Bonjour,
 
J'aimerais masquer les lecteurs disques du serveur lorsqu'un utilisateur se connecte en TSE (en GPO si possible).
J'ai trouvé ce tuto :
https://247-it.io/gpo-masquer-le-lecteur-c/
 
Mais le problème c'est que ça cache également le disque dur du PC (C: ) et ça ne cache pas certains lecteurs dont la lettre est J par exemple.
 
Comment cacher uniquement les disques durs du serveur svp ?
 
Merci

Tu as un lecteur J sur ton serveur ?  
 
Si tu appliques bien ta GPO aux serveurs, il n'y a aucune raison que ça s'applique au poste de travail.

Oui j'ai un lecteur J dont je ne peux pas changer la lettre (un logiciel métier oblige cette absurdité).
 
Ah oui j'ai peut-être pas appliqué là ou il fallait la GPO en effet, mais je ne vois pas où du coup dans mon arborescence ?

Ta GPO, il faut la lier à l'OU qui contient ton serveur RDS. Tu actives aussi le  traitement par boucle de rappel si pas déjà fait, afin que ta GPO utilisateur s'applique correctement --> https://www.it-connect.fr/chapitres [...] t=cmp-true
 
Pour cacher plus finement les lecteurs dont le lecteur J, tu peux aussi jouer directement sur la clé de registre correspondant à ton paramètre de GPO --> https://ss64.com/nt/syntax-nodrives.html

C'est à la première ligne que je bloque, dans mon active directory où est ce que je peux trouver le serveur RDS ?
 
Dans builtin j'ai 3 lignes y faisant référence :
Serveurs Accès distant RDS
Serveurs Gestion RDS
Serveurs RDS endpoint
 
Mais ces éléments ne sont pas déplaçables dans une OU spécifique.

Ah ouais mais on part de loin là
Ton serveur RDS est intégré à ton domaine, non ? Si oui, il a un compte ordinateur associé. Tu crées une nouvelle OU (pas un groupe), dans laquelle tu mets ton serveur RDS. Et tu mets en place ta GPO sur cette OU.

Oui on part de loin désolé.
Oui il est intégré au domaine mais je ne vois pas quel compte ordinateur est associé.
 

 
la OU "RDS" je l'ai créé mais elle est vide

Déjà, tes sous-OU IT/Employe/Group/RDS n'ont rien à faire dans l'OU Domain Controllers. C'est toi qui a créé cette arborescence ?
 
Je te conseille de faire un minimum de formation ou d'auto-formation Active Directory, parce que parti comme ça, tu cours à la catastrophe.

Non ce n'est pas moi, j'ai récupéré cette config, j'ai juste créé le groupe RDS.
 
J'essaie de m'auto-former justement.
 

Bon, ben celui qui a créé ça peut aussi partir en formation
 
L'OU Domain Controllers doit contenir uniquement les comptes de contrôleurs de domaine, rien d'autre, sinon c'est le merdier assuré.
En général, même sur une organisation la plus petite et la plus simple, on va créer à la racine au moins une OU pour les comptes des postes de travail, une pour les serveurs, et une pour les comptes/groupes utilisateurs (voire séparer comptes et groupes). C'est ce qu'il faudrait faire.
Dans ce cas, quand tu as ton OU Serveurs, tu y fais une sous-OU RDS dans laquelle tu mets le compte ordinateur de ton serveur RDS.
 
Mais apparemment tu as l'air de confondre déjà comptes et groupes. Donc vraiment, fait un minimum de recherches et de formations de base sinon ça va pas le faire.

Merci pour ta patience.
 
Non je ne confonds pas les OU et groupe dans ma tête mais c'est vrai que je l'exprime mal.
Lorsque j'ai dit "groupe" je pensais bien "OU" comme l'image l'indique, c'est bien une OU et non un groupe.
Je vais faire attention aux termes.
 
Je vais donc tout refaire comme tu l'indiques.
 
Ce que je ne vois toujours pas, c'est quand tu parles de compte ordinateur du serveur RDS, je ne vois pas duquel on parle (je précise que tout est sur le même serveur, il n'y en a pas plusieurs).
Tu pensais probablement que le serveur RDS était en plus de celui là non ?

Donc tes users se connectent sur ton contrôleur de domaine ?
 
Non là c'est seppuku direct hein.

Faut etre realiste, c’est souvent comme ca que les serveurs sont configurés dans les petites entreprises et meme si c’est pas la config preconisee dans les regles de l’art, ca fonctionne souvent sans souci pendant des annees.
 
Je ne peux pas immédiatement tout changer, pour ca que je cherche à securiser un minimum en attendant.

Tu ne pourras jamais sécuriser quoique ce soit si tous tes utilisateurs sont domain admins.

Ils sont pas admins, mais on s'éloigne du sujet.
Pas grave je vais trouver tout seul.

