FICHE TECHNIQUE Architecture TSE Fiche Technique. Montage d une architecture sécurisée Terminal Server 2003

Transcription

1 Fiche Technique Montage d une architecture sécurisée Terminal Server 2003 Groupe Prodware Page 1/26

2 Table des matières 1. INTRODUCTION SCHÉMA D ARCHITECTURE PRÉREQUIS Systèmes d exploitation Active Directory Dossiers partagés INSTALLATION DES COMPOSANTS TERMINAL SERVER CONFIGURATION DES SERVICES TERMINAL SERVER Connexion RDP-Tcp Propriétés du serveur SÉCURITÉ DE L ACCÈS AU SERVEUR TSE Architecture mono-serveur Architecture multi-serveurs STRATÉGIES UTILISATEURS CIBLÉES TSE La GPO Bouclage Explications Profils itinérants TSE GPO TSE Système GPO TSE Explorateur GPO TSE Bureau Groupe Prodware Page 2/26

3 7.7. GPO TSE Menu démarrer GPO TSE Internet Explorer GPO TSE MMC STRATÉGIES DE GROUPE UTILISATEURS Redirection Mes Documents Lecteurs réseau INSTALLATION DES APPLICATIONS Microsoft Office Foxit Reader Pro PDF CRÉATION DES UTILISATEURS Dans quelle UO? Particularités de création COMPLÉMENTS DE SÉCURITÉ ABE : Acces-based enumeration Modification de l imprimante par défaut des utilisateurs Prévention de l exécution des données Masquer l accès aux lecteurs locaux LE RÉSULTAT EN IMAGES Groupe Prodware Page 3/26

4 1. INTRODUCTION Le présent document indique la marche à suivre pour implémenter une solution TSE évolutive et sécurisée. Elle peut être mise en œuvre sur un unique serveur (contrôleur + DNS + TSE) ou sur une batterie de serveurs TSE. 2. SCHEMA D ARCHITECTURE Nous nous placerons dans le cadre suivant : L entreprise LaboRomZ veut implémenter un serveur d application dans son réseau. Elle souhaite pour l instant n acquérir qu un seul serveur mais souhaite une architecture évolutive. Les accès au serveur TSE se feront via des clients légers ou des clients TSE installés sur les PC (sous Windows XP). Les utilisateurs du domaine LaboRomZ pourront aussi bien se connecter interactivement au domaine (sur les PC clients) que sur le serveur d applications (TSE). LaboRomZ met l accent sur la sécurité du serveur et les comptes d utilisateurs autorisés à accéder à TSE seront fortement verrouillés dans l environnement. Groupe Prodware Page 4/26

5 Les applicatifs installés seront : Microsoft Office 2003 (Word, Excel, Power Point) Un lecteur de fichiers PDF (Foxit Reader) Un créateur de fichiers PDF (PDF995) ATTENTION : Microsoft recommande vivement d installer les services Terminal Server sur un serveur membre du domaine et pas sur un contrôleur de domaine. La seule exception à cette règle sera évidemment l architecture mono-serveur. Groupe Prodware Page 5/26

6 3. PREREQUIS 3.1. Systèmes d exploitation Tous les serveurs seront sous Windows Server 2003 Service Pack 1. Les outils de support Windows 2003 seront installés sur chacun des serveurs Active Directory Le domaine se nomme lbztse.local (nom NETBIOS = LBZTSE) Le serveur d application se nomme applications. Le serveur de fichiers se nomme fichiers (dans le cas d une architecture mono-serveur, il suffira de créer un alias DNS (enregistrement CNAME) nommé fichiers et pointant sur applications.) Création de la zone de recherche DNS inversée (intégrée à AD) Création d une UO nommée.utilisateurs Création d une UO nommée.ordinateurs Dans le cadre d une architecture multi-serveurs, création d une UO nommée.serveurs TSE Le groupe de sécurité prédéfini Utilisateurs du bureau à distance gérera l accès aux services Terminal Server Dossiers partagés Les utilisateurs disposeront d un espace personnel sur le serveur de fichiers mappé sur le lecteur U:. Le dossier Mes documents sera également redirigé vers ce dossier. Ainsi le dossier Mes Documents «suivra» l utilisateur en fonction de ses connexions. Création sur le serveur de fichiers d un dossier partagé en tant que REPPERSO$ avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en lecture. Les utilisateurs disposeront d un espace commun sur le serveur de fichiers mappé sur le lecteur P:. Tous les utilisateurs auront les droits d écriture dans ce dossier. Création sur le serveur de fichiers d un dossier partagé en tant que Commun avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en modifier. Groupe Prodware Page 6/26

7 Le menu démarrer des sessions TSE sera unique pour tout le monde. Il sera redirigé vers un espace partagé sur le serveur de fichiers. Création sur le serveur de fichiers d un dossier partagé en tant que STARTMENU$ avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en lecture. Les répertoires de profil des utilisateurs TSE seront itinérants et situés sur le serveur de fichiers. Les répertoires de profil des utilisateurs non TSE seront locaux. Création sur le serveur de fichiers d un dossier partagé en tant que ProfilsTSE$ avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en Modifier. Groupe Prodware Page 7/26

8 4. INSTALLATION DES COMPOSANTS TERMINAL SERVER L installation se fait via le panneau de configuration \ Ajout/Suppresion de programmes, onglet Composants Windows. Sélectionner l option Sécurité Totale. Ne pas spécifier de serveur de licence Mode de licence par utilisateur Installer ensuite le serveur de licences sur le serveur (architecture mono-serveur) ou sur le contrôleur de domaine (architecture multi-serveurs) Groupe Prodware Page 8/26

9 5. CONFIGURATION DES SERVICES TERMINAL SERVER 5.1. Connexion RDP-Tcp Niveau de cryptage Client Compatible Paramètres d ouverture de session Toujours demander un mot de passe Fin d une session déconnectée 10 minutes Limite de session active jamais Limite de session inactive jamais Lorsque la limite de session Fin de la session Réglages clients Désactiver les imprimantes, ports LPT et ports COM Carte réseau Nombre maximal de connexions à définir Autorisations Administrateurs : Contrôle total SYSTEM : Contrôle Total Utilisateurs du bureau à distance : Accès Utilisateur 5.2. Propriétés du serveur Groupe Prodware Page 9/26

