Paramétrage TSE 2008 ******************** .. note:: pour réaliser cette action sans être connecté sur un serveur il faut installer sur le poste client Adminpak.msi .. note:: le skappa06 est aussi serveur de licence AD == Il faut dans une bonne architecture 2 TSE et 2 Controleurs de Domaine (Active Directory). Dans notre architecture actuelle les deux AD sont sur: * le serveur SQL Server PROD * le serveur TSE PROD Notre domaine est PAKKAP tout doit être gérer par le gestionnaire de serveur .. figure:: data/20100811_14.jpg tout est maintenant gérer au niveau des rôles .. figure:: data/20100811_15.jpg gestion des GPO n’est plus intégrer dans la console de l’AD. Une GPO est une règle appliquée à des utilisateurs et à des machines. .. figure:: data/20100811_16.jpg Pour créer une GPO on doit d’abord créer dans l’AD une nouvelle Unité d’Organisation .. figure:: data/20100811_17.jpg .. figure:: data/20100811_18.jpg On appelle cette OU Sport Finance. On va créer des sous OU nommée: * Admin * Madrid * Herblain * Biarritz .. figure:: data/20100811_19.jpg Tout les sites distants travails en TSE. Dans herblain on a des utilisateurs qui vont être dans le domaine avec leurs postes. Je veux une règle différentes si la personne se connecte : * en local: avec son ordinateur connecté au domaine * en tse : le même utilisateur se connecte sur un serveur TSE .. note:: en local on souhaite par exemple avoir le boutton arrêter pas en TSE Donc il faut rajouter deux sous OU à chaque OU * TSE * Local .. figure:: data/20100811_20.jpg a ce niveau vous pouvez créer de nouveau utilisateurs .. figure:: data/20100811_21.jpg Par défaut il existe: * un groupe utilisateur du bureau à distance ( il faut ajouter chaque utilisateur TSE dans ce groupe) .. warning:: il faut autoriser ce groupe utilisateur du bureau à distance a ce connecter à distance via la console de gestion du service TSE (cf ajout d’un utilisateur TSE 2008) .. figure:: data/20100811_22.jpg .. note:: la gestion des droits des dossiers peut se faire par la création de groupe et non par les GPO Dans l’AD on accès au info de l’utilisateur * Profil * permet de déporté le profil (profil itinérant intérréssant si 2 TSE) * script d’ouverture automatique (création des connections automatiques) .. figure:: data/20100811_23.jpg Maintenant il faut créer des GPO sur nos UO. .. figure:: data/20100811_24.jpg Il faut créer à partir d’une UO une nouvelle GPO .. figure:: data/20100811_25.jpg Il existe un groupe de stockage des stratégie GPO. Puis on lie les GPO au UO .. figure:: data/20100811_26.jpg On divise les GPO en deux: * une partie des règles appliqués aux machines * une partie appliqué aux utilisateurs (la plus utilisé) .. figure:: data/20100811_27.jpg Au niveau utilisateur: * installation de logiciel: script qui permet lors de la connection d’un utilisateur (souvent spécial comme Installateur) d’installer les programmes manquant * script de connexion (idem que pour l’utilisateur) * redirection des dossiers (même idée que le profil itinérants) * QoS * IE * droit windows standart * nouveauté (Paramètre windows) !!! A TESTER !!! .. note:: la partie installation de logiciel est très utilisée dans de grosse structure pour configurer les machines au départ, ou pour les mises à jours de logiciel Il faut attribuer l’UO à la GPO par lié un objet de stratégie .. figure:: data/20100811_28.jpg Par défaut elle n’est pas appliqué, il faut l’appliqué manuellement .. figure:: data/20100811_29.jpg J’ai donc créer un utilisateur A qui est membre du groupe Utilisateur distant pourlequel j’applique une GPO. Donc quand il se connectera en TSE il prendra cette GPO. Si je veux que cet utilisateur ait des droits particulier quand il se connecte en local il faut créer un deuxième compte A’qui sera dans une UO particulière (local) sur laquelle on applique une GPO particulière warning