Installation dun Serveur Windows 2008 R2 Remote Desktop Service et publication de RemoteApp

Linstallation du serveur Windows 2008 R2 avec les services Remote Desktop va permettre aux utilisateurs de lancer des applications en RemoteApp. Les programmes RemoteApp sont des programmes qui sont accds et excuts distance sur des serveurs RDS mais qui apparaissent comme excuts localement. Au lieu douvrir une session et un bureau sur le serveur RDS distant, les programmes saffichent directement sur le bureau du poste local, avec la possibilit de modifier la taille de la fentre. Ces programmes RemoteApp sexcutent paralllement aux autres programmes installs sur le poste. Lorsque vous lancez plusieurs programmes RemoteApp, ils partagent une mme session RDC. Il existe plusieurs faons dutiliser RemoteApp : Par RDS WebAccess permet dexcuter des programmes RemoteApp depuis une page web (donc depuis nimporte quel PC/Browser en thorie) et de publier/mettre jour automatiquement les nouveaux programmes RemoteApp dans le menu dmarrer (seulement sous Windows 7) Par RDS Session Host avec des fichiers .RDP distribus par ladmin. Par RDS Session Host avec des fichiers .MSI distribus par ladmin.

Cet article est en fait un exemple, cest une mise en place que jai du effectuer chez un client. Cela votre cas il y aura donc certaines modification faire. Nous aurons 2 serveurs RDS derrire un load-balancer, un parc compos de poste en Windows XP et Windows 7.

Sommaire
1. 2. 3. 4. 1. 2. 5. 6. 1. 2. Pr requis...................................................................................................................................................................2 Installation du Serveur Remote Desktop Service Session Host .................................................................................3 Installation du rle Remote Desktop Web Access ..............................................................................................6 Configuration du Remote Desktop Session Host RDSH.............................................................................................8 Installation du certificat ........................................................................................................................................8 Configuration du paramtre de connexion pour les PC Clients. ...........................................................................9 Configuration des logiciels en RemoteApp sur le serveur RDS ...............................................................................12 Dploiement des RemoteApp aux postes clients ....................................................................................................14 Cration de fichier MSI ........................................................................................................................................14 Cration de fichier RDP .......................................................................................................................................16

3. 7. 8. 1. 2. 3. 9. 1. 2. 10. 1. 2. 3. 11. 1. 2. 3. 4.

RD Web Access ....................................................................................................................................................16 Dploiement des Applications RemoteApp MSI par GPO .......................................................................................20 Configuration du SSO ..............................................................................................................................................22 Pour les postes en Windows 7 ............................................................................................................................22 Pour les postes en Windows XP SP3....................................................................................................................23 Filtre WMI ............................................................................................................................................................28 Configuration des serveurs de licences ...................................................................................................................31 Installation ...........................................................................................................................................................31 Configuration .......................................................................................................................................................33 Configuration des sessions RDS...........................................................................................................................35 Cration des rpertoires pour les profiles RDS ...................................................................................................35 Cration des GPO ................................................................................................................................................35 Changement de linterface utilisateur.................................................................................................................40 Divers ...................................................................................................................................................................43 Cration de tches planifies ..............................................................................................................................43 Compression RDP ................................................................................................................................................44 Defragmentation .................................................................................................... Error! Bookmark not defined. Utilisation dEasy Print ........................................................................................................................................47

1. Pr requis
Cette installation ncessite un domaine Active Directory, ici DOMAINE.COM et la cration de groupes dutilisateurs dans lAD pour les droits daccs aux serveurs RDS. Les pare-feu Windows sont tous dsactivs dans notre installation. Les paramtres de scurit renforce dInternet Explorer sont dsactivs. Le pack de langue EN-US est install : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=03831393-eef7-48a5-a69f0ce72b883df2&displaylang=en Le serveur est jour et en SP1

2. Installation du Serveur Remote Desktop Service Session Host

Le serveur doit tre joint au domaine, il est prfrable dinstaller le serveur Session Host avant les applications dployer dans un souci de compatibilit. Pour installer et configurer le Remote Desktop Session Host il faut installer le rle RD Session Host Service par le Server Manager. Ouvrir le Server Manager et ajouter un rle en slectionnant Services Bureau distance, puis dans les services de rle slectionner Hte de session Bureau distance .