10 6. SECURITE DE L ACCES AU SERVEUR TSE 6.1. Architecture mono-serveur Dans ce cas, le serveur TSE est aussi contrôleur de domaine. Or, les utilisateurs n ont pas le droit d ouvrir une session Terminal Server sur ce type de serveur. Il faut donc modifier la stratégie des contrôleurs de domaine par défaut pour accepter les ouvertures de session par les services Terminal Server par les membres du groupe Utilisateurs du bureau à distance. Ouvrir Le composant Stratégie de sécurité du contrôleur de domaine Aller dans Stratégies locales \ Attribution des droits utilisateurs Double-cliquer sur Autoriser l ouverture de session par les services Terminal Server et ajouter le groupe Utilisateurs du bureau à distance comme ci-desous : Valider les choix et actualiser les stratégies Architecture multi-serveurs Les serveurs TSE seront tous placés dans l UO.Serveurs TSE. Ils ne sont pas contrôleurs de domaine, donc le groupe Utilisateurs du bureau à distance gère l accès aux services Terminal Server Groupe Prodware Page 10/26

11 7. STRATEGIES UTILISATEURS CIBLEES TSE Les utilisateurs du domaine lbztse.local peuvent tout aussi bien ouvrir une session sur un PC client du domaine qu ouvrir une session TSE sur le(s) serveur(s) applicatif(s). Il est donc nécessaire de différencier ces 2 modes d ouverture de session et d appliquer des stratégies très restrictives aux utilisateurs se connectant via TSE La GPO Bouclage Clic droit sur l UO Domain Controllers (ou.serveurs TSE si architecture multiserveurs), puis Propriétés. Créer un nouvel objet de stratégie de groupe nommé Bouclage. Aller dans Configuration Ordinateur \ Système \ Stratégie de groupe Activer le paramètre Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur et définir le mode à Fusionner 7.2. Explications Cette stratégie va permettre à Active Directory de prendre en compte toutes les stratégies utilisateurs définies dans l UO Domain Controllers (ou.serveurs TSE). Ces stratégies seront appliquées quel que soit l utilisateur se connectant sur un serveur présent dans l UO. Attention! Pour éviter un blocage des comptes Administrateurs, il sera nécessaire de modifier les paramètres de sécurité de chaque GPO afin que les membres du groupe Administrateurs de l entreprise et Admins du domaine se voient refuser l application des GPO. Il faudra donc créer toutes les GPO concernant les accès TSE dans l UO Domain Controllers (ou.serveurs TSE). Groupe Prodware Page 11/26

12 7.3. Profils itinérants TSE Type de GPO Liaisons Paramètres Configuration Ordinateur \ Composants Windows \ Services Terminal Servers Sécurité Ordinateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Chemin d accès aux profils itinérants = \\fichiers\profilstse$ Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe 7.4. GPO TSE Système Type de GPO Liaisons Paramètres Configuration Ordinateur \ Composants Windows \ Services Terminal Server Système Système \ Options Ctrl+Alt+Sup Système \ Profils Utlisateurs Sécurité Ordinateur et Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Forcer la suppression du papier peint du bureau à distance Limiter le nombre maximal de couleurs = 16 bits Supprimer l option sécurité du menu démarrer Supprimer l élément Déconnecter de la boîte de dialogue Arrêter Désactiver l accès à l invite de commandes (mais pas les scripts) Empêche l accès aux outils de modification du registre Désactiver la lecture automatique -> des lecteurs de CD-ROM Supprimer le gestionnaire de tâches Limiter la taille du profil à 30 Mo Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 12/26

13 7.5. GPO TSE Explorateur Type de GPO Liaisons Paramètres Composants Windows \ Explorateur Windows Sécurité Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Supprimer l élément de menu Options des dossiers du menu Outils Supprimer les options «Connecter un lecteur réseau» et «Déconnecter un lecteur réseau». Masquer l élément Gérer du menu contextuel Windows Explorer Dans Poste de travail, masquer les lecteurs A:, B:, C:, D: Empêcher l accès aux lecteurs A:, B:, C:, D: Masquer l onglet Matériel Désactiver l onglet DFS Ne pas afficher «Ordinateurs proches du mien» dans Favoris réseau Ne pas afficher «Tout le réseau» dans Favoris réseau Désactiver les touches de raccourci Windows+x Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe 7.6. GPO TSE Bureau Type de GPO Liaisons Paramètres Bureau Bureau \ Active Desktop Bureau \ Active Directory Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Supprimer Propriétés du menu contextuel de Mes Documents Supprimer Propriétés du menu contextuel de Poste de travail Supprimer Propriétés du menu contextuel de la Corbeille Cacher l icône Favoris réseau sur le bureau Ne pas ajouter de partage des documents récemment ouverts dans Favoris réseau Interdit aux utilisateurs de modifier le chemin d accès de Mes Documents Désactiver l ajout, le glisser-déposer et la suppression des barres d outils de la barre des tâches Supprimer l Assistant Nettoyage du bureau Désactiver Active Desktop Cacher le dossier Active Directory Masquer l onglet Configuration Masquer l onglet Ecran de veille Groupe Prodware Page 13/26

