Fiche Technique Montage d une architecture sécurisée Terminal Server 2000 Groupe Prodware Page 1/21
Table des matières 1. INTRODUCTION... 4 2. SCHÉMA D ARCHITECTURE... 4 3. PRÉREQUIS... 5 3.1. Systèmes d exploitation...5 3.2. Active Directory...5 3.3. Dossiers partagés...5 4. INSTALLATION DES COMPOSANTS TERMINAL SERVER... 7 5. CONFIGURATION DES SERVICES TERMINAL SERVER... 8 5.1. Connexion RDP-Tcp...8 5.2. Propriétés du serveur...8 6. SÉCURITÉ DE L ACCÈS AU SERVEUR TSE... 9 6.1. Architecture mono-serveur...9 6.2. Architecture multi-serveurs...9 7. STRATÉGIES UTILISATEURS CIBLÉES TSE...11 7.1. La GPO Bouclage...11 7.2. Explications...11 7.3. Profils itinérants TSE...12 7.4. GPO TSE Système...12 7.5. GPO TSE Explorateur...13 7.6. GPO TSE Bureau...13 Groupe Prodware Page 2/21
7.7. GPO TSE Menu démarrer...14 7.8. GPO TSE Internet Explorer...15 7.9. GPO TSE MMC...16 8. STRATÉGIES DE GROUPE UTILISATEURS...17 8.1. Redirection Mes Documents...17 8.2. Lecteurs réseau...17 9. INSTALLATION DES APPLICATIONS...18 9.1. Microsoft Office 2003...18 9.2. Foxit Reader Pro...18 9.3. PDF995...18 10. CRÉATION DES UTILISATEURS...19 10.1. Dans quelle UO?...19 10.2. Particularités de création...19 11. LE RÉSULTAT EN IMAGES...20 Groupe Prodware Page 3/21
1. INTRODUCTION Le présent document indique la marche à suivre pour implémenter une solution TSE évolutive et sécurisée. Elle peut être mise en œuvre sur un unique serveur (contrôleur + DNS + TSE) ou sur une batterie de serveurs TSE. 2. SCHEMA D ARCHITECTURE Nous nous placerons dans le cadre suivant : L entreprise LaboRomZ veut implémenter un serveur d application dans son réseau. Elle souhaite pour l instant n acquérir qu un seul serveur mais souhaite une architecture évolutive. Les accès au serveur TSE se feront via des clients légers ou des clients TSE installés sur les PC (sous Windows XP). Les utilisateurs du domaine LaboRomZ pourront aussi bien se connecter interactivement au domaine (sur les PC clients) que sur le serveur d applications (TSE). LaboRomZ met l accent sur la sécurité du serveur et les comptes d utilisateurs autorisés à accéder à TSE seront fortement verrouillés dans l environnement. Groupe Prodware Page 4/21
Les applicatifs installés seront : Microsoft Office 2003 (Word, Excel, Power Point) Un lecteur de fichiers PDF (Foxit Reader) Un créateur de fichiers PDF (PDF995) 3. PREREQUIS 3.1. Systèmes d exploitation Tous les serveurs seront sous Windows 2000 Server Service Pack 4. Les outils de support Windows 2000 seront installés sur chacun des serveurs. Internet Explorer 6 SP1 sera installé sur chacun des serveurs. 3.2. Active Directory Le domaine se nomme laboromz.local (nom NETBIOS = LABOROMZ) Le serveur d application se nomme applications. Le serveur de fichiers se nomme fichiers (dans le cas d une architecture mono-serveur, il suffira de créer un alias DNS (enregistrement CNAME) nommé fichiers et pointant sur applications.) Création de la zone de recherche DNS inversée (intégrée à AD) Création d une UO nommée.tse Création d une UO nommée.utilisateurs Création d une UO nommée.ordinateurs Dans le cadre d une architecture multi-serveurs, création d une UO nommée.serveurs TSE Création d un groupe de sécurité global nommé Utilisateurs TSE. Les membres de ce groupe auront l accès aux services TSE. 3.3. Dossiers partagés Les utilisateurs disposeront d un espace personnel sur le serveur de fichiers mappé sur le lecteur U:. Le dossier Mes documents sera également redirigé vers ce dossier. Ainsi le dossier Mes Documents «suivra» l utilisateur en fonction de ses connexions. Création sur le serveur de fichiers d un dossier partagé en tant que REPPERSO$ avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en lecture. Groupe Prodware Page 5/21
Les utilisateurs disposeront d un espace commun sur le serveur de fichiers mappé sur le lecteur P:. Tous les utilisateurs auront les droits d écriture dans ce dossier. Création sur le serveur de fichiers d un dossier partagé en tant que Commun avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en modifier. Le menu démarrer des sessions TSE sera unique pour tout le monde. Il sera redirigé vers un espace partagé sur le serveur de fichiers. Création sur le serveur de fichiers d un dossier partagé en tant que STARTMENU$ avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en lecture. Les répertoires de profil des utilisateurs TSE seront itinérants et situés sur le serveur de fichiers. Les répertoires de profil des utilisateurs non TSE seront locaux. Création sur le serveur de fichiers d un dossier partagé en tant que ProfilsTSE$ avec les autorisations suivantes : Groupe Administrateurs en contrôle total et groupe Utilisa. du domaine en Modifier. Groupe Prodware Page 6/21