Dans Dsinstaller et rinstaller des applications pour des raisons de compatibilit cliquer sur suivant. Lors du choix de la mthode dauthentification, choisir Ne ncessite pas lauthentification au niveau rseau

Note : Ceci pour la compatibilit antrieure Windows XP SP3 (CredSSP). Sur la page du mode de licence, choisir de configurer plus tard

Sur la page de configuration de lexprience client, ne rien cocher.

Dans la slection des utilisateurs autoriss accder au serveur RDS, cliquez sur Suivant , nous le configurerons plus tard aussi.

Confirmer linstallation et rebooter. Note : Dans notre cas, ceci est faire sur les 2 serveurs RDS

3. Installation du rle Remote Desktop Web Access

Nous allons ajouter aussi le service de rle Remote Desktop Web Access pour offrir (lors dun besoin futur) laccs des applications via le web et pour les clients Windows 7 la mise jour automatique des publications des applications RemoteApp (mais aussi parce que certaines fonctionnalits ncessaires seront installes pendant cette tape.) Cliquer droit sur Services Bureau distance dans le Gestionnaire de Serveur puis Ajouter des services de rles

Choisir Accs bureau distance par le web et installer les rles et fonctionnalits associes puis laisser les options par dfaut.

Vous avez maintenant install les outils ncessaires au fonctionnement de RDS pour du RemoteApp. Vrifiez le bon fonctionnement des services, ou lancez une connexion RDC depuis un poste client.

4. Configuration du Remote Desktop Session Host RDSH

1. Installation du certificat
Linstallation dun certificat sur le serveur RDSH va permettre de signer les fichiers RDP et ainsi saffranchir de lavertissement de connexion lors du lancement dune session distance (Bureau ou RemoteApp). Jai dans mon cas utilis un certificat public sign par Vrisign. Attention, il vous faut utiliser un certificat avec la paire de cls publique/prive pour sign le package. Importez le certificat partir dune MMC et placez le dans le conteneur Personnel de lordinateur :

2. Configuration du paramtre de connexion pour les PC Clients.

Les PC clients se connectent non pas directement au serveur RDS mais par lintermdiaire dun loadbalancer NetApp accessible cette adresse : apps.domaine.com Il faut donc que le nom de connexion soit celui-ci, et que les packages MSI/fichiers RDP dploys se tourne vers ce chemin. Ouvrir le Gestionnaire RemoteApp

Accder la console Gestionnaire RemoteApp depuis Dmarrer , Outils dAdministration , Services de bureau distance .

Puis dans le volet Actions droite sur RD Session Host Server Settings et changer le nom de connexion par apps.domaine.com

Ajouter les utilisateurs/Groupes autoriss se connecter aux serveurs RDS : RDS_Group

Il vous faut faire lajout dans le groupe local Utilisateurs du Bureau distance de la machine :

5. Configuration des logiciels en RemoteApp sur le serveur RDS

Une fois que les applications dployer par RemoteApp sont installes, et rappelons quil est vivement recommand dinstaller les applications aprs linstallation des services et rles RDS, vous pouvez les ajouter dans le Gestionnaire RemoteApp. Accdez la console Gestionnaire RemoteApp de la mme faon que prcdemment. Puis dans le volet Actions droite, choisissez Ajouter des programmes RemoteApp. Lassistant se lance et vous demande quel programme choisir, slectionnez simplement le programme dployer.

Dans le cas de nos logiciels, pensez changer les noms par dfauts, icnes etc, si besoin.

Vos applications sont maintenant disponibles en RemoteApp.