14 Panneau de configuration \ Affichage Panneau de configuration \ Imprimantes Sécurité Désactiver l écran de veille Rechercher les imprimantes sur le réseau Chemin Active Directory par défaut pour la recherche d imprimantes : LDAP://DC=laboromz,DC=local. Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe 7.7. GPO TSE Menu démarrer Type de GPO Liaisons Paramètres Paramètres Windows \ Redirection de dossiers \ Menu démarrer Menu démarrer et barre des tâches Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Rediriger les dossiers de tout le monde vers le même emplacement : \\fichiers\startmenu$ Supprimer le dossier des utilisateurs du menu démarrer. Supprimer les liens et l accès à Windows Update Supprimer le groupe de programmes communs du menu démarrer Supprimer les programmes du menu Paramètres Supprimer les connexions réseau du menu démarrer Supprimer le menu Aide du menu démarrer Supprimer le menu Exécuter du menu démarrer Supprimer l icône Ma Musique du menu démarrer Supprimer l icône Favoris Réseau du menu démarrer Ajouter l option Fermeture de session au menu démarrer Supprimer et empêcher l accès à la commande Arrêter Supprimer le glisser-déplacer des menus contextuels dans le menu démarrer Empêcher la modification des paramètres de la barre des tâches et du menu démarrer Effacer l historique des documents ouverts en quittant Désactiver les menus personnalisés Forcer le menu démarrer classique Supprimer l horloge de la zone de notification système = Désactivé. Sécurité Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 14/26

15 7.8. GPO TSE Internet Explorer Type de GPO Liaisons Paramètres Paramètres Windows \ Maintenance d Internet Explorer \ Interface utilisateur du navigateur Paramètres Windows \ Maintenance d Internet Explorer \ URL \ URL principales Composants Windows \ Internet Explorer Composants Windows \ Internet Explorer \ Panneau de configuration de Internet Composants Windows \ Internet Explorer \ Menus du navigateur Sécurité Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Barre de titre du navigateur = LaboromZ Page de démarrage = Désactiver la modification des paramètres de la page de démarrage Désactiver la modification des paramètres des fichiers Internet temporaires Désactiver la modification des paramètres de l historique Désactiver l assistant de connexion Internet Désactiver la modification des paramètres de connexion Désactiver la modification des paramètres de proxy Désactiver la modification des paramètres de la configuration automatique Désactiver la modification des paramètres du contrôle d accès Désactiver la modification des paramètres des certificats Désactiver la modification des paramètres de l assistant profil Désactiver la saisie semi-automatique dans les formulaires Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe Désactiver la fonctionnalité Rétablir les paramètres Web Désactiver la modification du navigateur par défaut Désactiver l onglet Sécurité Désactiver l onglet Connexions Désactiver l onglet Programmes Désactiver l onglet Avancés Menu Fichier : Désactiver la commande Enregistrer sous Menu Fichier : Désactiver la commande Enregistrer sous page web complète Menu Affichage : Désactiver la commande source Menu Aide : Eliminer la commande Astuce du jour Menu Aide : Eliminer la commande Pour les utilisateurs de Netscape Menu Aide : Eliminer la commande Visite Guidée Menu Aide : Eliminer la commande Envoyer des commentaires Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 15/26

16 7.9. GPO TSE MMC Type de GPO Liaisons Paramètres Composants Windows \ Microsoft Management Console Sécurité Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Empêcher l utilisateur de passer en mode auteur Restreindre les utilisateurs à la liste des composants logiciels enfichables autorisés Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 16/26

17 8. STRATEGIES DE GROUPE UTILISATEURS Ces stratégies concernent les utilisateurs qu ils se connectent via TSE ou non Redirection Mes Documents Type de GPO Liaisons Paramètres Paramètres Windows \ Redirection de dossiers \ Mes Documents Paramètres Windows \ Redirection de dossiers \ Mes Documents \ Mes images Sécurité Utilisateur Unité organisationnelle.tse De base Rediriger tout le monde vers le même emplacement \\fichiers\repperso$\%username% Suivre le dossier Mes Documents Utilisateurs : Lire et appliquer la stratégie de groupe 8.2. Lecteurs réseau Type de GPO Liaisons Paramètres Paramètres Windows \ Scripts (ouverture/fermeture de session) Sécurité Utilisateur Unité organisationnelle.utilisateurs Script MAPS.CMD : Net use P: \\fichiers\commun /persistent:no Utilisateurs : Lire et appliquer la stratégie de groupe Groupe Prodware Page 17/26

18 9. INSTALLATION DES APPLICATIONS Toutes les installations seront exécutées dans le mode Installation des services Terminal Server (commande change user /install). A l issue des installations, la commande change user /execute sera exécutée pour remettre le serveur en mode Application Microsoft Office 2003 Microsoft Office 2003 reconnaît immédiatement s il est installé sur un serveur TSE. L installation se fait donc par défaut sur le disque dur du serveur. Laisser la source d installation locale et mettre à jour Office 2003 via Office Update Copier le dossier Microsoft Office du menu démarrer dans le dossier \\fichiers\startmenu$\programmes\ 9.2. Foxit Reader Pro Foxit Reader est un outil gratuit destiné à remplacer le lecteur de documents PDF Adobe Reader. L avantage de Foxit Reader est sa légèreté (1 exécutable de 2,5 Mo) et sa rapidité d exécution. Pour installer Foxit Reader, créer un dossier dans Program Files et copier l exécutable dans ce dossier. Créer un raccourci vers l exécutable dans \\fichiers\startmenu$\programmes 9.3. PDF995 PDF995 est un outil gratuit (moyennant l affichage d une page publicitaire à chaque utilisation) permettant de créer des fichiers PDF à partir de n importe quel document. Pour créer un fichier PDF, il suffit d imprimer vers une imprimante nommée PDF995 et de spécifier le nom de fichier de destination. Installer les 2 composants du programme PDF995. Modifier la sécurité sur le fichier C:\Program Files\Pdf995\res\pdf995.ini et donner la permission Modifier au groupe Utilisateurs du bureau à distance Dans le cas d une architecture multi-serveurs, créer une GPO dans l UO.Serveurs TSE qui modifie le système de fichiers pour attribuer les bonnes permissions. Groupe Prodware Page 18/26

19 10. CREATION DES UTILISATEURS Dans quelle UO? Tous les utilisateurs seront créés dans l UO.Utilisateurs Particularités de création Dossier de base Connecter le lecteur U: à \\fichiers\repperso$\%username% Ne pas renseigner les onglets Environnement, Sessions, Contrôle distant et Profil de services Terminal Server. Groupe Prodware Page 19/26