il faut donc 2 comptes pour un même utilisateur note on peut à travers une GPO machine autoriser que certaine personne a ce connecté Admin ===== .. figure:: data/20100811_30.jpg On peut au niveau de la configuration des services Terminal Serveur protocole RDP * les autorisations de mappage imprimante * les autorisation de presse papier, lecteur, ... (on les retouve au niveau GPO) * ... * modification du profil * limitation de session (1 session par personne, temps connection, ...) * sécurité Le gestionnaire de passerelle TS(TSE made in Web) * droit sur les groupes (création d’un groupe Nomade et ajout de ce groupe comme utilisateur de la passerelle dans la console de gestion de la passerelle) * redirection de périphérique (paramétrage différents possible entre le TSE standart et le TSE passerelle: de l’exterieur je ne mappe pas les lecteurs local) la gestion des service * identification des utilisateurs connectés * identification des processus .. warning:: On peut à partir de là récupérerla console active au niveau de la machine (c’est un utilisateur comme un autre avec un accès console) .. note:: il est possible de retrouvé ces console en local via un mode de délagation + mmc local La gestion des applications : application en mode remote On a accès au application via le lien http://MyIP/TS Impression ========== concernant les impressions souvent on autorise le serveur à mapper les imprimantes locales , mais cela reste le serveur qui imprime il faut donc donner tout les droits sur le repertoire spool du serveur à tout les utilisateurs du domaine DynDNS ====== Création d’un compte Kappa (ou kappa-web) / pakkap url: kappaweb.dyndns.org httpS://kappaweb.dyndns.org/TS Utilisation de la passerelle ============================ La passerelle TS permet d’avoir accès depuis l’exterieur via l’utilisation d’un client RDP (on a passe à travers le port 8080 sécurisé d’une passerelle). Pour se connecter il faut indiquer au client RDP la passerelle utilisée (url accessible depuis l’exterieur) et le serveur TSE (accessible uniquement dans le reseau local). paramétrage .. figure:: data/20100811_31.jpg .. figure:: data/20100811_32.jpg Il faut maintenant créer un certificat (il s’agit d’un certificat global) En local: url http://skappa06/certsrv on se connecte (PAKKAPAdministrateur fxckappa) puis on récupère le certificat (suivre les lien télécharger). Tout passe en port https 443 Pour installer le certificat il faut simplement double cliquer dessus Pour l’installation du certificat , il faut l’installer dans un magasin de confiance .. figure:: data/20100811_33.jpg .. figure:: data/20100811_34.jpg .. warning:: Pour XP : il faut la version 6 du bureau à distance http://support.microsoft.com/kb/925876/fr Tout est disponible dans le fichier TSE_KAPPA.zip Il est aussi possible d’avoir accès au ReomteApp via la passerelle. Pour cela il faut aller dans le paramétrage des RemoteApp et indiquer la passerelle .. figure:: data/20100811_35.jpg .. figure:: data/20100811_36.jpg .. note:: il est possible de créer via l’interface de gestion des RemoteApp des fichier rdp permettant de ce connecter au RemoteApp (avec ou sans la paserelle TS qui n’utilise que le port web) Nettoyage des profiles ====================== La commande Cprofile supprime l’espace perdu de profils et supprime des associations du Registre de fichiers spécifiques à l’utilisateur si des associations de fichiers spécifiques à l’utilisateur sont désactivées. .. code-block:: bash cprofile NTUSER.DAT Conclusion ========== 4 méthodes pour ce connecter: * depuis kappa * client TSE * https://skappa06/TS * depuis l’exterieur * utilisation passerelle via client TSE (port utilisé https 443) * https://kappaweb.dyndns.org/TS (port utilisé https 443 + port TSE 3389) Nous allons utiliser un dommaine PAKKAP. Nous allons mettre en place des GPO via un AD.