Le Remote Desktop (RDP) est une fonctionailté diposnible depuis Windows 7 sur les versions profesionnelles et suppérieures. Elle permet l’ouverture d’une session sur l’ordainteur à distance.
Sur un poste client (donc simplement une version de Windows professionelle), activer le bureau à distance permet une connexion à distance (soit locale, soit distance) à un moment donné.
Sur un poste serveur, elle permet plusieurs connexions simultanées.
Avec l’Active Directory, il est possible de permettre à plusieurs utilisateur·ice·s de se connecter au serveur en utilisant des connexions concurrentes. Le nombre d’utilisateur·ice·s est alors limité par le nombre de licenses Remote Desktop achetées.
Cela permet ainsi d’avoir une application centralisée accessible à plusieurs utilisateur·ice·s sur un serveur, c’est ce qui s’appelle les RemoteApps.
Activation de la fonctionalité
Pour activer la fonctionalité Remote Desktop,
- Sur un ordinateur Windows 10 ou Windows 11 pro, il faut aller dans
Settings > System > Remote Desktop - Sous Windows server 2022, il faut aller dans
Server Manager > Local Server > Remote Desktop
Il est fortement conseillé d’activer l’option de sécurité Network Level Authentication.
A savoir que Remote Desktop utilise le port 3389, donc il est possible que si un firewall est configuré, que ce dernier bloque l’accès à distance à l’appareil car le port ne serait pas ouvert.
Egalement, par défaut, seul les administrateur·ice·s peuvent se connecter en bureau à distance, mais il est possible de changer cela dans les options de la fonctionalité.
RDP ne doit jamais être accessible sur Internet
La fonctionalité Remote Desktop d’un ordinateur ou serveur ne doit jamais être disponible en public sur Internet. Il faut toujours la faire passer dans un VPN au préalable pour des raisons de sécurité
Service de bureau à distance
Le service de bureau à distance est plus vaste que la simple fonctionalité. Elle permet ainsi à plusieurs utilisateur·ice·s d’être connectés simultanément, de lancer des applications distante sur le serveur ainsi que d’avoir une interface web.
Il existe deux modèles de licenses pour cela, par utilisateur·ice ou par périphérique. Généralement c’est la license par user qui sera utilisée.
La license par user définit d’acheter une license par utilisateur·ice utilisant le remote desktop. Lorsqu’un utilisateur·ice ne s’est pas connecté via remote desktop depuis un moment, la license est libérée et peut être utilisée par un·e autre utilisateur·ice.
La license par périphérique est une license fixe créant donc une liaison permanente au périphérique utilisé, cependant cette dernière est peu utilisée.
Les licenses sont gérées par le serveur de license (Remote Desktop Service License Server), mais que nous n’allons pas voir ici car de toute façon nous bénéficions d’une version d’essais de 120 jours.
Quand utiliser le service ?
Le service est seulement à utiliser sur les serveurs devant acceuillir des connexions utilisateur·ice·s graphiques.
Cela signifie que si le but est qu’un admin accède à distance au serveur, on peut simplement configuerer la fonctionalité Remote Desktop sans le service comme vu précédement.
Ici il s’agit bien de mettre les connexions graphiques au servuer à disposition de groupes d’utilisateur·ice·s autres que les admins.
Installation du service
Ne pas installer le service Remote Desktop sur le controlleur de domaine
De plus il est fortement déconseillé de configurer le remote destop sur un controlleur du domaine (Active Directory), mais de seulement l’utiliser sur d’autres serveurs.
Pour installer le service de bureau à distance sur un serveur (Windows server 2022), il faut aller dans Server Manager > Manage > Add Roles and Features puis dans la sction “installation” sélectionner Remote Desktop Service Installation.
Ensuite pour chaque étape :
| Étape | Option à choisir |
|---|---|
| Deployment type | Standard Deployment |
| Deployment scenario | Session-based desktop deployment |
| Specify RD Connection Broker Server | Sélectionner le serveur courant dans la liste |
| Specify RD Web Access Server | Cocher la case Install the RD Web Access role service on the RD connection Broker server |
| Specify RD Session Host Servers | Sélectionner le serveur courant dans la liste |
| Confirmation | Cocher la case Restart the destination server automatically if required et cliquer sur Deploy |
Il faudra redémarrer le serveur et se reconnecter comme administrateur·ice à un moment durant l’installation pour que cette dernière se termine.
Configuration du service
Ensuite pour configurer le service et permettre des connexions, on peut aller dans Server Manager > Remote Desktop Services > Collections > Tasks > Create Session Collection.
Ensuite on peut choisir un identifiant pour le groupe de sessions de connexions et choisir quels groupes d’utilisateur·ice·s peuvent utiliser cette collection de sessions. Enfin il faut désactiver l’option User Profile Disks.
Il est également possible lors de la configuration de la collection de définir si seul les ordinateurs utilisant Network Level Authentication peuvent se connecter au serveur.
Pour définir les utilisateur·ice·s autorisés à se connecter par le Remote Desktop, on peut utiliser la GPO d’ordinateur suivante : Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Allow log on through Remote Desktop Services.
Attention que cette GPO est prioritaire et écrase les autres paramètres d’accès au serveur par Remote Desktop.
Gestion des sessions
Lorsque des utilisateur·ice·s seront connecté·e·s au serveur c’est via la collection de sesssion qu’il sera possible de gérer les différentes sessions en faisant clic droit dessus.
Pour chaque connexion on peut alors déconnecter le remote desktop, envoyer un message dans la session, déconnecter la session (log off), voir ce que l’utilisateur·ice fait, ou prendre le contrôle de la session (à savoir que ces deux dernières options peuvent nécessiter que l’utilisateur·ice autorise l’accès).
GPO de configuration relatives au remote desktop
La plus part des GPO relatives au remote desktop sont disponible dans User Configurations et dans Computer Configurations dans
Policies > Administrative Templates > Windows Components > Remote Desktop Services.A savoir que les options de Computer Configurations sont toujours prioritaires.
Voici quelques exemples de configurations possibles depuis ces GPOs :
Restrict Remote Desktop Services users to a single Remote Desktop Services Session(uniquement disponible dans Computer Configurations), permet d’éviter qu’un·e utilisateur·ice ouvre plusieurs connexions avec un seul compte (pour économiser des ressources)Session Time Limitspermet de définir des délais pour les sessions afin d’éviter que ces dernières ne restent actives indéfinimentPrinter Redirection, et en particulierRedirect only the default client printerpermet de spécifier quels imprimantes de l’utilisateur·ice doivent être accessible depuis la connection à distance.Device and Resource Redirectionpermet de définir et limiter les ressources partagées entre le client et le serveur
Se connecter au Remote Desktop
Depuis un poste client il est possible de se connecter à distance en utilisant l’outil Remote desktop connection, ou en lançant mstsc.exe.
A partir de là il est possible d’afficher toutes les options en utilisant le bouton “Show options” afin de configurer la résolution, les couleurs, les ressources tel que les imprimantes ou le presse-papier, des paramètres d’optimisation, la sauvegarde d’un raccourcis, etc. A savoir que si on indique l’utilisateur à ce point ci, il est important de définir le domaine tel que CG03DOM\tx0050.
Mais sinon il est simplement possible d’indiquer l’IP ou le nom de domaine de la machine (nom-de-la-machine.domaine, tel que Win22-App.cg03dom.local).
Ensuite il suffit simplement de se connecter au serveur avec ses identifiants.