20 11. COMPLEMENTS DE SECURITE ABE : Acces-based enumeration ABE est un outil gratuit fourni par Microsoft qui n a qu un seul but : faire en sorte que les utilisateurs ne voient pas les dossiers partagés auxquels ils n ont pas accès. Le comportement par défaut de Windows fait qu un utilisateur peut voir tous les dossiers mais pas leur contenu. Prenons l exemple d un dossier partagé nommé COMMUN qui contient 3 sous-dossiers Finance, Marketing et Ventes. Prenons un utilisateur faisant partie du groupe d accès au dossier Ventes. Sans ABE, l utilisateur verra l écran ci-dessous : et si il essaye de rentrer dans un autre dossier que Ventes, il obtiendra le message d erreur suivant : Avec ABE, ce même utilisateur aura la vue suivante dans le dossier COMMUN : Groupe Prodware Page 20/26

21 Pour utiliser cette fonctionnalité : Télécharger Acces-Based Enumeration ici : Installer le logiciel en lui spécifiant qu il ne faut pas activer ABE sur tous les dossiers partagés du serveur. Sélectionner le ou les dossier(s) partagé(s) faisant l objet de la restriction d accès. Clic droit, puis Propriétés Onglet Acces-Based Enumeration, cocher la case Enable Acces-based Enumeration on this folder Modification de l imprimante par défaut des utilisateurs Lorsque l environnement de travail est restreint au maximum via les stratégies de groupe, certaines manipulations de base deviennent vite un casse-tête pour les administrateurs. Un de ces exemples est la modification de l imprimante par défaut des utilisateurs : le panneau d affichage des imprimantes étant absent de l environnement graphique, il est nécessaire d avoir un palliatif pour effectuer cette manipulation courante. Ouvrir un dossier partagé dans lequel l utilisateur a les droits d écriture. Clic droit > Nouveau > Document Texte Menu Fichier > Imprimer Clic droit sur l imprimante désirée, puis définir comme imprimante par défaut. Vous pouvez supprimer le document texte. Groupe Prodware Page 21/26

22 11.3. Prévention de l exécution des données Windows Server 2003 Service Pack 1 introduit comme XP Service Pack 2 la Prévention de l Execution des Données (PED ou DEP in english ). Cette technologie bloque les applications effectuant des opérations non-conformes dans la mémoire. Elle bloque également les accès aux exécutables appelés via un chemin UNC (\\serveur\partage\appli.exe). Cela se traduit par le message suivant lorsque l on essaie d exécuter un raccourci pointant sur une ressource réseau (les raccourcis du menu démarrer redirigé par exemple ) 3 solutions sont possibles pour pallier à ce problème : Modifier le fichier boot.ini des serveurs Terminal Server en remplaçant /noexecute=optin par /execute. Redémarrer les serveurs. Clic droit sur le poste de travail, Propriétés, avancés, options de performances, onglet prévention de l exécution des données et sélectionner Activer la prévention d exécution des données pour les programmes et les services Windows uniquement. Redémarrer les serveurs. (source L. Nutten, Prodware Lille) Sous le compte d utilisateur impacté, modifier les paramètres d Internet Explorer. Menu Outils > Options Internet, onglet Sécurité, cliquer sur Intranet Local, puis sur Sites. Vérifier que les 3 cases et en particulier la 3 ème sont cochées. Il faudra sans doute désactiver la stratégie de restriction d accès à Internet Explorer pour effectuer cette manipulation. Groupe Prodware Page 22/26

23 11.4. Masquer l accès aux lecteurs locaux Par défaut, Windows implémente une stratégie qui permet de masquer les lecteurs A: à D: ou tous les lecteurs. Ceci s avère problématique dès que le serveur d applications comporte 3 partitions, 1 lecteur de disquette et 1 lecteur de CD car au moins 1 lecteur sera apparent dans le poste de travail. Un petit utilitaire gratuit est dispo sur Internet : Cet outil permet de sélectionner un par un les lecteurs à masquer (de A: à Z:). Le résultat est un fichier ADM que l on peut incorporer aux modèles d administration des stratégies de groupe. L outil est sympa mais il suffit d avoir un modèle de fichier ADM sur soi et de modifier une valeur dans ce fichier pour obtenir le même résultat sans le soft. Fichier modèle HIDEDRV.ADM (copier/coller le texte ci-dessous dans le bloc-notes) CLASS USER CATEGORY!!WindowsComponents CATEGORY!!Explorer CATEGORY!!Hidecalc KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\Explorer POLICY!!HideDrives EXPLAIN!!HideDrivesHelp PART!!DlgHideDrives NUMERIC REQUIRED VALUENAME "NoDrives" MIN 0 MAX DEFAULT 0 END PART END POLICY END CATEGORY END CATEGORY END CATEGORY [strings] WindowsComponents="Composants Windows" Explorer="Explorateur Windows" HideDrives="Masquer les lecteurs dans le poste de travail" Hidecalc="Masquer les lecteurs" HideDrivesHelp="Pour calculer cette valeur, il suffit de représenter un nombre binaire où A:=bit 0, B:=bit 1, C:=bit 2,..., Z:=bit 26.\nSi on désire masquer le lecteur A:, il faut mettre le bit 0 à 1, si on désire masquer le lecteur F: on mettra le bit 5 à 1, etc..., etc...\n\nexemple : Pour masquer les lecteurs A:, B:, C:, D: et G:, il faut spécifier la valeur 79 ( )\n\n Note:\n\n Cette stratégie peut entrer en conflit avec la stratégie Masquer les Groupe Prodware Page 23/26

24 lecteurs suivants dans le poste de travail située dans common.adm" DlgHideDrives="Valeur de masquage des lettres de lecteurs :\n" Sauvegarder le fichier dans C:\Windows\Inf des contrôleurs de domaine sous le nom hidedrv.adm Créer une nouvelle GPO Se positionner sur le dossier Configuration Utilisateur > Modèles d administration. Clic droit, puis Ajout/Suppression de modèles. Cliquer sur Ajouter Sélectionner le fichier hidedrv.adm De retour dans la console, aller dans Configuration Utilisateur > Modèles d administration > Composants Windows > Explorateur Windows Spécifier la valeur de masquage en vous aidant du modèle suivant : Lettre Z Y X W V U T S R Q P O N M L K J I H G F E D C B A Bit Pour masquer une lettre de lecteur, positionner le bit correspondant à 1. L exemple de la figure ci-dessus correspond au masquage des lecteurs A:, B:, C:, D: et G:. Groupe Prodware Page 24/26

