En bref
Appliquer des restrictions par GPO seulement lors de sessions TSE/Citrix
Envoyer cet article
⋅ 
Imprimer cet article
⋅
Chargement ...Introduction
Cette article vise à expliquer comment appliquer des stratégies de groupe uniquement lors de session TSE/Citrix
Domaine d'application
Typiquement, un domaine avec des utilisateurs disposant de postes Windows XP et se connectant à des serveurs TSE/Citrix (avec le même login / mot de passe)
Problématique
Généralement, la mise en place d’un serveur TSE/Citrix amène la mise en place de stratégies de groupe restreignant l’environnement de travail (Restrictions du menu démarrer, du bureau, du panneau de config, masquage de lecteurs systèmes). Ces restrictions sont appliquées via une stratégie de groupe "utilisateur", donc applicable sur une OU contenant des Objets utilisateurs. L’inconvénient est que si on applique les stratégies sur les OU contenant les utilisateurs, lors de l’ouverture de session sur leurs postes local (ex : Windows XP), les utilisateurs appliqueront ces restrictions, ce qui n’est pas forcément souhaitable.
Solution
L’alternative la plus efficace consiste à modifier le mode d’application des stratégies de groupe. L’idée est de pouvoir positionner la stratégie de restrictions (donc une stratégie utilisateur) sur l’OU qui contient les serveurs TSE/Citrix, afin qu’elle s’applique aux utilisateurs qui se ouvrent des sessions sur ces machines.
Par défaut, ce n’est pas réalisable car cela revient à appliquer une stratégie utilisateurs à un ou des objets ordinateurs (Les serveurs TSE/citrix). Dans l’état, cela ne peut pas fonctionner.
Ce comportement peut être modifié grâce à la modification du mode de traitement par boucle de rappel des stratégies de groupe. Derrière cette appellation barbare se cache un concept très simple :
La modification est effectuée sur l'OU qui contient les serveurs TS/Citrix, par une stratégie de groupe Ordinateurs et modifie le comportement des stratégies de groupe: Une fois activée, on peut alors, sur l’OU où elle s’applique :
-
Définir des stratégies de groupe Utilisateurs
-
Ces stratégies s’appliquent aux utilisateurs qui se connectent aux machines de cette OU et seulement lors de l’ouverture de session sur cette machine.
-
L’ouverture de session sur une machine d’une autre OU (le poste client) n’est pas impactée.
On peut définir si les stratégies de groupe « Utilisateur » définies sur L’OU où se trouve l’utilisateur dans Active Directory sont appliquées également ou non:
-
Si on souhaite les appliquer (mode Fusion): les stratégies de groupe utilisateur définies sur l’OU courante s’applique, ainsi que les stratégies de groupe définies sur l’OU où se trouve réellement l’utilisateur dans Active Directory
-
Si on ne souhaite pas les appliquer (mode Remplacement): les stratégies de groupe utilisateur définies sur l’OU courante s’applique, et remplace les stratégies de groupe définies sur l’OU où se trouve réellement l’utilisateur dans Active Directory,
Cas concret
On souhaite :
-
Appliquer des stratégies de restrictions à un environnement TSE/Citrix, sans impacter l’environnement de travail des postes lourds.
-
Conserver la stratégie Login Script (mappage de lecteurs) appliqués au utilisateurs
On suppose que :
-
Les utilisateurs se trouvent dans l’OU « Utilisateurs »
-
Les postes lourds se trouvent dans l’OU «Ordinateurs »
-
Les serveurs TSE/Citrix se trouvent dans l’OU «Serveurs TSE »
On va mettre en place
-
sur l’OU « Serveurs TSE », deux stratégies :
-
Une stratégie Ordinateur « Stratégie de Loopback » (pour modifier le comportement des GPO) en Mode : fusionner
-
Une stratégie Utilisateur « Restrictions » (pour restreindre l’environnement de travail)
Nota : Un redémarrage ou la mise à jour des GPO (Gpupdate /force sous Windows 2003 ou secedit /refresh policy machine_policy /enforce sous Windows 2000) sont nécessaires pour prendre en compte la stratégie de Loopback
-
Sur l’OU « Utilisateurs »
-
Vérifier la présence ou créer la stratégie utilisateur « Login Script » (pour mapper les lecteurs réseau)
Dans cette configuration, un utilisateur de l’OU « Utilisateurs » peut ouvrir une session sur son poste lourd : il appliquera la stratégie de login Script et celle-ci seulement. S’il se connecte à un serveur TSE de l’OU « Serveur TSE », il appliquera alors deux stratégies :
-
Celle définie au niveau de l’OU « Serveurs TSE » («restrictions »)
-
Celle définie au niveau de l’OU « Utilisateurs » (Login Script)
Mise en oeuvre
La paramètre de modification du mode de traitement par boucle de rappel des stratégies de groupe (communément stratégie de Loopback) se trouve dans :
Configuration ordinateur / Modèles d’administration / Système / Stratégie de groupe / Mode de traitement par boucle de rappel des stratégies de groupes.
Articles relatifs
Produits
Sur les forums
- Re : TOUCHES ACTIVE SUITE PREMIERE CONNEXION:
- Re : [W2K3] [CPS4.5] ima crash id_event 1000:
- Re : TOUCHES ACTIVE SUITE PREMIERE CONNEXION:
- [W2K3] [CPS4.5] ima crash id_event 1000:
- Re : TOUCHES ACTIVE SUITE PREMIERE CONNEXION:
- Re : TOUCHES ACTIVE SUITE PREMIERE CONNEXION:
- Re : TOUCHES ACTIVE SUITE PREMIERE CONNEXION:
- Re : Erreur 1030 - ICA v12.0.3.6:
- Re : XAF et Citrix Receiver (iPhone / iPad):
- Re : test de UPM:
Commentaires récents
- Monsieur WordPress sur Bonjour tout le monde !
- Nicolas sur XenDesktop: Le Desktop Delivery Controller…
- lange sophie sur Les licences Terminal Server (1ère partie)
- jstival sur Hotfix Rollup Pack 4 de Citrix XenApp 5.0 and Citrix Presentation Server 4.5 pour Windows 2003
- Lyes Mouloudi sur Comment retourner à une application l’adresse IP du client au lieu de celle du serveur
Commentaires
Aucun commentaire pour l'article “Appliquer des restrictions par GPO seulement lors de sessions TSE/Citrix”
Ajouter un commentaire