4. INSTALLATION DES COMPOSANTS TERMINAL SERVER L installation se fait via le panneau de configuration \ Ajout/Suppresion de programmes, onglet Composants Windows. Installer ensuite le serveur de licences sur le serveur (architecture mono-serveur) ou sur le contrôleur de domaine (architecture multi-serveurs) Groupe Prodware Page 7/21
5. CONFIGURATION DES SERVICES TERMINAL SERVER 5.1. Connexion RDP-Tcp Niveau de cryptage Fin d une session déconnectée Limite de session active Limite de session inactive Lorsque la limite de session Réglages clients Carte réseau Autorisations Moyen 10 minutes jamais jamais Fin de la session Désactiver les imprimantes, ports LPT et ports COM Nombre maximal de connexions à définir Administrateurs : Contrôle total SYSTEM : Contrôle Total Utilisateurs TSE : Accès Utilisateur 5.2. Propriétés du serveur Groupe Prodware Page 8/21
6. SECURITE DE L ACCES AU SERVEUR TSE 6.1. Architecture mono-serveur Dans ce cas, le serveur TSE est aussi contrôleur de domaine. Or, les utilisateurs n ont pas le droit d ouvrir une session locale ou TSE sur ce type de serveur. Il faut donc modifier la stratégie des contrôleurs de domaine par défaut pour accepter les ouvertures de session locale par les membres du groupe Utilisateurs TSE. Ouvrir Le composant Stratégie de sécurité du contrôleur de domaine Aller dans Stratégies locales \ Attribution des droits utilisateurs Double-cliquer sur Ouvrir une session localement et ajouter le groupe Utilisateurs TSE comme ci-desous : Valider les choix et actualiser les stratégies. 6.2. Architecture multi-serveurs Les serveurs TSE seront tous placés dans l UO.Serveurs TSE. Il va donc falloir définir une stratégie de groupe liée à cette UO pour définir l accès au serveur. Créer une GPO nommée TSE Accès, modifier le paramètre Ouvrir une session localement comme au paragraphe 6.1. Groupe Prodware Page 9/21
Valider les choix et actualiser les stratégies Groupe Prodware Page 10/21
7. STRATEGIES UTILISATEURS CIBLEES TSE Les utilisateurs du domaine laboromz.local peuvent tout aussi bien ouvrir une session sur un PC client du domaine qu ouvrir une session TSE sur le(s) serveur(s) applicatif(s). Il est donc nécessaire de différencier ces 2 modes d ouverture de session et d appliquer des stratégies très restrictives aux utilisateurs se connectant via TSE. 7.1. La GPO Bouclage Clic droit sur l UO Domain Controllers (ou.serveurs TSE si architecture multiserveurs), puis Propriétés. Créer un nouvel objet de stratégie de groupe nommé Bouclage. Aller dans Configuration Ordinateur \ Système \ Stratégie de groupe Activer le paramètre Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur et définir le mode à Fusionner 7.2. Explications Cette stratégie va permettre à Active Directory de prendre en compte toutes les stratégies utilisateurs définies dans l UO Domain Controllers (ou.serveurs TSE). Ces stratégies seront appliquées quel que soit l utilisateur se connectant sur un serveur présent dans l UO. Attention! Pour éviter un blocage des comptes Administrateurs, il sera nécessaire de modifier les paramètres de sécurité de chaque GPO afin que les membres du groupe Administrateurs de l entreprise et Admins du domaine se voient refuser l application des GPO. Il faudra donc créer toutes les GPO concernant les accès TSE dans l UO Domain Controllers (ou.serveurs TSE). Groupe Prodware Page 11/21
7.3. Profils itinérants TSE Type de GPO Liaisons Paramètres Configuration Ordinateur \ Composants Windows \ Services Terminal Servers Sécurité Ordinateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Chemin d accès aux profils itinérants = \\fichiers\profilstse$ Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe 7.4. GPO TSE Système Type de GPO Liaisons Paramètres Configuration Ordinateur \ Système Système Système \ Ouverture de session Sécurité Ordinateur et Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Supprimer l option sécurité du menu démarrer Désactiver l invite de commandes Désactiver les outils de modification du registre Désactiver la lecture automatique Désactiver le gestionnaire de tâches Limiter la taille du profil à 30 Mo Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 12/21