6. Dploiement des RemoteApp aux postes clients

Il existe plusieurs faons doffrir le dploiement des RemoteApp aux postes clients : en distribuant des fichiers RDP, en distribuant des fichiers MSI, par RD Web Access. Dans notre cas prsent, nous distribuerons nos applis avec des fichiers.MSI via les GPO.

1. Cration de fichier MSI

La cration de fichier MSI permet dencapsuler des RDP dans des MSI pour faciliter le dploiement/lassignation/la publication par GPO. Cette opration se fait toujours dans la console Gestionnaire RemoteApp.

Slectionnez le programme RemoteApp et cliquez sur Crer le package Windows Installer , suivez ensuite lassistant en vrifiant le nom de connexion et en signant numriquement le package avec le certificat prcdemment cr (notre certificat public) ou en changeant directement les paramtres des signatures numriques.

Dans la fentre suivante, pour la configuration de distribution du package, penser changer le menu de dmarrage des applications dans un souci dhomognit (par dfaut : Applications distantes ), et cocher la publication dune icne sur le bureau et dans le dossier Menu Dmarrer Note : Vrifiez lutilisation du certificat prcdemment import pour la signature du RDP.

Les packages sont crs et placs dans le rpertoire : C:\Program Files\Packaged Programs

2. Cration de fichier RDP

Le principe et lassistant est identique ltape prcdente, et les fichiers crs se placent au mme endroit.

3. RD Web Access
Le RD Web Access est disponible ds que vous installez le service de rle Remote desktop Web Access , vous pouvez en vrifier le bon fonctionnement en lanant la page web de configuration :

 Dmarrer , Outils dAdministrations , Service Bureau distance , Configuration de laccs web des services de bureau distance Si un avertissement concernant le certificat apparait, ignorez le, et connectez-vous avec vos identifiants.

Note : Si vous obtenez un message derreur au chargement de la page, cest que vous avez supprim le certificat auto-sign cr lors de linstallation du rle. Pour aller lier le nouveau certificat au site web procdez comme ceci :

Dans IIS, site web par dfaut :

 Note : Pensez aussi autoriser laccs Remote Web aux users/Groupe dusers (comme pour le serveur SH) sauf que le groupe conteneur est Ordinateurs Accs Web TS) (Sur les 2 serveurs) La page web de configuration prsente 3 onglets : Configuration : vous choisissez la source utiliser, normalement localhost (puisque les applis sont installs sur cette mme machine) Remote Desktop : pour lancer une RDC depuis la page web RemoteApp Programs : pour lancer les programmes autoris en RD Web Access.

Attention pour que les applications soit disponibles en Web Access, il faut les autoriser dans la console RemoteApp Manager.

Nous nutiliserons pas cette solution, mais lavantage de celle-ci est quil est possible depuis un poste Windows 7 de crer une connexion direct avec ce serveur web pour afficher (donc mettre jour) directement les applications nouvellement publies. Depuis le bouton Dmarrer sur un poste Windows 7 les applications RemoteApp Web Access sont affiches comme si elles taient installes localement. Si vous mettez jour les applications ou rajoutez des applications, elles apparaissent directement dans le menu Dmarrer . Pour plus dinfo sur cette configuration, je vous invite lire ceci : http://technet.microsoft.com/enus/library/dd772639%28WS.10%29.aspx

7. Dploiement des Applications RemoteApp MSI par GPO

Une fois les fichiers MSI des RemoteApp crs, il faut crer une simple GPO pour les dployer sur les postes clients.

Toutefois, dans les proprits du package, pensez valider les options suivantes : Installer lapplication lors de louverture de session Ignorer la langue lors du dploiement du package

 Lors du dploiement des MSI aux utilisateurs, pensez aussi faire du filtrage sur les groupes dappartenance pour faciliter le dploiement seulement aux utilisateurs voulus.

8. Configuration du SSO
Pour viter une nouvelle demande didentification lors du lancement dune RemoteApp, il est ncessaire de mettre en place le mcanisme SSO.

