Discussion :

[xufux]

Bonjour,

dans mon domaine, j'ai un serveur TSE win2008R2.

Ce serveur est configuré pour que les utilisateurs puissent se connecter sur plusieurs sessions différentes avec le même user (users génériques nécessaires - ce n'est pas un problème de CALs TSE insuffisants)

Cependant, je souhaite restreindre ce comportement pour certains users (en particuliers les admin)car ils ne peuvent plus se reconnecter sur la console (même avec mstsc /admin) car c'est une nouvelle session qui s'ouvre.

J'ai tenté de créer une GPO sur l'OU du serveur en question, en limitant aux users concernés:

Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections\Restrict Remote Desktop users to a single Remote Desktop Services session

mais la stratégie ne s'applique pas (elle n'est pas du tout listée dans gpresult).

Avez-vous une idée pour configurer ce comportement ?

[cerede2000]

Bonjour à toi,

As tu déjà entendu parlé de GPO de bouclage ?
C'est ce qu'il te faut mettre en place pour que la GPO destinés aux utilisateurs ne s'applique pas aux administrateurs

[benjamin.f]

Bonjour,

La GPO avec boucle de rappel sert à fusionner ou remplacer les gpo utilisateurs par les gpo utilisateurs s'appliquant au ordinateurs de l' OU les contenants.

Bref, pour ne pas que les GPO s'appliquent au administrateurs, il suffit de cocher les droits " REFUSER" pour l'application des GPO pour le groupe Admin.

Cdt,

[cerede2000]

C'est n'est pas la meilleur solution sur un serveur RDP que d'avoir une seule GPO !
Il est préférable et recommandé de la découper eu deux et d'utiliser le bouclage....
La méthode du refus fonctionne, mais si tu applique d'autres paramètre dans ta GPO c'est quand même bancale.

[benjamin.f]

Je suis d'accord sur le bouclage pour les serveurs hôtes de session, afin que les utilisateurs aient des règles spécifiques sur celui-ci.
C'est effectivement recommandé.

Cela dit, même en passant par une boucle, la GPO refusant l'acces au CMD sera, à mon sens, refusée pour que les admins ne soient pas affectés !

Je ne suis pas partisan d'avoir trop de GPO, et l'admin n'a de toutes façons pas lieu d'être concerné par des règles spécifiques d'utilisateurs RDS, ni même concernant des GPO bloquant l'accès aux outils d'administration.

Cdt,

[cerede2000]

Exact... On dit bien la même chose
Et c'est bien sur la GPO de rappel utilisateur (qui ne sera appliqué bien sur qu'aux groupes utilisateurs concernés et ayant le droit de se connecter au serveur RDP) qui contiens toutes les restrictions