TSE Win2003 Accès restreint multi-utilisateurs - Windows & Software
Marsh Posté le 27-07-2006 à 12:29:09
MDR je suis trop un boulet! C'est la commande que je fais tout le temps en + mais depuis que je me suis fait un raccourci "COnnexion Bureau à Distance" sur le bureau j'avais tendance à la zapper...
Merci beaucoup en tout cas, ça fonctionne!
Marsh Posté le 27-07-2006 à 12:59:54
Par contre je suis toujours entrain de réfléchir, le problème de la session administrator est réglé, par contre celui de créer des bridages en fonction du groupe utilisateur auquel on appartient (ou du compte) se pose toujours, tu saurais me dépanner encore là ? ;-)
Marsh Posté le 27-07-2006 à 13:10:36
Petite question, en passant :
est-ce que lancer une connexion avec mstsc /console, ça bouffe une licence ?
Car j'ai ce problème depuis que j'ai passé mon serveur en mode application(licence par device), si je me connecte avec administrateur, pour faire de l'administration à distance, ca me bouffe une licence ! Ce qui est assez génant, surtout que normalement, j'ai droit à 2 licence d'administration à distance ....
Marsh Posté le 27-07-2006 à 13:15:22
francois92 a écrit : Par contre je suis toujours entrain de réfléchir, le problème de la session administrator est réglé, par contre celui de créer des bridages en fonction du groupe utilisateur auquel on appartient (ou du compte) se pose toujours, tu saurais me dépanner encore là ? ;-) |
Tu es dans un domaine (AD) ? Si oui, je suppose que tu bride avec une GPO... Et une gpo s'applique à une OU. Donc tous les membre de ton OU hériteront de ton bridage. Met ton utilisateur administrator dans une autre OU que user1, ou l'inverse.
Si tu n'est pas dans un domaine, je suppose que tu utilise gpedit.msc pour modifier ta stratégie local... dans ce cas, tout utilisateur se connectant a ton server se verra traité de la meme manière.... Mais y doit bien avoir un moyen pour éviter ceci à l'administrateur.. je vais fouiller et je reviens.
A+
Marsh Posté le 27-07-2006 à 13:17:05
Y doit avoir la solution à ton problème ici :
http://support.microsoft.com/kb/325351/fr
(me semblait bien que j'avais vu ça quelque part)
Marsh Posté le 27-07-2006 à 14:21:46
Merci merci pour vos aides et conseils. Voici quelques précisions : le serveur TSE est dans le domaine (pour contacter le serveur de licenses), mais user1 est un compte local, tout comme le compte administrator d'ailleurs. Je n'utilise aucun compte de domaine, on ne se log d'ailleurs qu'en local.
Je vais lire l'article de la KB Microsoft que tu as trouvé, mais mes boss me demandaient une solution qui passait outre la modification des policies locales. Ils continuent de penser que c'est possible directement dans la console "TS configuration" dans les propriétés de la connexion RDP-tcp!
Marsh Posté le 27-07-2006 à 14:25:42
Le /console utilise les 2 licences incluse pour l'administration, pas besoin de CAL TS pour ca
Marsh Posté le 27-07-2006 à 16:52:41
tu peux juste obliger tous tes users a lancer qu'une seule unique appli sut ton tse sans avoir acces au bureau du serveur.
juste avec les propriétés de rdp-tcp
programme initial
c:\sdfjsdf\dsfbndk.exe
Marsh Posté le 27-07-2006 à 17:50:29
Oui c'est qui est en place actuellement, mais c'est pas ce que l'on veut, car tous les utilisateurs ne doivent pas avoir accès à la même application, tu vois où je veux en venir ?
Marsh Posté le 27-07-2006 à 18:29:44
Et pourquoi ne pas utiliser des comptes de domaine ? Avec eux tu peux justement restreindre ce que tu veux, et spécifier utilisateur par utilisateur l'appli à lancer.
Marsh Posté le 27-07-2006 à 19:52:37
Ouhhlaaaa mon pauvre Je t'explique, je suis dans une grosse très grosse structure (parc de + de 20 000 utilisateurs), et en gros chaque direction ne veut pas que d'autres services prennent la main sur leur pc ou serveurs. Je me trouve dans une direction où nous nous occupons que de serveurs applicatifs (mais de A à Z), nous n'avons pas de compte domain admin par exemple. Hors, comme il est hors de question (dixit mes boss) que les admin de domaine viennent fouiller sur nos pc, nous ne donnons accès à ce serveur TSE qu'avec des comptes locaux, et tout le monde se log en local. On peut donc tout gérer sans personne. Le serveur TSE a juste été mis sur le domaine pour contacter le serveur de licenses TS.
Tout le reste se fait en local.
Marsh Posté le 27-07-2006 à 22:11:39
Eh ben tant que tu utiliseras des comptes locaux, tu n'auras pas de possibilités de restrictions des utilisateurs.
Et si vous avez votre propre structure de serveurs, pourquoi ne pas monter un petit domaine, par exemple spécifiquement dédié à ton serveur TSE ?