1. Pour les postes en Windows 7

Pour les postes en Windows 7, la configuration du SSO se fait par GPO, Dans la GPMC, crez une GPO qui sappliquera aux clients Windows 7 avec les paramtres suivants : Configuration Ordinateur \ Modle dadministration \ Systme \ dlgation des informations d'identification\ Autoris la dlgation didentit par dfaut = Activ - liste des serveurs = TERMSRV/* Autoris la dlgation didentit par dfaut avec NTLM uniquement = Activ - liste des serveurs = TERMSRV/* Autoris la dlgation des nouvelles informations didentification = Activ - liste des serveurs = TERMSRV/* Autoris la dlgation des nouvelles informations didentification avec NTLM = Activ - liste des serveurs = TERMSRV/* Autoris la dlgation dinformations didentification enregistres = Activ - liste des serveurs = TERMSRV/* Autoris la dlgation dinformations didentification enregistres avec NTLM = Activ - liste des serveurs = TERMSRV/*

2. Pour les postes en Windows XP SP3

Pour les postes en Windows XP SP3, la configuration du SSO passe par plusieurs tapes. a. Il faut activer le CredSSP

Pour CredSSP est un nouveau Security Support Provider (SSP) qui est disponible dans Windows XP SP3 permettant un programme utiliser ct client SSP de dlguer les informations d'identification utilisateur de l'ordinateur client vers le serveur cible. Le Hotfix se tlcharge ici : http://support.microsoft.com/kb/951608/en-us?fr=1 Note : Il est utilisable sur toutes les versions linguistiques de Windows XP SP3. Ou alors modifier manuellement le registre comme ceci, cest la solution quon retiendra car plus simple dployer : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\ 00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\ 6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\ 00,73,00,70,00,6b,00,67,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

b. Crer les cls de registres correspondantes. Ces cls de registres correspondent aux paramtres de GPO prsents pour Windows 7 : [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation] "AllowDefaultCredentials"=dword:00000001 "ConcatenateDefaults_AllowDefault"=dword:00000001 "AllowDefCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001 "AllowFreshCredentials"=dword:00000001 "ConcatenateDefaults_AllowFresh"=dword:00000001 "AllowFreshCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowFreshNTLMOnly"=dword:00000001 "AllowSavedCredentials"=dword:00000001 "ConcatenateDefaults_AllowSaved"=dword:00000001 "AllowSavedCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultC redentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCred entialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentials]

"1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentialsWhenNTLMOnly] "1"="TERMSRV/*"

Il faut donc crer un fichier .REG dployer par GPO sur les postes Windows XP SP3 (ncessite un redmarrage du poste) : (Disponible sur le partage rseau avec les MSI) Windows Registry Editor Version 5.00 ;------------------------------------------------------------;Ajout des cls de registre pour CredSSP sous Win XP SP3 ;------------------------------------------------------------;------------------------------------------------------------;Pour activation du CredSSP ;------------------------------------------------------------[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\ 00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\ 6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\ 00,73,00,70,00,6b,00,67,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll" ;------------------------------------------------------------;Pour autorisation de la dlgation d'identit aux serveur RDS ;------------------------------------------------------------[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation] "AllowDefaultCredentials"=dword:00000001 "ConcatenateDefaults_AllowDefault"=dword:00000001 "AllowDefCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001 "AllowFreshCredentials"=dword:00000001 "ConcatenateDefaults_AllowFresh"=dword:00000001 "AllowFreshCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowFreshNTLMOnly"=dword:00000001 "AllowSavedCredentials"=dword:00000001

"ConcatenateDefaults_AllowSaved"=dword:00000001 "AllowSavedCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultC redentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCred entialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentialsWhenNTLMOnly] "1"="TERMSRV/*"

c. Installer la dernire version du client RDC La dernire version du client RDC est ncessaire pour lutilisation du SSO : cest la version RDC 7. (6.1.7600.16385) Pour connaitre la version du client RDC sur un poste rendez-vous sur c:\Windows\System32 et vrifiez les proprits de MSTSC.EXE