Non, personne ne fait ça. C'est pas une question de règles de l'art : c'est ne pas s'être penché sur le fonctionnement d'Active Directory et sur la manière de l'utiliser correctement.
Si on devait parler de "règles de l'art", on aborderait le modèle de tiers d'administration, et de bastions qui sont quasiment impossibles à implémenter dans une petite structure.
 
Là, avoir tout et n'importe quoi dans l'OU Domain Controllers, c'est une erreur de base grossière.  
Je@nb et Nebulios ont répondu à côté de la plaque, je pense qu'ils ont lu en diagonal. Par contre, il faut vraiment que tu te formes rapidement aux bases si tu veux réussir à faire quelque chose de correct et comprendre ce que tu fais.

Tu penses véritablement que dans les structures de 5-10 salariés, ils ont des cascades de serveurs pour tout séparer ?

pourquoi tu dis qu'on a répondu à coté de la plaque ?  

2VM sur un serveur ça coute pas plus cher
 
Et pour ce genre de petites structures, ne pas avoir de serveurs locaux est plutôt à priviliéger en 2024

Au temps pour moi, j'avais pas vu le petit bout de phrase qui disait que tout était sur le même serveur  
Alors oui c'est n'importe quoi là

1 machine physique / virtualisation / VMs

Oui, voilà, selon la taille de la structure, des services en ligne peuvent être suffisants et bien moins coûteux.

Et au passage, pourquoi un usage RDS ? Tu veux faire quoi avec ?

Si ça coute 2 licences Windows Serveur au lieu d'une et un serveur plus puissant.
Mais on s'éloigne encore du sujet.
 
Même si on est en 2024, certains logiciels métiers tournent que de cette manière.
 
Le truc c'est que je ne peux pas tout révolutionner et tout changer sur ce qui a été fait par un prédécesseur.
 
Je voulais juste masquer les lecteurs du serveur pour les sessions RDS dans l'etat actuel des choses.

C'est pour utiliser leur logiciel métier à distance le RDS.
 
J'ai fait du remote APP pour éviter les accès au serveur mais comme ils ont un bouton pour envoyer un mail automatique, ça veut ouvrir un logiciel de messagerie sur la session RDS.
Donc j'ai dû passer sur une vraie session RDS.

Nope. Une licence Windows Server standard te permet de faire tourner 2 VMs justement.

Alors ta GPO doit être sur l'OU Domain Controllers si ton serveur est unique. Ou tu modifies directement les clés de registre sur le serveur.

A distance depuis où ?

Ca coute pas 2 licences windows server d'avoir 2VM si t'es en standard. D'où ma réponse et un DC pour 5/10 utilisateurs, une VM ne va rien bouffer en ressources sur les serveurs actuels

Cadeau:
https://ibb.co/2NnhbVv
 
GPO à appliquer sur les serveurs TSE dans modele d'administration

Je ne savais pas pour la licence.
 
J'ai bien prévu de tout refaire déjà pour virtualiser car ce n'est pas le cas mais ca se fera cet été.
 
Je vais tester la GPO sur l'OU Domain Controllers

A distance depuis n'importe où, il y a un VPN L2TP avec clé pré-partagée.

 
Ca ne donne rien en GPO et en clé de registre ca fonctionne pour l'administateur en local mais en TSE tout est visible  

Tu as forcé une màj de GPO sur ton serveur ? Si tu génère un rapport, ton paramétrage (incluant la boucle de rappel) est bien appliqué ?

Oui oui j'ai forcé la maj GPO et oui le paramétrage est bien appliqué dans le rapport.
 
j'ai essayé  en créant une GPO et aussi directement sur la GPO Default Domain Controllers Policy
 

Capture du rapport ?

Dans les structures de 5-10 salariés, tu n'as plus d'infra on-premise. Il est urgent de te faire accompagner par un pro, ou de te former sérieusement.

 
Je prends note du caractère urgent, je te remercie de tes précieux conseils Nebulios

Une suggestion : monte un lab avec des VMs pour reproduire l'infra avec 2-3 clients par exemple. Tu pourras t'entrainer, valider et casser tout ce que tu veux sans risque avant de mettre en prod.

C'est le meilleur moyen de se former avec à côté la doc MS ou de bons sites comme it-connect. Après tu peux aussi passer par une formation payante mais bon... faut bien choisir.

Oui oui j'ai déjà un environnement test en VM mais là je voulais parer au plus rapide d'ici la migration.
 
J'ai fait un clone du serveur de prod et là je teste dessus.

Effectivement, il faut se former sur l'Active Directory. Sachant qu'il y a des versions d'évaluation de 180 jours pour Windows server et 60 jours pour Windows 10 pro. Après on peut utiliser HyperV ou Virtualbox pour faire des labs.