25 12. LE RESULTAT EN IMAGES Un menu démarrer réduit à sa plus simple expression et commun aux utilisateurs TSE Le poste de travail ne comporte que les lecteurs réseau montés par script Disparition des options Gérer et Propriétés. Groupe Prodware Page 25/26

26 Le panneau de configuration d Internet Explorer est bridé. Word 2003 avec le créateur de PDF Groupe Prodware Page 26/26

27 Fiche Technique Montage d une architecture sécurisée Terminal Server 2003 Groupe Prodware Page 1/26

28 Table des matières 1. INTRODUCTION SCHÉMA D ARCHITECTURE PRÉREQUIS Systèmes d exploitation Active Directory Dossiers partagés INSTALLATION DES COMPOSANTS TERMINAL SERVER CONFIGURATION DES SERVICES TERMINAL SERVER Connexion RDP-Tcp Propriétés du serveur SÉCURITÉ DE L ACCÈS AU SERVEUR TSE Architecture mono-serveur Architecture multi-serveurs STRATÉGIES UTILISATEURS CIBLÉES TSE La GPO Bouclage Explications Profils itinérants TSE GPO TSE Système GPO TSE Explorateur GPO TSE Bureau Groupe Prodware Page 2/26

29 7.7. GPO TSE Menu démarrer GPO TSE Internet Explorer GPO TSE MMC STRATÉGIES DE GROUPE UTILISATEURS Redirection Mes Documents Lecteurs réseau INSTALLATION DES APPLICATIONS Microsoft Office Foxit Reader Pro PDF CRÉATION DES UTILISATEURS Dans quelle UO? Particularités de création COMPLÉMENTS DE SÉCURITÉ ABE : Acces-based enumeration Modification de l imprimante par défaut des utilisateurs Prévention de l exécution des données Masquer l accès aux lecteurs locaux LE RÉSULTAT EN IMAGES Groupe Prodware Page 3/26

30 1. INTRODUCTION Le présent document indique la marche à suivre pour implémenter une solution TSE évolutive et sécurisée. Elle peut être mise en œuvre sur un unique serveur (contrôleur + DNS + TSE) ou sur une batterie de serveurs TSE. 2. SCHEMA D ARCHITECTURE Nous nous placerons dans le cadre suivant : L entreprise LaboRomZ veut implémenter un serveur d application dans son réseau. Elle souhaite pour l instant n acquérir qu un seul serveur mais souhaite une architecture évolutive. Les accès au serveur TSE se feront via des clients légers ou des clients TSE installés sur les PC (sous Windows XP). Les utilisateurs du domaine LaboRomZ pourront aussi bien se connecter interactivement au domaine (sur les PC clients) que sur le serveur d applications (TSE). LaboRomZ met l accent sur la sécurité du serveur et les comptes d utilisateurs autorisés à accéder à TSE seront fortement verrouillés dans l environnement. Groupe Prodware Page 4/26

31 Les applicatifs installés seront : Microsoft Office 2003 (Word, Excel, Power Point) Un lecteur de fichiers PDF (Foxit Reader) Un créateur de fichiers PDF (PDF995) ATTENTION : Microsoft recommande vivement d installer les services Terminal Server sur un serveur membre du domaine et pas sur un contrôleur de domaine. La seule exception à cette règle sera évidemment l architecture mono-serveur. Groupe Prodware Page 5/26

32 3. PREREQUIS 3.1. Systèmes d exploitation Tous les serveurs seront sous Windows Server 2003 Service Pack 1. Les outils de support Windows 2003 seront installés sur chacun des serveurs Active Directory Le domaine se nomme lbztse.local (nom NETBIOS = LBZTSE) Le serveur d application se nomme applications. Le serveur de fichiers se nomme fichiers (dans le cas d une architecture mono-serveur, il suffira de créer un alias DNS (enregistrement CNAME) nommé fichiers et pointant sur applications.) Création de la zone de recherche DNS inversée (intégrée à AD) Création d une UO nommée.utilisateurs Création d une UO nommée.ordinateurs Dans le cadre d une architecture multi-serveurs, création d une UO nommée.serveurs TSE Le groupe de sécurité prédéfini Utilisateurs du bureau à distance gérera l accès aux services Terminal Server Dossiers partagés Les utilisateurs disposeront d un espace personnel sur le serveur de fichiers mappé sur le lecteur U:. Le dossier Mes documents sera également redirigé vers ce dossier. Ainsi le dossier Mes Documents «suivra» l utilisateur en fonction de ses connexions. Création sur le serveur de fichiers d un dossier partagé en tant que REPPERSO$ avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en lecture. Les utilisateurs disposeront d un espace commun sur le serveur de fichiers mappé sur le lecteur P:. Tous les utilisateurs auront les droits d écriture dans ce dossier. Création sur le serveur de fichiers d un dossier partagé en tant que Commun avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en modifier. Groupe Prodware Page 6/26

33 Le menu démarrer des sessions TSE sera unique pour tout le monde. Il sera redirigé vers un espace partagé sur le serveur de fichiers. Création sur le serveur de fichiers d un dossier partagé en tant que STARTMENU$ avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en lecture. Les répertoires de profil des utilisateurs TSE seront itinérants et situés sur le serveur de fichiers. Les répertoires de profil des utilisateurs non TSE seront locaux. Création sur le serveur de fichiers d un dossier partagé en tant que ProfilsTSE$ avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en Modifier. Groupe Prodware Page 7/26

34 4. INSTALLATION DES COMPOSANTS TERMINAL SERVER L installation se fait via le panneau de configuration \ Ajout/Suppresion de programmes, onglet Composants Windows. Sélectionner l option Sécurité Totale. Ne pas spécifier de serveur de licence Mode de licence par utilisateur Installer ensuite le serveur de licences sur le serveur (architecture mono-serveur) ou sur le contrôleur de domaine (architecture multi-serveurs) Groupe Prodware Page 8/26