La faon la plus simple de dployer ce package est par WSUS, importer le KB969084 dans votre serveur de mises jour et approuvez le (OK pour le serveur WSUS FNAC). Si vous voulez le rcuprer manuellement, rendez-vous ici : http://www.microsoft.com/downloads/frfr/details.aspx?FamilyID=72158b4e-b527-45e4-af24-d02938a95683

Note : Si ce package nest pas install, une fentre vous demandera une seconde authentification car la premire chouera. d. Installer le patch KB953760 Maintenant le SSO est activ et fonctionnel sur les postes Windows XP. Toutefois, lors de lutilisation dune ferme de serveurs RDS (donc dun connexion broker) ou lors de lutilisation dun load-balancer entre les clients et les serveurs (notre cas ici), la dlgation ne seffectue pas jusquau point final. Note : Si ce patch nest pas install : une fentre RemoteApp apparait avec en fond lcran de logon du serveur RDS. Ce bug est rsolu grce linstallation du patch KB953760 disponible sur le rpertoire de distribution des MSI ou ici sur internet : http://thehotfixshare.net/board/index.php?showtopic=10916

Il nest pas possible de dployer ce Hotfix autrement que par script ou par un local update publisher (plus dinfos ici : http://www.localupdatepublisher.com le WSUS ne grant pas les Hotfix) On choisira par souci de simplicit un script tel que celui-l : sExePath = "\\svrfile\deploi_appli_AD\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe" sSwitches = "/u /q /z" Set oShell = CreateObject("WScript.Shell") sRegKey = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" ' suppress error in case values does not exist On Error Resume Next ' check for marker sRegMarkerValue = "" ' init value sRegMarkerValue = oShell.RegRead( sRegKey & "\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe") On Error Goto 0 ' to be sure update is installed only once, test on marker If sRegMarkerValue <> "yes" Then oShell.Run Chr(34) & sExePath & Chr(34) & " " & sSwitches, 1, True ' create marker oShell.RegWrite sRegKey & "\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe", "yes" End If Et la GPO associ pour le dploiement du script :

3. Filtre WMI

Attention, pour sassurer que les GPO pour XP ne sappliquent que sur les systmes XP et que les GPO Windows 7 ne sappliquent que sur les systmes Windows 7, soit on spare les systmes en diffrents OUs, soit on applique des filtres WMI (la solution quon retiendra ici) :

a. Cration des filtres WMI Pour la cration du filtre WMI dans la GPMC pour Windows 7 & 2008, suivez cet exemple : Select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1"

Pour la cration du filtre WMI pour Windows XP, suivez cet exemple : Select * from Win32_OperatingSystem where Version like "5.1%"

Pour la cration de filtre WMI applicable aux systmes clients : Select * from Win32_OperatingSystem where ProductType="1"

b. Appliquez vos filtres WMI aux GPO correspondantes Dans la GPMC appliquez le bon filtre WMI :

9. Configuration des serveurs de licences

1. Installation
Les serveurs de licences vont grer les licences daccs client aux services bureau distance qui sont requises pour permettre la connexion de chaque utilisateur un serveur RDS. Ce serveur de licences RDS est un service de rle des services bureau distance ajouter.

Il est recommand de ne pas choisir dtendue dans Windows 2008 R2 :

Valider linstallation et redmarrer le serveur.

2. Configuration
Lancer la console Gestionnaire de licences des services Bureau distance

Avec un clic droit sur le serveur, il faut choisir Activer le serveur , et suivre lassistant avec la connexion automatique. Remplir les champs dinformation correspondant et valider

Ensuite, installer les licences clients supplmentaires en cliquant droit sur le nom du serveur

Suivre lassistant pour ajouter le programme de licence adquat.

Votre serveur de licences est maintenant install.

10.

Configuration des sessions RDS

1. Cration des rpertoires pour les profiles RDS

Crez un rpertoire PROFILS_RDS sur chaque serveur RDS la racine du lecteur C, ou des profils itinrants au besoin, ou pas de profils du tout (dans mon cas javais besoin de la cration de ce profil en local) Lui donner les autorisations suivantes : Partage : o Nom du partage : PROFILS_RDS$ o Autorisations : tout le monde en contrle total Scurit : o Rajoutez le groupe RDS_Group avec les droits contrle total (chaque ouverture de session utilisateur crera un rpertoire personnel avec les droits adquats).

