Tout se passe bien le serveur fonctionne bien.
Tout cela est parfait me direz vous ? non. Ce serveur souffre failles de performance et de sécurité qui sont compensées par la robustesse du serveur et le caractère "familial et de confiance" entre les différents utilisateurs.
Dans la catégorie "j'apprends un nouveau métier", il y a moi qui a la base est chef de projet et développeur. j'ai donc des notion plus ou moins évoluées sur les domaines, active directory, Gpo (je sais que ca existe), variables d'environnement; interfaces entre environnements, cryptage.
je souhaite recadrer tout çà et j'ai identifié tout ce que je dois apprendre et maitriser pour effectuer une bonne gestion de ce serveur.
Je vais chercher par moi même ce qu'il y a sur la feuille de route, mais une aide (en me fournissant directement les liens par exemple) est vraiment vraiment la bienvenue (manque de temps
)merci de me signaler si j'ai oublié des choses.
merci aussi de me signaler si des choses sont irréalisables, car trop complexes ou fonctionalités inexistantes.
- Mettre en œuvre la GPO et affiner son utilisation.
- Se renseigner sur les protections proposées par le client rdp de base.
Trouver un moyen de :
- Bloquer l'affichage du c: mais pouvoir interagir avec quand même
- Bloquer l'affichage et l'interaction de tous les volumes ne le concernant pas un profil.
- Pour un profil, pouvoir interdire l'accès au web sauf pour une liste de sites de confiance (cette liste dépend du profil ou du groupe du profil).
- Créer à l'ouverture de session un volume correspondant à un espace du disque propre au profil (genre volume e:\ = d:\nom_de_profil
- Empêcher l'ouverture de plusieurs sessions pour un même profil même nom de poste. (Même profil sur plusieurs postes autorisé).
- Limiter l'affichage de internet explorer (pas de barre d'outil, d'historiques, pas de liens cliquables à tout va, etc …).
- interdire toutes les personnalisations du profil (taille écran, langue, options régionales , imprimantes, etc ...) sauf exception.
- Empêcher et détruire les dossiers temporaires et dossiers type "mes documents") pour tous les profils.
- Limiter à un profil une ou deux imprimantes (exemple interdire les accès aux imprimantes partagées qui sont elles même issues d'un partage d'imprimante qui sont elles mêmes …etc et etc …)
- Limiter pour un profil un seul volume distant (volume sur le pc local)
- Pouvoir permettre l'ouverture de session d'un profil mais seulement pour lui signaler que le serveur est en maintenance. (l'empêcher de faire autre chose).
- Limiter au maximum les fonctionnalités de word et excel à interagir avec son environnement extérieur. Pas d'import ou d'exécution de macros non répertoriées comme autorisées par exemple.
- Automatiser la mise en œuvre d'un vpn coté client en un seul clique sur le RDP (genre pré paramétrage du vpn + du rdp = simple double clic sur le raccourcis rdp pour que tout fonctionne).
- Gérer une alerte mail par rapport à un moniteur de performances.
- Créer un profil utilisateur Help desk, hot line qui n'aura que comme prérogatives de prendre la main sur session lambda pour diagnostiquer et éventuellement débloquer un utilisateur sur une fonctionnalité d'un logiciel.
- Effectuer le démarrage d'une application non plus par le paramétrage d'un environnement dans le profil mais par script paramétrable (GPO ?).
- (cerise sur le gâteau) Ajouter des données spécifiques à notre métier au dictionnaire LDAP et pouvoir les utiliser via des variables liées au profil
