Discussion :

[llaffont]

Bonjour,

J'exploite les remoteAPP de Microsoft 2008 R2 qui fonctionnent super bien.
Pour permettre la connexion RDP sur mes serveurs j'ai créé des Groupes de Sécurité sous mon AD, puis ajouté ce dernier dans les groupes locaux "Utilisateurs du Bureau à distance" de mes serveurs.

Pour l'instant aucun problème tout fonctionne lorsque mes utilisateurs cliquent sur les RDP (préconstruit par le serveur).

Et c'est pourtant là que j'ai un pépin, l'un de mes utilisateurs un peu moins consciencieux que les autres s'est connecté sur un serveur via une console mstsc et m'a éteins le serveur.

Pour parer, j'ai tenté les GPO mais ils ne veulent pas être pris en compte. Et la j'en suis à me demander si ajouter le Groupe de Sécurité dans le groupe local "Utilisateurs du Bureau à distance" de mon serveur est une bonne solution.

J'ai l'impression qu'il faut créer un GPO donnant droit de se connecter au "Bureau à distance" des serveurs pour ensuite en créé une seconde qui donne le droit à une application.

Si vous pouviez m'aider à faire mon choix et/ou à paramétrer ça.
Sachant que j'ai plus d'un serveur accessible en RDP....

[Trs80M1]

Le problème de l'accès RDP, c'est qu'il faut avoir les droits de connexion au serveur pour que ça marche, mais qu'on (les admins) ne veut pas d'accès à la console pour tout le monde ...
Dans le profil des utilisateurs, tu ne peux pas forcer un lancement d'application ?
Comme ça celui qui "tape" en mstsc sur un serveur se retrouve sur une appli, pas connecté à la console.

[llaffont]

Peut-on forcer le lancement d'une application dans un profile utilisateur ?

La réponse est oui !

On peut faire ça depuis le compte AD, mais cela vient s'appliquer sur toute ta ferme de serveur, donc ce n'est pas la bonne solution.

On peut également le faire sur le serveur lui même en l'informant que toutes les sessions RDP lanceront tel application. Mais cela pose problème même aux admin et surtout gros problème dans le cas ou ton Serveur héberge plusieurs applications.

Aujourd'hui encore je cherche la bonne méthode pour que les membres d'un groupe ne puissent lancer que les ou l'application(s) définie dans une GPO, un profil ou je ne sais quoi d'autre.

Merci quand même pour ton aide.

[Trs80M1]

Pour le forçage de l'application j'avais la réponse, c'était une suggestion .

J'ai une vague souvenir "d'applis publiées" avec du TSE, de mémoire on avait une liste d'applis mises à disposition, je n'ai pas de TSE sous windows 2008 pour vérifier.

Sinon je pense à une solution "bucheron" : lancer une appli qui propose un menu de lancement , en fonction des droits. Enfin y'a plus propre ...

Je suis en tout cas intéressé par toute solution que tu trouveras à ton problème.