35 5. CONFIGURATION DES SERVICES TERMINAL SERVER 5.1. Connexion RDP-Tcp Niveau de cryptage Client Compatible Paramètres d ouverture de session Toujours demander un mot de passe Fin d une session déconnectée 10 minutes Limite de session active jamais Limite de session inactive jamais Lorsque la limite de session Fin de la session Réglages clients Désactiver les imprimantes, ports LPT et ports COM Carte réseau Nombre maximal de connexions à définir Autorisations Administrateurs : Contrôle total SYSTEM : Contrôle Total Utilisateurs du bureau à distance : Accès Utilisateur 5.2. Propriétés du serveur Groupe Prodware Page 9/26

36 6. SECURITE DE L ACCES AU SERVEUR TSE 6.1. Architecture mono-serveur Dans ce cas, le serveur TSE est aussi contrôleur de domaine. Or, les utilisateurs n ont pas le droit d ouvrir une session Terminal Server sur ce type de serveur. Il faut donc modifier la stratégie des contrôleurs de domaine par défaut pour accepter les ouvertures de session par les services Terminal Server par les membres du groupe Utilisateurs du bureau à distance. Ouvrir Le composant Stratégie de sécurité du contrôleur de domaine Aller dans Stratégies locales \ Attribution des droits utilisateurs Double-cliquer sur Autoriser l ouverture de session par les services Terminal Server et ajouter le groupe Utilisateurs du bureau à distance comme ci-desous : Valider les choix et actualiser les stratégies Architecture multi-serveurs Les serveurs TSE seront tous placés dans l UO.Serveurs TSE. Ils ne sont pas contrôleurs de domaine, donc le groupe Utilisateurs du bureau à distance gère l accès aux services Terminal Server Groupe Prodware Page 10/26

37 7. STRATEGIES UTILISATEURS CIBLEES TSE Les utilisateurs du domaine lbztse.local peuvent tout aussi bien ouvrir une session sur un PC client du domaine qu ouvrir une session TSE sur le(s) serveur(s) applicatif(s). Il est donc nécessaire de différencier ces 2 modes d ouverture de session et d appliquer des stratégies très restrictives aux utilisateurs se connectant via TSE La GPO Bouclage Clic droit sur l UO Domain Controllers (ou.serveurs TSE si architecture multiserveurs), puis Propriétés. Créer un nouvel objet de stratégie de groupe nommé Bouclage. Aller dans Configuration Ordinateur \ Système \ Stratégie de groupe Activer le paramètre Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur et définir le mode à Fusionner 7.2. Explications Cette stratégie va permettre à Active Directory de prendre en compte toutes les stratégies utilisateurs définies dans l UO Domain Controllers (ou.serveurs TSE). Ces stratégies seront appliquées quel que soit l utilisateur se connectant sur un serveur présent dans l UO. Attention! Pour éviter un blocage des comptes Administrateurs, il sera nécessaire de modifier les paramètres de sécurité de chaque GPO afin que les membres du groupe Administrateurs de l entreprise et Admins du domaine se voient refuser l application des GPO. Il faudra donc créer toutes les GPO concernant les accès TSE dans l UO Domain Controllers (ou.serveurs TSE). Groupe Prodware Page 11/26

38 7.3. Profils itinérants TSE Type de GPO Liaisons Paramètres Configuration Ordinateur \ Composants Windows \ Services Terminal Servers Sécurité Ordinateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Chemin d accès aux profils itinérants = \\fichiers\profilstse$ Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe 7.4. GPO TSE Système Type de GPO Liaisons Paramètres Configuration Ordinateur \ Composants Windows \ Services Terminal Server Système Système \ Options Ctrl+Alt+Sup Système \ Profils Utlisateurs Sécurité Ordinateur et Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Forcer la suppression du papier peint du bureau à distance Limiter le nombre maximal de couleurs = 16 bits Supprimer l option sécurité du menu démarrer Supprimer l élément Déconnecter de la boîte de dialogue Arrêter Désactiver l accès à l invite de commandes (mais pas les scripts) Empêche l accès aux outils de modification du registre Désactiver la lecture automatique -> des lecteurs de CD-ROM Supprimer le gestionnaire de tâches Limiter la taille du profil à 30 Mo Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 12/26

39 7.5. GPO TSE Explorateur Type de GPO Liaisons Paramètres Composants Windows \ Explorateur Windows Sécurité Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Supprimer l élément de menu Options des dossiers du menu Outils Supprimer les options «Connecter un lecteur réseau» et «Déconnecter un lecteur réseau». Masquer l élément Gérer du menu contextuel Windows Explorer Dans Poste de travail, masquer les lecteurs A:, B:, C:, D: Empêcher l accès aux lecteurs A:, B:, C:, D: Masquer l onglet Matériel Désactiver l onglet DFS Ne pas afficher «Ordinateurs proches du mien» dans Favoris réseau Ne pas afficher «Tout le réseau» dans Favoris réseau Désactiver les touches de raccourci Windows+x Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe 7.6. GPO TSE Bureau Type de GPO Liaisons Paramètres Bureau Bureau \ Active Desktop Bureau \ Active Directory Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Supprimer Propriétés du menu contextuel de Mes Documents Supprimer Propriétés du menu contextuel de Poste de travail Supprimer Propriétés du menu contextuel de la Corbeille Cacher l icône Favoris réseau sur le bureau Ne pas ajouter de partage des documents récemment ouverts dans Favoris réseau Interdit aux utilisateurs de modifier le chemin d accès de Mes Documents Désactiver l ajout, le glisser-déposer et la suppression des barres d outils de la barre des tâches Supprimer l Assistant Nettoyage du bureau Désactiver Active Desktop Cacher le dossier Active Directory Masquer l onglet Configuration Masquer l onglet Ecran de veille Groupe Prodware Page 13/26