2. Cration des GPO

Voici les principaux paramtres dfinir pour la configuration des sessions RDS par GPO :
Configuration ordinateur (active) Stratgies Paramtres Windows Paramtres de scurit Stratgies locales/Attribution des droits utilisateur Stratgie Paramtre

Arrter le systme Groupes restreints

BUILTIN\Administrateurs, DOMAINE\Domain Admins

Grouper

Membres

Membre de

BUILTIN\Utilisateurs du Bureau distance Modles dadministration

DOMAINE\RDS_Group

Dfinitions de stratgies (fichiers ADMX) rcupres partir de lordinateur local. Composants Windows/Internet Explorer

Stratgie

Paramtre

Commentaire

Empcher le fonctionnement des paramtres de personnalisation la premire excution Slectionner votre choix

Activ

Aller directement la page daccueil

Composants Windows/Services Bureau distance/Hte de la session Bureau distance/Dlais d'expiration des sessions

Stratgie

Paramtre

Commentaire

Dfinir la limite de temps pour la fermeture de sessions RemoteApp

Activ

Dlai de fermeture de session RemoteApp :

8 heures

Stratgie

Paramtre

Commentaire

Dfinir le dlai dexpiration des sessions de services Bureau distance actives Limite de session active :

Activ

1 jour

Stratgie

Paramtre

Commentaire

Dfinir le dlai dexpiration des sessions de services Bureau distance ouvertes mais inactives Limite de session inactive :

Activ

8 heures

Stratgie

Paramtre

Commentaire

Dfinir le dlai dexpiration des sessions dconnectes Fin dune session dconnecte

Activ

8 heures

Stratgie

Paramtre

Commentaire

Mettre fin la session quand les dlais

Activ

dexpiration ont t atteints Composants Windows/Services Bureau distance/Hte de la session Bureau distance/Environnement de session distance

Stratgie

Paramtre

Commentaire

Dfinir lalgorithme de compression pour les donnes RDP Algorithme de compression RDP :

Activ

Optimis pour utiliser moins de bande passante rseau

Composants Windows/Services Bureau distance/Hte de la session Bureau distance/Profils

Stratgie

Paramtre

Commentaire

Dfinir le chemin daccs au profil utilisateur itinrant des services Bureau distance Chemin du profil

Activ

\\localhost\profilsrds$

Spcifier le chemin daccs sous la forme \\nom_ordinateur\nom_partage

Stratgie

Paramtre

Commentaire

Utiliser les profils obligatoires sur le serveur Hte de la session Bureau distance

Dsactiv

Composants Windows/Services Bureau distance/Hte de la session Bureau distance/Redirection de priphrique et de ressource Stratgie Paramtre Commentaire

Ne pas autoriser la redirection de lecteur Ne pas autoriser la redirection du Pressepapiers Configuration utilisateur (active) Stratgies Paramtres Windows Maintenance de Internet Explorer

Dsactiv Dsactiv

Interface utilisateur du navigateur/Barre doutils personnalise

Texte de la barre de titre

Fnacdirect Connexion/Configuration automatique du navigateur

Stratgie

Paramtre

Dtecter automatiquement les paramtres de configuration Configuration automatique du navigateur Intervalle URL de configuration automatique (fichier .INS) URL de proxy automatique (fichier .JS, .JVS ou .PAC) Adresses URL/Adresses URL importantes

Dsactiv Activ Non configur

http://pac.domaine.com/pac

Nom URL de la page daccueil URL du volet de recherche URL de la page de support en ligne Modles dadministration

Adresse URL http://www.domaine.com Non configur Non configur

Dfinitions de stratgies (fichiers ADMX) rcupres partir de lordinateur local. Composants Windows/Internet Explorer

