www.laurentfalguiere.fr | La session de Console et le commutateur /admin

www.laurentfalguiere.fr

Virtualization - Application Delivery - Microsoft & Citrix technologies

Rechercher

Virtualisation de sessions

La session de Console et le commutateur /admin

Par Laurent Falguière ⋅ 30 August 2008 ⋅

Envoyer cet article ⋅

Imprimer cet article ⋅

Evaluer cet article: 1 étoile

Loading ...

Note: You can find an English translation of this article on the Pierre Marmignon’s web site (www.citrixtools.net/en).

Dans Windows 2003, la session de console désigne la session locale (accessible en étant physiquement devant la machine). Cette session présente une particularité: elle est utilisée effectivement par l’utilisateur connecté directement à la machine, mais également pour exécuter les services Système (qui disposent de privilèges élevés). Même si l’utilisateur utilisant la session de console est, en général, un administrateur, il est techniquement possible, qu’à son insu, un programme malveillant puisse tenter d’acquérir des privilèges plus élevés en attaquant ces services Système.

Pour limiter l’impact de telles attaques et accroître la sécurité, dans Windows 2008 (et Vista) la session de console (ou session 0) est désormais réservée aux services Système et il n’est pas possible de faire une ouverture de session interactive avec la session 0.

Les applications qui nécessitaient l’exécution en mode console uniquement devrait pouvoir fonctionner dans une autre session, mais la conséquence la plus évidente est que le commutateur /console du client RDC (mstsc), utilisé pour se connecter à distance à la session de Console d’un serveur Windows 2003 (et sans décompter de CAL TS), ne fonctionnera plus. Lors de l’utilisation du commutateur /console pour se connecter à un serveur 2008, le résultat est variable:

Dans la commande mstsc /console, le commutateur est ignoré. c’est une ouverture de session classique et vous ne récupérez pas la session de console.
Dans l’interface utilisateur du client RDC, spécifier dans le champ “Ordinateur” NomDuServeur /Console retournera l’erreur “Un paramètre inconnu a été spécifié dans le champ Nom d’ordinateur” (Idem dans le cas d’un fichier .RDP)…

Le commutateur /console est désormais remplacé par le commutateur /admin. En effet, puisqu’il ne correspond plus à la session de Console, le seul intérêt est de se connecter à des serveurs Terminal Server sans décompter de CAL TS. (L’utilisation du commutateur /admin sur un serveur où les services terminal serveur ne sont pas installés est inutile)…

Le commutateur /admin permet donc de connecter deux sessions administrative sans décompte de CAL TS. Ces deux sessions comprennent la session locale du serveur, ce qui permet de reconnecter une session ouverte localement sur un serveur depuis n’importe qu’elle machine, et inversement (ce qui n’était pas possible avec WIndows 2003)…

L’utilisation du commutateur /admin présente également les caractéristiques suivantes (Services Terminal Server installés ou Bureau à distance activé):

Le fuseau horaire n’est pas redirigé.
la redirection par TS Session Broker est désactivée.
la redirection de périphérique Plug and Play est désactivée.
Le thème par défaut est changé en “Windows classique”.
La fonctionnalité Easy Print est désactivée.
La case à cocher “Interdire à cet utilisateur de se connecter aux ordinateurs Terminal Server” est sans effet…
Le mode vidage n’est pas applicable

Vous pouvez penser, par expérience, que limiter à deux sessions administratives est contrainte. Il faut savoir que désormais les services Terminal Server dispose désormais d’une gestion des conflits pour les session administratives. Si les deux sessions administratives sont déja utilisées et qu’une troisième est initiée, une boîte de dialogue permet de demander à un autre administrateur de se déconnecter ou même de forcer une déconnexion: Sa session est conservée et seulement déconnectée… En réalité la limite est de deux sessions administratives ACTIVES.

Références:

Edit (5 sept. 2008): modification suite à une remarque de Pierre Marmignon concernant l’utilisation du commutateur /admin sur des serveurs où les services ne sont pas installés (bureau à distance activé).

Articles relatifs

Commentaires

Aucun commentaire pour l'article “La session de Console et le commutateur /admin”

Ajouter un commentaire

Produits

Sur les forums

Commentaires récents

Nicolas sur XenDesktop: Le Desktop Delivery Controller…
lange sophie sur Les licences Terminal Server (1ère partie)
jstival sur Hotfix Rollup Pack 4 de Citrix XenApp 5.0 and Citrix Presentation Server 4.5 pour Windows 2003
Lyes Mouloudi sur Comment retourner à une application l’adresse IP du client au lieu de celle du serveur
lukosovo sur Les composants de XenDesktop

Les marques, logos et emblèmes d'entreprises représentés sur ce site Web sont soumis aux droits de marque déposée de leurs propriétaires respectifs. Toutes les informations présentées sur ce site sont fournies sans garantie aucune. Je décline toute responsabilité envers quelque tiers que ce soit relativement à des dommages directs, indirects, spéciaux ou autres, résultant de l'utilisation de ce site ou de tout autre site auquel ferait référence un lien, qu'il s'agisse (liste non limitative) d'un manque à gagner, d'une interruption d'activités ou d'une perte de données sur votre système d'information...