7.5. GPO TSE Explorateur Type de GPO Liaisons Paramètres Composants Windows \ Explorateur Windows Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Supprimer l élément de menu Options des dossiers du menu Outils Supprimer les options «Connecter un lecteur réseau» et «Déconnecter un lecteur réseau». Masquer l élément Gérer du menu contextuel Windows Explorer Dans Poste de travail, masquer les lecteurs A:, B:, C:, D: Empêcher l accès aux lecteurs A:, B:, C:, D: Masquer l onglet Matériel Désactiver l onglet DFS Ne pas afficher «Ordinateurs proches du mien» dans Favoris réseau Ne pas afficher «Tout le réseau» dans Favoris réseau Sécurité Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe 7.6. GPO TSE Bureau Type de GPO Liaisons Paramètres Bureau Bureau \ Active Desktop Bureau \ Active Directory Panneau de configuration \ Affichage Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Supprimer Propriétés du menu contextuel de Mes Documents Supprimer Propriétés du menu contextuel de Poste de travail Cacher l icône Favoris réseau Ne pas ajouter de partage des documents récemment ouverts dans Favoris réseau Interdit aux utilisateurs de modifier le chemin d accès de Mes Documents Désactiver l ajout, le glisser-déposer et la suppression des barres d outils de la barre des tâches Désactiver Active Desktop Masquer le dossier Active Directory Masquer l onglet Configuration Masquer l onglet Ecran de veille Désactiver l écran de veille Groupe Prodware Page 13/21
Panneau de configuration \ Imprimantes Sécurité Rechercher les imprimantes sur le réseau Chemin Active Directory par défaut pour la recherche d imprimantes : LDAP://DC=laboromz,DC=local. Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe 7.7. GPO TSE Menu démarrer Type de GPO Liaisons Paramètres Paramètres Windows \ Redirection de dossiers \ Menu démarrer Menu démarrer et barre des tâches Sécurité Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Rediriger les dossiers de tout le monde vers le même emplacement : \\fichiers\startmenu$ Désactiver et supprimer les liens vers Windows Update Supprimer le groupe de programmes communs du menu démarrer Désactiver les programmes du menu Paramètres Supprimer les connexions réseau et accès distant du menu démarrer Supprimer le menu Aide du menu démarrer Supprimer le menu Exécuter du menu démarrer Ajouter Déconnecter au menu démarrer Désactiver et supprimer la commande Arrêter Désactiver le glisser-déplacer des menus contextuels dans le menu démarrer Empêcher la modification des paramètres de la barre des tâches et du menu démarrer Effacer l historique des documents ouverts en quittant Désactiver les menus personnalisés Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 14/21
7.8. GPO TSE Internet Explorer Type de GPO Liaisons Paramètres Paramètres Windows \ Maintenance d Internet Explorer \ Interface utilisateur du navigateur Paramètres Windows \ Maintenance d Internet Explorer \ URL \ URL principales Composants Windows \ Internet Explorer Composants Windows \ Internet Explorer \ Panneau de configuration de Internet Composants Windows \ Internet Explorer \ Menus du navigateur Sécurité Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Barre de titre du navigateur = LaboromZ Page de démarrage = http://www.google.fr Désactiver la modification des paramètres de la page de démarrage Désactiver la modification des paramètres des fichiers Internet temporaires Désactiver la modification des paramètres de l historique Désactiver l assistant de connexion Internet Désactiver la modification des paramètres de connexion Désactiver la modification des paramètres de proxy Désactiver la modification des paramètres de la configuration automatique Désactiver la modification des paramètres du contrôle d accès Désactiver la modification des paramètres des certificats Désactiver la modification des paramètres de l assistant profil Désactiver la saisie semi-automatique dans les formulaires Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe Désactiver la fonctionnalité Rétablir les paramètres Web Désactiver la modification du navigateur par défaut Désactiver l onglet Sécurité Désactiver l onglet Connexions Désactiver l onglet Programmes Désactiver l onglet Avancés Menu Fichier : Désactiver la commande Enregistrer sous Menu Fichier : Désactiver la commande Enregistrer sous page web complète Menu Affichage : Désactiver la commande source Menu Aide : Eliminer la commande Astuce du jour Menu Aide : Eliminer la commande Pour les utilisateurs de Netscape Menu Aide : Eliminer la commande Visite Guidée Menu Aide : Eliminer la commande Envoyer des commentaires Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 15/21
