Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2665 connectés 

  FORUM HardWare.fr
  Windows & Software

  TSE Win2003 Accès restreint multi-utilisateurs

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

TSE Win2003 Accès restreint multi-utilisateurs

n°2473136
francois92
Posté le 27-07-2006 à 11:58:16  profilanswer
 

Bonjour à tous,
 
Je pense avoir fait le tour de tous les sujets TSE 2003 avant d'exposer mon problème :
 
J'ai installé un serveur TS sur un OS win2003 standart avec 2 utilisateurs ayant droit de se connecter : administrator et user1.
 
Sur ma connexion Terminal Server, j'ai voulu brider user1 au maximum, de façon à ce que lorsqu'il se connecte au serveur TS, il ne s'ouvre que la fenêtre du logiciel dont il a besoin, mais qu'il ne voit ni le bureau, ni la barre des tâches. Ce qui fonctionne très bien. Lorsqu'il ferme la fenêtre la session se ferme, c'est parfait.
 
Hors, ça a aussi bridé le compte administrator! Ce que je ne voulais pas, car on ne peut plus administrer le serveur à distance, et géographiquement parlant c'est un handicap pour nous car les salles serveurs ne sont pas à côté...
 
Est-il possible donc de ne brider qu'un compte et pas un autre sur une même connexion TS ? Ou bien de brider un groupe et pas un autre (ce qui serait mieux encore..) ?
 
Merci d'avance


Message édité par francois92 le 27-07-2006 à 14:51:00

---------------
François "L'urgent est déjà fait, l'impossible est en cours, pour les miracles prévoir un délai..."
mood
Publicité
Posté le 27-07-2006 à 11:58:16  profilanswer
 

n°2473171
k1200
Posté le 27-07-2006 à 12:17:55  profilanswer
 

lance mstsc /console
 
Et la ca fonctionnera ;)

n°2473179
francois92
Posté le 27-07-2006 à 12:29:09  profilanswer
 

MDR je suis trop un boulet! C'est la commande que je fais tout le temps en + mais depuis que je me suis fait un raccourci "COnnexion Bureau à Distance" sur le bureau j'avais tendance à la zapper...
Merci beaucoup en tout cas, ça fonctionne! ;)


---------------
François "L'urgent est déjà fait, l'impossible est en cours, pour les miracles prévoir un délai..."
n°2473208
francois92
Posté le 27-07-2006 à 12:59:54  profilanswer
 

Par contre je suis toujours entrain de réfléchir, le problème de la session administrator est réglé, par contre celui de créer des bridages en fonction du groupe utilisateur auquel on appartient (ou du compte) se pose toujours, tu saurais me dépanner encore là ? ;-)


---------------
François "L'urgent est déjà fait, l'impossible est en cours, pour les miracles prévoir un délai..."
n°2473222
helvetik
Posté le 27-07-2006 à 13:10:36  profilanswer
 

Petite question, en passant :
est-ce que lancer une connexion avec mstsc /console, ça bouffe une licence ?
 
Car j'ai ce  problème depuis que j'ai passé mon serveur en mode application(licence par device), si je me connecte avec administrateur, pour faire de l'administration à distance, ca me bouffe une licence ! Ce qui est assez génant, surtout que normalement, j'ai droit à 2 licence d'administration à distance ....


Message édité par helvetik le 27-07-2006 à 13:11:01
n°2473227
helvetik
Posté le 27-07-2006 à 13:15:22  profilanswer
 

francois92 a écrit :

Par contre je suis toujours entrain de réfléchir, le problème de la session administrator est réglé, par contre celui de créer des bridages en fonction du groupe utilisateur auquel on appartient (ou du compte) se pose toujours, tu saurais me dépanner encore là ? ;-)


 
Tu es dans un domaine (AD) ? Si oui, je suppose que tu bride avec une GPO... Et une gpo s'applique à une OU. Donc tous les membre de ton OU hériteront de ton bridage. Met ton utilisateur administrator dans une autre OU que user1, ou l'inverse.
 
Si tu n'est pas dans un domaine, je suppose que tu utilise gpedit.msc pour modifier ta stratégie local... dans ce cas, tout utilisateur se connectant a ton server se verra traité de la meme manière.... Mais y doit bien avoir un moyen pour éviter ceci à l'administrateur.. je vais fouiller et je reviens.
 
