Paramétrage TSE 2008¶

AD¶

Il faut dans une bonne architecture 2 TSE et 2 Controleurs de Domaine (Active Directory). Dans notre architecture actuelle les deux AD sont sur:

• le serveur SQL Server PROD
• le serveur TSE PROD

Notre domaine est PAKKAP tout doit être gérer par le gestionnaire de serveur

tout est maintenant gérer au niveau des rôles

gestion des GPO n’est plus intégrer dans la console de l’AD. Une GPO est une règle appliquée à des utilisateurs et à des machines.

Pour créer une GPO on doit d’abord créer dans l’AD une nouvelle Unité d’Organisation

On appelle cette OU Sport Finance. On va créer des sous OU nommée:

• Admin
• Madrid
• Herblain
• Biarritz

Tout les sites distants travails en TSE. Dans herblain on a des utilisateurs qui vont être dans le domaine avec leurs postes. Je veux une règle différentes si la personne se connecte : * en local: avec son ordinateur connecté au domaine * en tse : le même utilisateur se connecte sur un serveur TSE

Donc il faut rajouter deux sous OU à chaque OU * TSE * Local

a ce niveau vous pouvez créer de nouveau utilisateurs .. figure:: data/20100811_21.jpg

Par défaut il existe: * un groupe utilisateur du bureau à distance ( il faut ajouter chaque utilisateur TSE dans ce groupe)

Dans l’AD on accès au info de l’utilisateur

• Profil

  • permet de déporté le profil (profil itinérant intérréssant si 2 TSE)
  • script d’ouverture automatique (création des connections automatiques)

Maintenant il faut créer des GPO sur nos UO.

Il faut créer à partir d’une UO une nouvelle GPO

Il existe un groupe de stockage des stratégie GPO. Puis on lie les GPO au UO .. figure:: data/20100811_26.jpg

On divise les GPO en deux:

• une partie des règles appliqués aux machines
• une partie appliqué aux utilisateurs (la plus utilisé)

Au niveau utilisateur:

• installation de logiciel: script qui permet lors de la connection d’un utilisateur (souvent spécial comme Installateur) d’installer les programmes manquant
• script de connexion (idem que pour l’utilisateur)
• redirection des dossiers (même idée que le profil itinérants)
• QoS
• IE
• droit windows standart
• nouveauté (Paramètre windows) !!! A TESTER !!!

Il faut attribuer l’UO à la GPO par lié un objet de stratégie

Par défaut elle n’est pas appliqué, il faut l’appliqué manuellement

J’ai donc créer un utilisateur A qui est membre du groupe Utilisateur distant pourlequel j’applique une GPO. Donc quand il se connectera en TSE il prendra cette GPO. Si je veux que cet utilisateur ait des droits particulier quand il se connecte en local il faut créer un deuxième compte A’qui sera dans une UO particulière (local) sur laquelle on applique une GPO particulière

warning il faut donc 2 comptes pour un même utilisateur

note on peut à travers une GPO machine autoriser que certaine personne a ce connecté

Admin¶

On peut au niveau de la configuration des services Terminal Serveur protocole RDP

• les autorisations de mappage imprimante
• les autorisation de presse papier, lecteur, ... (on les retouve au niveau GPO)
• ...
• modification du profil
• limitation de session (1 session par personne, temps connection, ...)
• sécurité

Le gestionnaire de passerelle TS(TSE made in Web)

• droit sur les groupes (création d’un groupe Nomade et ajout de ce groupe comme utilisateur de la passerelle dans la console de gestion de la passerelle)
• redirection de périphérique (paramétrage différents possible entre le TSE standart et le TSE passerelle: de l’exterieur je ne mappe pas les lecteurs local)

la gestion des service

• identification des utilisateurs connectés
• identification des processus

La gestion des applications : application en mode remote

On a accès au application via le lien http://MyIP/TS

Impression¶

concernant les impressions souvent on autorise le serveur à mapper les imprimantes locales , mais cela reste le serveur qui imprime il faut donc donner tout les droits sur le repertoire spool du serveur à tout les utilisateurs du domaine

DynDNS¶

Création d’un compte Kappa (ou kappa-web) / pakkap url: kappaweb.dyndns.org httpS://kappaweb.dyndns.org/TS

Utilisation de la passerelle¶

La passerelle TS permet d’avoir accès depuis l’exterieur via l’utilisation d’un client RDP (on a passe à travers le port 8080 sécurisé d’une passerelle). Pour se connecter il faut indiquer au client RDP la passerelle utilisée (url accessible depuis l’exterieur) et le serveur TSE (accessible uniquement dans le reseau local).

paramétrage

Il faut maintenant créer un certificat (il s’agit d’un certificat global)

En local: url http://skappa06/certsrv on se connecte (PAKKAPAdministrateur fxckappa) puis on récupère le certificat (suivre les lien télécharger).

Tout passe en port https 443

Pour installer le certificat il faut simplement double cliquer dessus

Pour l’installation du certificat , il faut l’installer dans un magasin de confiance

Il est aussi possible d’avoir accès au ReomteApp via la passerelle. Pour cela il faut aller dans le paramétrage des RemoteApp et indiquer la passerelle

Nettoyage des profiles¶

La commande Cprofile supprime l’espace perdu de profils et supprime des associations du Registre de fichiers spécifiques à l’utilisateur si des associations de fichiers spécifiques à l’utilisateur sont désactivées.

cprofile NTUSER.DAT

Conclusion¶

4 méthodes pour ce connecter:

• depuis kappa

  • client TSE
  • https://skappa06/TS

• depuis l’exterieur

  • utilisation passerelle via client TSE (port utilisé https 443)
  • https://kappaweb.dyndns.org/TS (port utilisé https 443 + port TSE 3389)

Nous allons utiliser un dommaine PAKKAP.

Nous allons mettre en place des GPO via un AD.