7.9. GPO TSE MMC Type de GPO Liaisons Paramètres Composants Windows \ Microsoft Management Console Sécurité Utilisateur Domain Controllers (mono-serveur) ou.serveurs TSE (multiserveurs) Empêcher l utilisateur de passer en mode auteur Restreindre les utilisateurs à la liste des composants logiciels enfichables autorisés Administrateurs de l entreprise et Admins du domaine : Refuser l application de la stratégie Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 16/21
8. STRATEGIES DE GROUPE UTILISATEURS Ces stratégies concernent les utilisateurs qu ils se connectent via TSE ou non. 8.1. Redirection Mes Documents Type de GPO Liaisons Paramètres Paramètres Windows \ Redirection de dossiers \ Mes Documents Paramètres Windows \ Redirection de dossiers \ Mes Documents \ Mes images Sécurité Utilisateur Unité organisationnelle.tse De base Rediriger tout le monde vers le même emplacement \\fichiers\repperso$\%username% Suivre le dossier Mes Documents Utilisateurs TSE : Lire et appliquer la stratégie de groupe 8.2. Lecteurs réseau Type de GPO Liaisons Paramètres Paramètres Windows \ Scripts (ouverture/fermeture de session) Sécurité Utilisateur Unité organisationnelle.tse et.utilisateurs Script MAPS.CMD : Net use P: \\fichiers\commun /persistent:no Utilisateurs TSE : Lire et appliquer la stratégie de groupe Groupe Prodware Page 17/21
9. INSTALLATION DES APPLICATIONS Toutes les installations seront exécutées dans le mode Installation des services Terminal Server (commande change user /install). A l issue des installations, la commande change user /execute sera exécutée pour remettre le serveur en mode Application. 9.1. Microsoft Office 2003 Microsoft Office 2003 reconnaît immédiatement s il est installé sur un serveur TSE. L installation se fait donc par défaut sur le disque dur du serveur. Laisser la source d installation locale et mettre à jour Office 2003 via Office Update Copier le dossier Microsoft Office du menu démarrer dans le dossier \\fichiers\startmenu$\programmes\ 9.2. Foxit Reader Pro Foxit Reader est un outil gratuit destiné à remplacer le lecteur de documents PDF Adobe Reader. L avantage de Foxit Reader est sa légèreté (1 exécutable de 2,5 Mo) et sa rapidité d exécution. Pour installer Foxit Reader, créer un dossier dans Program Files et copier l exécutable dans ce dossier. Créer un raccourci vers l exécutable dans \\fichiers\startmenu$\programmes 9.3. PDF995 PDF995 est un outil gratuit (moyennant l affichage d une page publicitaire à chaque utilisation) permettant de créer des fichiers PDF à partir de n importe quel document. Pour créer un fichier PDF, il suffit d imprimer vers une imprimante nommée PDF995 et de spécifier le nom de fichier de destination. Installer les 2 composants du programme PDF995. Modifier la sécurité sur le fichier C:\Program Files\Pdf995\res\pdf995.ini et donner la permission Modifier au groupe Utilisateurs TSE Dans le cas d une architecture multi-serveurs, créer une GPO dans l UO.Serveurs TSE qui modifie le système de fichiers pour attribuer les bonnes permissions. Groupe Prodware Page 18/21
10. CREATION DES UTILISATEURS 10.1. Dans quelle UO? Si l utilisateur n a aucun accès TSE, le créer dans l UO.Utilisateurs Si l utilisateur doit accéder aux services TSE, le créer dans l UO.TSE puis en faire un membre du groupe Utilisateurs TSE. 10.2. Particularités de création Dossier de base Connecter le lecteur U: à \\fichiers\repperso$\%username% Ne pas renseigner les onglets Environnement, Sessions, Contrôle distant et Profil de services Terminal Server. Groupe Prodware Page 19/21
11. LE RESULTAT EN IMAGES Un menu démarrer réduit à sa plus simple expression et commun aux utilisateurs TSE Le poste de travail ne comporte que les lecteurs réseau montés par script Disparition des options Gérer et Propriétés. Groupe Prodware Page 20/21
Le panneau de configuration d Internet Explorer est bridé. Word 2003 avec le créateur de PDF Groupe Prodware Page 21/21