40 Panneau de configuration \ Affichage Panneau de configuration \ Imprimantes Sécurité Désactiver l écran de veille Rechercher les imprimantes sur le réseau Chemin Active Directory par défaut pour la recherche d imprimantes : LDAP://DC=laboromz,DC=local. Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe 7.7. GPO TSE Menu démarrer Type de GPO Liaisons Paramètres Paramètres Windows \ Redirection de dossiers \ Menu démarrer Menu démarrer et barre des tâches Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Rediriger les dossiers de tout le monde vers le même emplacement : \\fichiers\startmenu$ Supprimer le dossier des utilisateurs du menu démarrer. Supprimer les liens et l accès à Windows Update Supprimer le groupe de programmes communs du menu démarrer Supprimer les programmes du menu Paramètres Supprimer les connexions réseau du menu démarrer Supprimer le menu Aide du menu démarrer Supprimer le menu Exécuter du menu démarrer Supprimer l icône Ma Musique du menu démarrer Supprimer l icône Favoris Réseau du menu démarrer Ajouter l option Fermeture de session au menu démarrer Supprimer et empêcher l accès à la commande Arrêter Supprimer le glisser-déplacer des menus contextuels dans le menu démarrer Empêcher la modification des paramètres de la barre des tâches et du menu démarrer Effacer l historique des documents ouverts en quittant Désactiver les menus personnalisés Forcer le menu démarrer classique Supprimer l horloge de la zone de notification système = Désactivé. Sécurité Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 14/26

41 7.8. GPO TSE Internet Explorer Type de GPO Liaisons Paramètres Paramètres Windows \ Maintenance d Internet Explorer \ Interface utilisateur du navigateur Paramètres Windows \ Maintenance d Internet Explorer \ URL \ URL principales Composants Windows \ Internet Explorer Composants Windows \ Internet Explorer \ Panneau de configuration de Internet Composants Windows \ Internet Explorer \ Menus du navigateur Sécurité Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Barre de titre du navigateur = LaboromZ Page de démarrage = Désactiver la modification des paramètres de la page de démarrage Désactiver la modification des paramètres des fichiers Internet temporaires Désactiver la modification des paramètres de l historique Désactiver l assistant de connexion Internet Désactiver la modification des paramètres de connexion Désactiver la modification des paramètres de proxy Désactiver la modification des paramètres de la configuration automatique Désactiver la modification des paramètres du contrôle d accès Désactiver la modification des paramètres des certificats Désactiver la modification des paramètres de l assistant profil Désactiver la saisie semi-automatique dans les formulaires Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe Désactiver la fonctionnalité Rétablir les paramètres Web Désactiver la modification du navigateur par défaut Désactiver l onglet Sécurité Désactiver l onglet Connexions Désactiver l onglet Programmes Désactiver l onglet Avancés Menu Fichier : Désactiver la commande Enregistrer sous Menu Fichier : Désactiver la commande Enregistrer sous page web complète Menu Affichage : Désactiver la commande source Menu Aide : Eliminer la commande Astuce du jour Menu Aide : Eliminer la commande Pour les utilisateurs de Netscape Menu Aide : Eliminer la commande Visite Guidée Menu Aide : Eliminer la commande Envoyer des commentaires Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 15/26

42 7.9. GPO TSE MMC Type de GPO Liaisons Paramètres Composants Windows \ Microsoft Management Console Sécurité Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Empêcher l utilisateur de passer en mode auteur Restreindre les utilisateurs à la liste des composants logiciels enfichables autorisés Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 16/26

43 8. STRATEGIES DE GROUPE UTILISATEURS Ces stratégies concernent les utilisateurs qu ils se connectent via TSE ou non Redirection Mes Documents Type de GPO Liaisons Paramètres Paramètres Windows \ Redirection de dossiers \ Mes Documents Paramètres Windows \ Redirection de dossiers \ Mes Documents \ Mes images Sécurité Utilisateur Unité organisationnelle.tse De base Rediriger tout le monde vers le même emplacement \\fichiers\repperso$\%username% Suivre le dossier Mes Documents Utilisateurs : Lire et appliquer la stratégie de groupe 8.2. Lecteurs réseau Type de GPO Liaisons Paramètres Paramètres Windows \ Scripts (ouverture/fermeture de session) Sécurité Utilisateur Unité organisationnelle.utilisateurs Script MAPS.CMD : Net use P: \\fichiers\commun /persistent:no Utilisateurs : Lire et appliquer la stratégie de groupe Groupe Prodware Page 17/26

44 9. INSTALLATION DES APPLICATIONS Toutes les installations seront exécutées dans le mode Installation des services Terminal Server (commande change user /install). A l issue des installations, la commande change user /execute sera exécutée pour remettre le serveur en mode Application Microsoft Office 2003 Microsoft Office 2003 reconnaît immédiatement s il est installé sur un serveur TSE. L installation se fait donc par défaut sur le disque dur du serveur. Laisser la source d installation locale et mettre à jour Office 2003 via Office Update Copier le dossier Microsoft Office du menu démarrer dans le dossier \\fichiers\startmenu$\programmes\ 9.2. Foxit Reader Pro Foxit Reader est un outil gratuit destiné à remplacer le lecteur de documents PDF Adobe Reader. L avantage de Foxit Reader est sa légèreté (1 exécutable de 2,5 Mo) et sa rapidité d exécution. Pour installer Foxit Reader, créer un dossier dans Program Files et copier l exécutable dans ce dossier. Créer un raccourci vers l exécutable dans \\fichiers\startmenu$\programmes 9.3. PDF995 PDF995 est un outil gratuit (moyennant l affichage d une page publicitaire à chaque utilisation) permettant de créer des fichiers PDF à partir de n importe quel document. Pour créer un fichier PDF, il suffit d imprimer vers une imprimante nommée PDF995 et de spécifier le nom de fichier de destination. Installer les 2 composants du programme PDF995. Modifier la sécurité sur le fichier C:\Program Files\Pdf995\res\pdf995.ini et donner la permission Modifier au groupe Utilisateurs du bureau à distance Dans le cas d une architecture multi-serveurs, créer une GPO dans l UO.Serveurs TSE qui modifie le système de fichiers pour attribuer les bonnes permissions. Groupe Prodware Page 18/26