Stratgie

Paramtre

Commentaire

Dsactiver lAssistant Connexion Internet Dsactiver la gestion des fentres publicitaires Dsactiver la gestion du niveau de filtrage des fentres publicitaires Dsactiver la modification des paramtres de la configuration automatique

Activ Activ

Activ

Activ

Dsactiver la modification des paramtres de proxy Empcher le fonctionnement des paramtres de personnalisation la premire excution Slectionner votre choix Menu Dmarrer et barre des tches

Activ

Activ

Aller directement la page daccueil

Stratgie

Paramtre

Commentaire

Ajouter l'option Fermeture de session au menu Dmarrer Effacer l'historique des documents rcemment ouverts en quittant Forcer le menu Dmarrer classique Supprimer et empcher laccs aux commandes Arrter, Redmarrer, Mettre en veille et Mettre en veille prolonge Panneau de configuration

Activ

Activ

Activ Activ

Stratgie

Paramtre

Commentaire

Toujours afficher tous les lments du Panneau de configuration lors de son ouverture Systme

Activ

Stratgie

Paramtre

Commentaire

Ne pas afficher lcran de bienvenue Mise en route louverture de session

Activ

3. Changement de linterface utilisateur

Nous allons modifier lexplorateur Windows des sessions RDS (car malgr le fonctionnement en RemoteApp, lexplorateur Windows 2008 R2 de la session saffichera lors de lutilisation des boutons Parcourir ou Importer sur certaines applications) pour offrir une interface plus simple aux utilisateurs. Dsactivation des Bibliothques et des Favoris , ils ne sont daucunes utilits et peuvent induire lutilisateur en erreur

On utilisera lutilitaire Windows Explorer Navigation Pane Configuration disponible ici : http://www.s-inn.de/blog/post/remove-Libraries-Favorites-in-windows-explorer-navigation-pane.aspx Ensuite dans une invite de commande (en mode privilges levs) tapez les commandes suivantes :

wenpcfg /hidelibraries wenpcfg /hidefavorites Redmarrer ensuite la machine pour appliquer la modification tous les utilisateurs.

Masquer le lecteur local C:\ qui est inutile pour les utilisateurs

Ouvrez une MMC pour modifier les paramtres locaux de lordinateur et changez ceci : Paramtres Utilisateur :

11.

Divers
1. Cration de tches planifies

Lutilisation de serveur RDS par de multiples utilisateurs implique de frquent redmarrage des machines (fichiers temporaires, cookies, sessions en cache, etc des diffrents utilisateurs) Choisissez donc de crer une tche planifie pour redmarrer les serveurs une fois par semaine, le dimanche, la nuit 1h du matin.

2. Compression RDP
Le RemoteApp fonctionne parfaitement en LAN, mais en WAN il se peut, en fonction des dbits, que des ralentissements notables surviennent. Dans ce cas il est possible de modifier la configuration pour diminuer le besoin en bande passante :

Paramtres RDP : Dans Exprience utilisateurs , changer les paramtres daffichage.

Il est aussi possible de changer dautres paramtres RDP qui nest pas affichs dans la console, voici un lien pour la liste des paramtres RDP personnaliss : http://go.microsoft.com/fwlin k/?LinkId=139899 Voici ce que nous retiendrons dans notre configuration :

3. Dfragmentation
Il est prfrable vu le nombre dutilisateurs, de planifier une dfragmentation hebdomadaire des disques :

4. Utilisation dEasy Print

Depuis Windows 2008, Microsoft introduit un nouveau driver, qui permet un paramtrage plus fin des GPO et une redirection immdiate des imprimantes : le driver Easy print Ce pilote permet lutilisateur dimprimer sur son imprimante en passant le processus dinstallation du pilote sur le serveur RDS, cela rsout aussi de nombreux problmes de redirection dimprimantes. 2 considrations : Avoir dploy le client RDC 7 sur les postes clients Avoir dploy le framework 3.0 SP1 au minimum sur les postes clients Avoir au moins Windows XP SP3