Marsh Posté le 28-07-2006 à 00:28:17
Non non oublies c'est même pas envisageable de demander ça, c'est très politique ici... En tout cas tu as écris exactement ce que je voulais voir écrit :
Wolfman a écrit : Eh ben tant que tu utiliseras des comptes locaux, tu n'auras pas de possibilités de restrictions des utilisateurs. |
Je vais leur faire un petit rapport demain histoire qu'on puisse passer à autre chose
Puis pour les serveurs, on fait juste attention d'enlever le groupe admin du domaine du groupe admin local du serveur, ça résoud certains problèmes.
Merci Wolfman et j'espère que ce que tu as dit est bel et bien l'unique réponse possible sinon je suis mal
Marsh Posté le 28-07-2006 à 08:13:46
k1200 a écrit : Le /console utilise les 2 licences incluse pour l'administration, pas besoin de CAL TS pour ca |
Merci... Je vais utiliser ça, à l'avenir.
Wolfman a écrit : Eh ben tant que tu utiliseras des comptes locaux, tu n'auras pas de possibilités de restrictions des utilisateurs. |
Tout a fait d'accord. Dumoins si tu veux des stratègies différentes pour plusieurs utilisateurs ou groupes d'utilisateurs. Sinon, tu as toujours l'astuce que j'ai cité plus haut.
A+
Marsh Posté le 28-07-2006 à 09:46:36
Ouais Helvetik ta solution est valable mais elle engagerait trop de manipulations, ce que ne veulent pas les boss (fonctionnaires...), mais elle est toujours à l'étude dans leur bureau c'est déjà ça!! Et comme je ne suis que consultant ici, je n'ai pas envie de leur 1000 pages de docs pour quand je vais partir. Donc en gros si on s'en réfère à la leur idée, soit y'a une solution simple, soit y'en a pas!
Marsh Posté le 28-07-2006 à 15:57:39
Ben y'en a pas...
A moins que tu définisse, comme tu l'as déjà fait, un programme qui se lance à l'ouverture de la session et qui ferme la session quand celui-ci se termine, mais pas depuis la mmc "configuration des service terminal server", mais depuis la console d'administration des utilisateur.
Pour se faire, tu vas dans "gestion de l'ordinateur", puis dans "outil system", "utilisateurs et groupe locaux" et enfin "utilisateurs". Ensuite, tu crées tes users. Dans les propriétés de ceux-ci, tu leurs mets, dans l'onglet "environnement", le programme de démarrage qui leur vas bien. Comme ca tu peux choisir quel programme est lancé pour chaque user.
Si tu en as beaucoup, tu vas t'amuser, mais bon ...
Marsh Posté le 28-07-2006 à 16:05:43
Autrement tu lances sur tout le monde le meme bat ou vbs qui d'apres sont groupe lance tel ou tel soft...
Marsh Posté le 28-07-2006 à 16:44:28
k1200 a écrit : Autrement tu lances sur tout le monde le meme bat ou vbs qui d'apres sont groupe lance tel ou tel soft... |
Ouais, mais ca pose un problème de sécurité...
Si ils quittent le programme, ils ont accès à tout !
Tandis qu'avec la méthode précédante, tu n'es pas obliger de brider les compte, étant donné que quand ils quittent le programme, la session se ferme...
Mais bon, après faut voir si les raccourci clavier sont fonctionnel ...
genre "touche windows"+R ou +E et ils ont accès a tout, mais je ne sais pas si ca fonctionne. A tester
Marsh Posté le 28-07-2006 à 17:27:56
La solution de l'onglet à configurer pour chaque utilisateur est très très bien si elle fonctionne.. je la testerai la semaine prochaine. Il y aura un compte d'administration pour chaque direction pendant le phase de recette, donc ce ne sera qu'un échantillon de 4 directions, donc toutà fait faisable. Merci!!
Marsh Posté le 28-07-2006 à 18:14:42
Y'a pas de raison que ça ne fonctionne pas... Par contre, au niveau secure, j'en sais rien. Faut tester.
Bon week end,
A+
Marsh Posté le 27-07-2006 à 11:58:16
Bonjour à tous,
Je pense avoir fait le tour de tous les sujets TSE 2003 avant d'exposer mon problème :
J'ai installé un serveur TS sur un OS win2003 standart avec 2 utilisateurs ayant droit de se connecter : administrator et user1.
Sur ma connexion Terminal Server, j'ai voulu brider user1 au maximum, de façon à ce que lorsqu'il se connecte au serveur TS, il ne s'ouvre que la fenêtre du logiciel dont il a besoin, mais qu'il ne voit ni le bureau, ni la barre des tâches. Ce qui fonctionne très bien. Lorsqu'il ferme la fenêtre la session se ferme, c'est parfait.
Hors, ça a aussi bridé le compte administrator! Ce que je ne voulais pas, car on ne peut plus administrer le serveur à distance, et géographiquement parlant c'est un handicap pour nous car les salles serveurs ne sont pas à côté...
Est-il possible donc de ne brider qu'un compte et pas un autre sur une même connexion TS ? Ou bien de brider un groupe et pas un autre (ce qui serait mieux encore..) ?
Merci d'avance
Message édité par francois92 le 27-07-2006 à 14:51:00
---------------
François "L'urgent est déjà fait, l'impossible est en cours, pour les miracles prévoir un délai..."