne s’appliquera pas sur les sessions en cours, il faut delogger l’utilisateur puis relogger pour que la modification soit appliquée

Tout à fait, mais lors de se paramétrage j’étais connecté en tant qu’admin.

J’ai à chaque fois 2 connexions en admin et une 3ème en users standard qui veut se connecter. Lors de sa connexion j’ai cet écran qui permet de choisir quel utilisateur je veut déconnecter. Je choisi la personne et celle-ci reçoit un message lui précisant qu’un users standard veut se connecter et vous déconnecter, et on peut choisir “accepter” ou “refuser”.

Le message exacte :

“domaine\user want to connect to this machine.
Clik OK to disconnect your session immediatly or clik cancel to say connected.
Other, you willo be disconnected in 30 seconds.”
Edité le 23/06/2010 à 16:34

hum

Okay moi j’voyais pas ton problème comme ça.

Le problème là c’est qu’il va falloir faire un choix, parce que ton soucis ce n’est pas que l’utilisateur puisse déconnecter l’admin, c’est qu’il n’y a pas assez de connexions possibles pour que l’utilisateur puisse se connecter. Obligeant le système à fermer une des sessions déjà ouverte.

En gros il faudrait que l’utilisateur ne puisse pas se connecter si X admins sont connectés alors que tu ne peux accepter que X session. Ce ne sera que si X-1 admins seront connectés que l’utilisateur aura la possibilité d’ouvrir sa session.

Je ne suis pas certain que tu puisses accepter ce fonctionnement à l’usage, tes utilisateurs auront vite fait de râler en te disant qu’ils ne peuvent pas ouvrir leur session.

As-tu essayé de voir avec plusieurs sessions utilisateurs ouvertes (et une admin) si l’arrivée d’une nouvelle connexion ne va pas d’abord fermer une session utilisateur avant de vouloir fermer une session admin ?

Si ça fonctionne l’idée serait de régler le nombre de sessions possibles pour le groupe admin et le nombre de sessions possibles pour le groupe utilisateur. Je ne suis pas certain mais à mon avis c’est possible à faire ça.
Ce n’est pas quelque chose que je peux tester avec ce que j’ai (windows home server, basé sur 2033 server… en plus limité sur le RDP :stuck_out_tongue: ) mais peut-etre faut-il que tu regardes de ce coté.

Parce que tu ne pourras pas exploiter le GPO pour la simple et bonne raison que ton problème se situe en amont de la connexion utilisateur et donc avant que les GPO s’applique à celui-ci.
Ce n’est qu’au niveau des reglages du TSE que tu pourras faire (ou pas) quelque chose.

Si j’ai deux users standard et un admin qui veut se connecter cela fait exactement la même chose. Popup de validation.

C’est bien se que je pensait car les GPO s’appliquent au moment de l’ouverture de session.

Je sens que sa va être compliquer tout cela.

J’avais aussi pensé dans cette ordre la.

Mon schéma est le suivant :

Poste client —> lancement du client RDP —> connexion RDP au serveur —> Popup : Qui déconnecter ?
(AD01, DNS01)---------------------------------------- (AD02, DNS02)

Je sais pas si tu comprend le schéma :slight_smile: mais nous avons 2 domaines différents étanches l’un de l’autre ainsi que 2 AD, 2 DNS etc …

Moi j’appliquai cette politique sur le domaine 02

Si j’ai bien compris il faudrait appliqué une politique de gestion des connexions sur le domaine 01 ?
Edité le 23/06/2010 à 17:31

Logique. Mais qui se fait déconnecter ? L’admin ou un des deux users standard ?

J’pige pas trop comment tu fonctionnes avec les 2 AD et les 2 DNS par contre…

Celui qui se fait déconnecter c’est celui qu’on à choisi :), si il accepte bien entendu.

Après c’était pour te dire que nous avons 2 sites complètements étanches l’un de l’autre.

Ou je voulais en venir :

Il faut que j’applique une GPO qui spécifie le type de connexion RDP du client (session invité). J’applique une GPO depuis le domaine 01 et non le 02. Dit moi si je me trompes.

Sa devient complexe, mais bon vu que je n’ais pas accès au serveur du domaine 01. Nous pouvons dire que le sujet se termine ici lol.

Merci pour ton aide en tout cas. Bonne soirée.

Comem dit je ne pense pas que ce soit au niveau des GPO qu’il faut chercher, vu que tu es avant connexion utilisateur.

En gros il faudrait un réglage au niveau du TSE qui dise qu’une session admin ne puisse pas être déconnecte par un utilisateur… et non regarder au niveau du compte utilisateur pour le bloquer.

Je ne maitrise pas assez le sujet pour t’en dire plus là maintenant :neutre: mais c’est dans cette voie que je chercherai.