A+

n°2473231
helvetik
Posté le 27-07-2006 à 13:17:05  profilanswer
 

Y doit avoir la solution à ton problème ici :
http://support.microsoft.com/kb/325351/fr
 
(me semblait bien que j'avais vu ça quelque part)

n°2473325
francois92
Posté le 27-07-2006 à 14:21:46  profilanswer
 

Merci merci pour vos aides et conseils. Voici quelques précisions : le serveur TSE est dans le domaine (pour contacter le serveur de licenses), mais user1 est un compte local, tout comme le compte administrator d'ailleurs. Je n'utilise aucun compte de domaine, on ne se log d'ailleurs qu'en local.
Je vais lire l'article de la KB Microsoft que tu as trouvé, mais mes boss me demandaient une solution qui passait outre la modification des policies locales. Ils continuent de penser que c'est possible directement dans la console "TS configuration" dans les propriétés de la connexion RDP-tcp!


---------------
François "L'urgent est déjà fait, l'impossible est en cours, pour les miracles prévoir un délai..."
n°2473333
k1200
Posté le 27-07-2006 à 14:25:42  profilanswer
 

Le /console utilise les 2 licences incluse pour l'administration, pas besoin de CAL TS pour ca ;)

n°2473514
bondua
Posté le 27-07-2006 à 16:52:41  profilanswer
 

tu peux juste obliger tous tes users a lancer qu'une seule unique appli sut ton tse sans avoir acces au bureau du serveur.
juste avec les propriétés de rdp-tcp
programme initial
c:\sdfjsdf\dsfbndk.exe

mood
Publicité
Posté le 27-07-2006 à 16:52:41  profilanswer
 

n°2473618
francois92
Posté le 27-07-2006 à 17:50:29  profilanswer
 

Oui c'est qui est en place actuellement, mais c'est pas ce que l'on veut, car tous les utilisateurs ne doivent pas avoir accès à la même application, tu vois où je veux en venir ?


---------------
François "L'urgent est déjà fait, l'impossible est en cours, pour les miracles prévoir un délai..."
n°2473659
Wolfman
Modérateur
Lobo'tomizado
Posté le 27-07-2006 à 18:29:44  profilanswer
 

Et pourquoi ne pas utiliser des comptes de domaine ? Avec eux tu peux justement restreindre ce que tu veux, et spécifier utilisateur par utilisateur l'appli à lancer.

n°2473760
francois92
Posté le 27-07-2006 à 19:52:37  profilanswer
 

Ouhhlaaaa mon pauvre :) Je t'explique, je suis dans une grosse très grosse structure (parc de + de 20 000 utilisateurs), et en gros chaque direction ne veut pas que d'autres services prennent la main sur leur pc ou serveurs. Je me trouve dans une direction où nous nous occupons que de serveurs applicatifs (mais de A à Z), nous n'avons pas de compte domain admin par exemple. Hors, comme il est hors de question (dixit mes boss) que les admin de domaine viennent fouiller sur nos pc, nous ne donnons accès à ce serveur TSE qu'avec des comptes locaux, et tout le monde se log en local. On peut donc tout gérer sans personne. Le serveur TSE a juste été mis sur le domaine pour contacter le serveur de licenses TS.  
Tout le reste se fait en local.


Message édité par francois92 le 27-07-2006 à 19:55:11

---------------
François "L'urgent est déjà fait, l'impossible est en cours, pour les miracles prévoir un délai..."
n°2473851
Wolfman
Modérateur
Lobo'tomizado
Posté le 27-07-2006 à 22:11:39  profilanswer
 

Eh ben tant que tu utiliseras des comptes locaux, tu n'auras pas de possibilités de restrictions des utilisateurs.
Et si vous avez votre propre structure de serveurs, pourquoi ne pas monter un petit domaine, par exemple spécifiquement dédié à ton serveur TSE ?

n°2473935
francois92
Posté le 28-07-2006 à 00:28:17  profilanswer
 

Non non oublies c'est même pas envisageable de demander ça, c'est très politique ici... En tout cas tu as écris exactement ce que je voulais voir écrit :

Wolfman a écrit :

Eh ben tant que tu utiliseras des comptes locaux, tu n'auras pas de possibilités de restrictions des utilisateurs.


Je vais leur faire un petit rapport demain histoire qu'on puisse passer à autre chose :)
 
Puis pour les serveurs, on fait juste attention d'enlever le groupe admin du domaine du groupe admin local du serveur, ça résoud certains problèmes.
 
Merci Wolfman et j'espère que ce que tu as dit est bel et bien l'unique réponse possible sinon je suis mal  :sweat:  
 


---------------
François "L'urgent est déjà fait, l'impossible est en cours, pour les miracles prévoir un délai..."
n°2473991
helvetik
Posté le 28-07-2006 à 08:13:46  profilanswer
 

k1200 a écrit :

Le /console utilise les 2 licences incluse pour l'administration, pas besoin de CAL TS pour ca ;)


Merci...  Je vais utiliser ça, à l'avenir.