45 10. CREATION DES UTILISATEURS Dans quelle UO? Tous les utilisateurs seront créés dans l UO.Utilisateurs Particularités de création Dossier de base Connecter le lecteur U: à \\fichiers\repperso$\%username% Ne pas renseigner les onglets Environnement, Sessions, Contrôle distant et Profil de services Terminal Server. Groupe Prodware Page 19/26

46 11. COMPLEMENTS DE SECURITE ABE : Acces-based enumeration ABE est un outil gratuit fourni par Microsoft qui n a qu un seul but : faire en sorte que les utilisateurs ne voient pas les dossiers partagés auxquels ils n ont pas accès. Le comportement par défaut de Windows fait qu un utilisateur peut voir tous les dossiers mais pas leur contenu. Prenons l exemple d un dossier partagé nommé COMMUN qui contient 3 sous-dossiers Finance, Marketing et Ventes. Prenons un utilisateur faisant partie du groupe d accès au dossier Ventes. Sans ABE, l utilisateur verra l écran ci-dessous : et si il essaye de rentrer dans un autre dossier que Ventes, il obtiendra le message d erreur suivant : Avec ABE, ce même utilisateur aura la vue suivante dans le dossier COMMUN : Groupe Prodware Page 20/26

47 Pour utiliser cette fonctionnalité : Télécharger Acces-Based Enumeration ici : Installer le logiciel en lui spécifiant qu il ne faut pas activer ABE sur tous les dossiers partagés du serveur. Sélectionner le ou les dossier(s) partagé(s) faisant l objet de la restriction d accès. Clic droit, puis Propriétés Onglet Acces-Based Enumeration, cocher la case Enable Acces-based Enumeration on this folder Modification de l imprimante par défaut des utilisateurs Lorsque l environnement de travail est restreint au maximum via les stratégies de groupe, certaines manipulations de base deviennent vite un casse-tête pour les administrateurs. Un de ces exemples est la modification de l imprimante par défaut des utilisateurs : le panneau d affichage des imprimantes étant absent de l environnement graphique, il est nécessaire d avoir un palliatif pour effectuer cette manipulation courante. Ouvrir un dossier partagé dans lequel l utilisateur a les droits d écriture. Clic droit > Nouveau > Document Texte Ouvrir le fichier texte Menu Fichier > Imprimer Clic droit sur l imprimante désirée, puis définir comme imprimante par défaut. Vous pouvez supprimer le document texte. Groupe Prodware Page 21/26

48 11.3. Prévention de l exécution des données Windows Server 2003 Service Pack 1 introduit comme XP Service Pack 2 la Prévention de l Execution des Données (PED ou DEP in english ). Cette technologie bloque les applications effectuant des opérations non-conformes dans la mémoire. Elle bloque également les accès aux exécutables appelés via un chemin UNC (\\serveur\partage\appli.exe). Cela se traduit par le message suivant lorsque l on essaie d exécuter un raccourci pointant sur une ressource réseau (les raccourcis du menu démarrer redirigé par exemple ) 3 solutions sont possibles pour pallier à ce problème : Modifier le fichier boot.ini des serveurs Terminal Server en remplaçant /noexecute=optin par /execute. Redémarrer les serveurs. Clic droit sur le poste de travail, Propriétés, avancés, options de performances, onglet prévention de l exécution des données et sélectionner Activer la prévention d exécution des données pour les programmes et les services Windows uniquement. Redémarrer les serveurs. (source L. Nutten, Prodware Lille) Sous le compte d utilisateur impacté, modifier les paramètres d Internet Explorer. Menu Outils > Options Internet, onglet Sécurité, cliquer sur Intranet Local, puis sur Sites. Vérifier que les 3 cases et en particulier la 3 ème sont cochées. Il faudra sans doute désactiver la stratégie de restriction d accès à Internet Explorer pour effectuer cette manipulation. Groupe Prodware Page 22/26

49 11.4. Masquer l accès aux lecteurs locaux Par défaut, Windows implémente une stratégie qui permet de masquer les lecteurs A: à D: ou tous les lecteurs. Ceci s avère problématique dès que le serveur d applications comporte 3 partitions, 1 lecteur de disquette et 1 lecteur de CD car au moins 1 lecteur sera apparent dans le poste de travail. Un petit utilitaire gratuit est dispo sur Internet : Cet outil permet de sélectionner un par un les lecteurs à masquer (de A: à Z:). Le résultat est un fichier ADM que l on peut incorporer aux modèles d administration des stratégies de groupe. L outil est sympa mais il suffit d avoir un modèle de fichier ADM sur soi et de modifier une valeur dans ce fichier pour obtenir le même résultat sans le soft. Fichier modèle HIDEDRV.ADM (copier/coller le texte ci-dessous dans le bloc-notes) CLASS USER CATEGORY!!WindowsComponents CATEGORY!!Explorer CATEGORY!!Hidecalc KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\Explorer POLICY!!HideDrives EXPLAIN!!HideDrivesHelp PART!!DlgHideDrives NUMERIC REQUIRED VALUENAME "NoDrives" MIN 0 MAX DEFAULT 0 END PART END POLICY END CATEGORY END CATEGORY END CATEGORY [strings] WindowsComponents="Composants Windows" Explorer="Explorateur Windows" HideDrives="Masquer les lecteurs dans le poste de travail" Hidecalc="Masquer les lecteurs" HideDrivesHelp="Pour calculer cette valeur, il suffit de représenter un nombre binaire où A:=bit 0, B:=bit 1, C:=bit 2,..., Z:=bit 26.\nSi on désire masquer le lecteur A:, il faut mettre le bit 0 à 1, si on désire masquer le lecteur F: on mettra le bit 5 à 1, etc..., etc...\n\nexemple : Pour masquer les lecteurs A:, B:, C:, D: et G:, il faut spécifier la valeur 79 ( )\n\n Note:\n\n Cette stratégie peut entrer en conflit avec la stratégie Masquer les Groupe Prodware Page 23/26