Wolfman a écrit :

Eh ben tant que tu utiliseras des comptes locaux, tu n'auras pas de possibilités de restrictions des utilisateurs.
Et si vous avez votre propre structure de serveurs, pourquoi ne pas monter un petit domaine, par exemple spécifiquement dédié à ton serveur TSE ?


Tout a fait d'accord. Dumoins si tu veux des stratègies différentes pour plusieurs utilisateurs ou groupes d'utilisateurs. Sinon, tu as toujours l'astuce que j'ai cité plus haut.
 
A+

n°2474044
francois92
Posté le 28-07-2006 à 09:46:36  profilanswer
 

Ouais Helvetik ta solution est valable mais elle engagerait trop de manipulations, ce que ne veulent pas les boss (fonctionnaires...), mais elle est toujours à l'étude dans leur bureau c'est déjà ça!! Et comme je ne suis que consultant ici, je n'ai pas envie de leur 1000 pages de docs pour quand je vais partir. Donc en gros si on s'en réfère à la leur idée, soit y'a une solution simple, soit y'en a pas!


---------------
François "L'urgent est déjà fait, l'impossible est en cours, pour les miracles prévoir un délai..."
n°2474399
helvetik
Posté le 28-07-2006 à 15:57:39  profilanswer
 

:/
Ben y'en a pas...
A moins que tu définisse, comme tu l'as déjà fait, un programme qui se lance à l'ouverture de la session et qui ferme la session quand celui-ci se termine, mais pas depuis la mmc "configuration des service terminal server", mais depuis la console d'administration des utilisateur.
Pour se faire, tu vas dans "gestion de l'ordinateur", puis dans "outil system", "utilisateurs et groupe locaux" et enfin "utilisateurs". Ensuite, tu crées tes users. Dans les propriétés de ceux-ci, tu leurs mets, dans l'onglet "environnement", le programme de démarrage qui leur vas bien. Comme ca tu peux choisir quel programme est lancé pour chaque user.
 
Si tu en as beaucoup, tu vas t'amuser, mais bon ...

n°2474411
k1200
Posté le 28-07-2006 à 16:05:43  profilanswer
 

Autrement tu lances sur tout le monde le meme bat ou vbs qui d'apres sont groupe lance tel ou tel soft...

n°2474463
helvetik
Posté le 28-07-2006 à 16:44:28  profilanswer
 

k1200 a écrit :

Autrement tu lances sur tout le monde le meme bat ou vbs qui d'apres sont groupe lance tel ou tel soft...


 
Ouais, mais ca pose un problème de sécurité...
Si ils quittent le programme, ils ont accès à tout !
 
Tandis qu'avec la méthode précédante, tu n'es pas obliger de brider les compte, étant donné que quand ils quittent le programme, la session se ferme...  
Mais bon, après faut voir si les raccourci clavier sont fonctionnel ...  
genre "touche windows"+R ou +E et ils ont accès a tout, mais je ne sais pas si ca fonctionne. A tester

n°2474530
francois92
Posté le 28-07-2006 à 17:27:56  profilanswer
 

La solution de l'onglet à configurer pour chaque utilisateur est très très bien si elle fonctionne.. je la testerai la semaine prochaine. Il y aura un compte d'administration pour chaque direction pendant le phase de recette, donc ce ne sera qu'un échantillon de 4 directions, donc toutà fait faisable. Merci!!


---------------
François "L'urgent est déjà fait, l'impossible est en cours, pour les miracles prévoir un délai..."
n°2474577
helvetik
Posté le 28-07-2006 à 18:14:42  profilanswer
 

Y'a pas de raison que ça ne fonctionne pas... Par contre, au niveau secure, j'en sais rien. Faut tester.
 
Bon week end,
 
A+

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software

  TSE Win2003 Accès restreint multi-utilisateurs

 

Sujets relatifs
controle de l'accés web sur un réseau localMulti session et CDburnerXPpro
Accès base de donnée de l'extérieur[MS Acces ou Windows] Sépérateur des chiffres
Moi pas comprendre, pas d'accès à InternetTransformer un routeur-modem-wifi en point d'accès / passerelle wifi?
Quelle version de linux pour se connecter à un TSE sous W2003Résiliation de mon accès free le 20/07 mais internet toujours actif
Plus de sujets relatifs à : TSE Win2003 Accès restreint multi-utilisateurs


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR