Windows XP * Bureau Distant

Bureau Distant

Schéma général

Contrairement à la version familiale, la version professionnelle de XP est livrée avec deux modules de prise de contrôle à distance. Pour être plus précis, seul l'un de ces modules est véritablement destiné à prendre totalement le contrôle d'un PC hôte. Dans la version familiale de XP, seule est disponible l'Assistance à distance dont la mise en oeuvre implique l'envoi d'une "invitation" de l'ordinateur hôte à un ordinateur invité (celui de l'expert ou du copain dont on sollicite de l'aide). Quoiqu'il en soit, ces deux modules s'appuient sur la technologie Terminal Services.
Avec le module de Connexion au Bureau à Distance qui s'appuie sur le protocole RDP 5.1 (Remote Desktop Protocole), il s'agit de tout autre chose que l'assistance à distance. Les habitués de Terminal Service (TSE) ou de Citrix sous NT/2000 trouverons là très peu de différences avec leur console habituelle sauf, justement, l'absence de console MMC sur le poste invité : cette absence est regrettable dans le cadre de connexions distantes multiples comme on peu en avoir sur un réseau par exemple car le mode d'affichage des différentes connexions est plus aisé avec les client TSE qu'avec le nouveau client d'XP. Question de goût peut-être, mais le nouveau client oblige à afficher sur le Bureau autant de fenêtres qu'il existe de connexions simultanées alors qu'avec le client TSE une seule fenêtre renferme toutes les connexions.

Pour ceux qui ne connaissent pas, le Bureau à Distance autorise à peu près tout ce qu'il est imaginable de faire sur un PC que vous auriez sous la main sauf, bien entendu, les manipulations physiques. Ainsi, vous pouvez rebooter à chaud une machine et en reprendre la main sans même qu'une session doive être ouverte sur la machine distante. En revanche, vous ne pouvez pas démarrer une machine qui est physiquement éteinte (sauf si le Bios de la machine a été configuré pour un Wake On LAN, ou Wake on Ring, mais il s'agit ici davantage d'un état de veille de la machine que d'un arrêt total).

Si l'on insère le CD de XP dans une station 9x/2000 et que l'on demande à créer une connexion distante (Effectuer des tâches supplémentaires --> Créer une connexion Bureau Distante), la procédure remplacera sans prévenir le client TSE déjà installé pour lui substituer d'office le client XP. Celui-ci fonctionne très bien sur les stations 9x/2000. Il supporte beaucoup mieux les sessions en plein écran, les affichages 24 bits ainsi que la restitution des effets sonores sur la machine hôte (mais mieux vaut limiter limite au maximum les informations superflus qui transitent sur le LAN ou la connexion).

Les lecteurs de la station locale (Traban) sont visibles sur la station hôte en tant que lecteurs partagés. Une prise de contrôle à distance peut être établie aussi bien via une connexion Internet (RTC, RNIS, ADSL, câble, etc.) que sur le réseau (LAN). N'importe quel poste Win 9x/ME/NT/2000/XP peut prendre le contrôle d'un PC distant sur lequel le service RDP est activé. A la limite, encore que l'intérêt n'est pas pertinent, il est possible de prendre le contrôle d'un PC distant, puis, à partir de ce même PC distant, lancer une connexion RDP sur un troisième PC, et ainsi de suite. Un poste local peut aussi prendre le contrôle d'une machine qui n'est pas sous XP et sur laquelle est lancé un service similaire à RDP comme Terminal Server par exemple : le client de bureau à distance permet donc d'ouvrir des sessions sur RDP 5.1 comme sur TSE. Enfin, il existe une autre solution que celle qui consiste à utiliser le client Connexion Bureau. Il s'agit non plus de passer par ce client, mais par le Web (RDP 5.0 le fait aussi pour Windows 2000 et NT4). Pour cela, toute l'installation et la préparation s'effectue sur le poste hôte (par définition Windows XP Pro) qui doit installer cette fonctionnalité sur IIS (Internet Information Service) en activant en outre les pages ASP : dans ces conditions, il faut donc qu'un certain nombre de services soient activés (Bureau à distance, IIS, etc., voir plus bas).

L'essentiel de la préparation d'une prise de contrôle à distance se réalise sur le poste hôte (celui qui va être contrôlé).

A partir du poste client, l'accès par défaut se fait par Démarrer --> Programmes --> Accessoires --> Communications on l'on trouve une icône Connexion Bureau à distance. Ou alors, Démarrer | Exécuter : "mstsc".

Avec ce module, on a accès aux fonctionnalités suivantes :

La redirection des imprimantes réseau qui permet de rediriger des imprimantes réseau installées sur le PC local dans la session Bureau à distance. On peut imprimer sur l'imprimante réseau sans modifier la configuration et sans installer d'imprimante supplémentaire. Cette fonctionnalité peut être désactivée dans l'onglet Ressources locales du client Bureau à distance.
Gestion du copier-coller des fichiers entre la session à distance et l'ordinateur local ou vice-versa. A partir d'un poste Win9x comme invité, ça ne fonctionne que dans un sens : de l'hôte vers l'invité.
La redirection de lecteurs locaux qui permet d'accéder aux lecteurs du PC local afin de faciliter les transferts de fichiers entre l'hôte et le PC distant (disques durs, lecteur de disquette, lecteurs réseau mappés). Cela ne fonctionne pas semble t-il si le poste local tourne sous Win 9.x.
La redirection des sons qui permet au poste client de recevoir tous les sons émis depuis le PC hôte et redirection des combinaisons de touches Windows.

Et d'une manière générale, tout ce qu'il est possible de faire sur le PC distant est réalisable à partir d'une connexion Bureau à Distance. On précisera que si l'on met fin à une session, l'ordinateur distant n'est pas nécessairement éteint, c'est l'un des intérêts de ce genre de services, mais le poste distant se retrouve avec l'affichage d'invite de login, les applications continuant de s'exécuter.

A partir du poste distant (l'hôte qui sera ici un poste sous XP), la mise en oeuvre du service de RDP est relativement simple : bouton Démarrer --> Mon ordinateur --> Propriétés. A ce stade, on sélectionne l'onglet Utilisation à distance puis en bas on coche la case Bureau à Distance.

A partir de là, vous pouvez définir les utilisateurs supplémentaires qui auront accès à la machine en cliquant sur le bouton "Choisir les utilisateurs distants". Par défaut en effet, celui qui active cette fonction dispose nécessairement des droits pour contrôler par la suite la machine à distance. Mais on peut choisir d'ajouter d'autres utilisateurs. Evidemment, ce choix sera limité selon vos besoins et la situation de la machine, selon qu'elle appartient à un réseau ou pas.

Dans l'exemple ici, on sélectionne les utilisateurs du réseau en indiquant en premier l'annuaire. De retour à la fenêtre précédente, on tape les noms d'utilisateurs et on clique sur le bouton "vérifier les noms" afin de s'assurer que les utilisateurs définis sont bien ceux inscrits dans l'annuaire. Selon le nombre d'utilisateurs auxquels on souhaite conférer des droits d'accès, on pourra préalablement définir un groupe d'utilisateurs afin de gagner en souplesse et en temps pour la saisie des noms des personnes autorisées.

Pour ceux qui disposent d'un routeur et/ou d'un firewall, le port TCP utilisé par ces services pour communiquer est le 3389.
Contrairement à Terminal Service, un poste Windows XP n'est pas capable d'accepter plusieurs connexions concurrentes. Il ne peut donc y avoir qu'une seule session sur ce poste. Lorsqu'une connexion est établie, la session en cours est arrêtée temporairement, les applications en cours sont sauvegardées dans leur état.
Pour autoriser une prise de contrôle non pas à partir du client habituel mais à partir du Web (TSWEB), autrement dit de votre navigateur Internet Explorer, vous devez activer en premier lieu IIS via le gestionnaire de service (console : "services.msc"). L'accès via le Web implique donc l'installation des fichiers partagés de IIS, de la console d'administration de IIS et du service World Wide Web en plus du composant Connexion Web du Bureau à Distance [Panneau de configuration | Ajouter ou Supprimer des Programmes | Ajout/Suppression de composants Windows | Services Internet IIS | Services World Wide Web | Connexion Web au Bureau à Distance].

Lorsque l'installation est faite, retournez au gestionnaire de l'Ordinateur, Services et Applications | Services Internet (IIS) | Site Web par défaut. Vous constaterez la présence d'un nouveau répertoire virtuel "TSWEB". En éditant les propriétés de ce répertoire virtuel, vous pouvez commencer par vous rendre sur l'onglet Sécurité de répertoire et définir les modes d'accès à ce répertoire en désactivant les connexions anonymes : avant même de pouvoir accéder à la page d'accueil de TSWEB il sera alors demandé au poste client de s'identifier. Voyez un exemple en ligne ici.

Selon votre configuration, toujours dans cette boîte de dialogue vous choisirez donc votre méthode d'authentification : Digest (pour les PC membres d'un domaine), Authentification de Base ou Authentification intégrée de Windows. Référez-vous à l'aide en ligne de IIS, mais retenez que dans la plupart des cas vous ne passerez que par l'authentification de base (peu de sécurité) car l'authentification intégrée suppose en principe chez le client Internet Explorer (et pas les autres browsers) et n'est pas compatible avec un serveur proxy HTTP ou un firewall (on dit en revanche que ça ne fonctionne en PPTP via un proxy ou un firewall). Quant à l'authentification Digest, on a pas tous un Active Directory chez soi...Le niveau de cryptage des communications pourrait empêcher qu'une connexion s'établisse entre le poste client et le poste hôte si le poste client n'est pas capable de crypter en 128 bits qui est la valeur par défaut utilisée pour le Bureau distant. Si tel est le cas, le seul moyen d'abaisser le niveau de cryptage est de lancer la console de stratégie de groupe (voir plus bas). A partir du poste client, la connexion se fait de la manière suivante : il faut ouvrir le navigateur Web (Internet Explorer) et taper l'URL : "NOM_DE_MACHINE\tsweb" (soit, de manière plus complète : http://NOM_DE_MACHINE\tsweb). Dans l'exemple ici, la machine de test se nomme VOLVO. Connexion TSWEB sur poste 2000 Server équipé de TSE Une remarque au passage, l'écran d'accueil de la connexion TSWEB permet de spécifier un nom de serveur. Si vous ne renseignez pas ce champ, vous prendrez alors le contrôle de la machine indiquée dans l'URL (ici VOLVO). Si vous renseignez ce champ, la machine renseignée dans l'URL ne joue que le rôle d'émetteur du contrôle ActiveX nécessaire pour la connexion RDP. EN renseignant ce champ, vous indiquez soit un nom de machine du réseau local, soit une adresse IP, soit un nom de domaine. En fait, la connexion sur un client TSWEB a pour effet de télécharger un contrôle ActiveX de client de connexion Bureau à Distance. Ce client étant téléchargé, il doit pouvoir donner accès aux logins de toutes les machines sur lesquelles tournent des services TSE (NT/2K/XP) et ce n'est pas le serveur IIS de la machine hôte (ici Volvo) qui établit la connexion mais bel et bien la machine invitée (qui doit taper le login et mot de passe) grâce au composant ActiveX.

Avec TSWEB, un administrateur réseau ne se soucis pas de savoir si les clients Bureau à Distance sont installés sur toutes les machines, surtout en présence d'un parc hétéroclite. Idem pour l'utilisateur qui se trouve hors de ses locaux : une connexion Internet suffit et le fait de pouvoir accéder à une machine dotée de TSWEB (et donc de IIS).

Plus de paramètres : Pour accéder à davantage de paramètres sur les services RDP, il faut passer par le gestionnaire des stratégies de groupe. Lancez la console (Démarrer | Exécuter : "gpedit.msc") et déployez l'arborescence sous Configuration Ordinateur | Modèles d'Administration | Composants Windows | Services terminal Server. Dans le dossier "Cryptage et Sécurité", vous pourrez abaisser le niveau de cryptage afin de le rendre compatible avec n'importe quel client. Si tel est votre choix, c'est bien entendu au détriment de la sécurité maximale que peut offrir ce service.

Schéma adapté de celui du Ressources Kit de MS XP en ligne Dans notre exemple, vous double cliquez sur le modèle "Définir le niveau de cryptage de la connexion client", cliquez sur le bouton "Activer" et sélectionner Niveau Haut (valeur par défaut, soit 128 bits) ou "compatible avec le poste client". Il ne faut pas perdre de vue que les différents paramètres auxquels vous pouvez accéder via cette console ne s'appliquent pas nécessairement qu'à des "serveurs" Windows XP, mais aussi à des serveurs Windows 2000 par exemple (filtrez les affichages par le menu Affichage | filtrage). Un autre paramètre à vérifier et à activer est l'obligation de fournir un mot de passe de manière à ce que les utilisateurs ne puissent pas automatiquement ouvrir une session sur un serveur Terminal Server ou accéder à un Bureau à distance en fournissant leur mot de passe dans le client de connexion au Bureau à distance. L'envoi automatique de mot de passe est à proscrire compte tenu du contrôle total que peut exercer sur la machine distante cet outil.

Les modèles applicables au Bureau Distant pour Windows XP dans la console sont les suivants (tirés de l'aide de Windows XP) :

Dossier	Stratégie	Objet
Services Terminal Serveur	Messages persistants	Après qu'un client Terminal Server ait perdu la connexion à un serveur Terminal Server, la session sur le serveur Terminal Server peut rester active au lieu de passer à un état déconnecté, même si le client est déconnecté physiquement du serveur Terminal Server. Si le client ouvre à nouveau une session sur le même serveur Terminal Server, une nouvelle session peut être établie (si la stratégie de groupe est configurée pour autoriser plusieurs sessions), et la session originale peut être toujours active.
	Limiter les utilisateurs à une session à distance	Limite les utilisateurs des serveurs Terminal Server à une seule session distante. Par défaut, le serveur Terminal Server autorise un nombre illimité de sessions actives simultanément ou déconnectées pour chaque utilisateur distant. Utilisez ce paramètre pour limiter le nombre de connexions à distance simultanées à une pour chaque utilisateur. A rapprocher bien sûr du modèle ci-dessus : on ne va pas autoriser une connexion persistante tout en limitant le nom e session à 1.
	Forcer la suppression du papier peint du Bureau à distance	Si vous activez ce paramètre, le papier peint du Bureau n'est jamais affiché sur un client du Bureau à distance, ce qui est mieux pour la fluidité de la connexion.
	Limiter le nombre de connexions	A utiliser pour restreindre le nombre de sessions client qui peuvent être actives sur un Terminal Server. Moins de sessions nécessitent moins de ressources système.
	Limiter le nombre maximal de couleurs	Spécifie la profondeur de couleur maximale. En limitant la profondeur de couleur, on améliore les performances de la connexion et on soulage la charge sur le serveur.
	Ne pas autoriser de nouvelles connexions client	Désactive les nouvelles connexions client au serveur Terminal Server. Ce paramètre empêche les serveurs Terminal Server d'accepter de nouvelles connexions sans mettre fin aux sessions existantes.
	Supprimer l'élément Sécurité Windows du menu Démarrer	Supprime l'élément Sécurité Windows du menu Paramètres sur les clients Terminal Server. En conséquence, les utilisateurs doivent entrer une séquence de touches de sécurité, telle que Ctrl+Alt+Fin, pour ouvrir la boîte de dialogue Sécurité Windows sur un client Terminal Server.
	Supprimer l'élément Déconnecter de la boîte de dialogue Arrêter	L'élément Déconnecter n'apparaît pas dans la liste déroulante des options dans la boîte de dialogue Arrêter Windows. Il n'empêche pas les utilisateurs d'utiliser d'autres méthodes pour déconnecter une session Terminal Server.
Redirection Client/Serveur	Ne pas autoriser la redirection du Presse-papiers	Désactive le partage du contenu du Presse-papiers. Si vous désactivez ce paramètre, la redirection du Presse-papiers est toujours autorisée.
	Ne pas autoriser la redirection du périphérique lecteur de cartes à puce	Désactive la connexion des périphériques de carte à puce dans une session Terminal Server. Le client doit exécuter soit Windows XP, soit Windows 2000. Par défaut, les services Terminal Server connectent les périphériques de carte à puce à la connexion. Si vous activez ce paramètre, les utilisateurs Terminal Server ne peuvent pas utiliser une carte à puce pour ouvrir une session sur un serveur Terminal Server.
	Autoriser la redirection audio	Autorise les utilisateurs à lire les données audio du serveur sur l'ordinateur local ou vice versa. La redirection audio est activée par défaut pour les utilisateurs du Bureau à distance sur Windows Professionnel, mais désactivée pour les connexions Bureau à distance (administration à distance) à Windows Server.
	Ne pas autoriser la redirection de port COM	Désactive la redirection de données vers les ports COM client à partir du serveur. Par défaut les services Terminal Server autorisent les utilisateurs à rediriger les données de ports COM.
	Ne pas autoriser la redirection de l'imprimante client	Désactive la mappage d'imprimantes du client dans des sessions des services Terminal Server. Utilisez ce paramètre pour empêcher les utilisateurs de router des tâches d'impression du serveur vers leur ordinateur local.
	Ne pas autoriser la redirection de port LPT	Idem que ci-dessus pour le ports LPT.
	Ne pas autoriser la redirection de lecteur	Désactive le mappage des lecteurs des clients dans les sessions de services Terminal Server. Par défaut, les services Terminal Server mappent automatiquement les lecteurs du client à la connexion. Les lecteurs mappés apparaissent dans l'arborescence des dossiers de sessions dans l'explorateur Windows ou Poste de travail sous le format \TSClient\<lettre-lecteur>$. Illustration plus haut.
	Ne pas définir l'imprimante par défaut du client pour être l'imprimante par défaut dans une session	Indique au service Terminal Server de ne pas spécifier l'imprimante par défaut du client comme imprimante par défaut dans une session des services Terminal Server. Par défaut, les services Terminal Server désigne automatiquement l'imprimante par défaut du client comme imprimante par défaut dans une session Terminal Server dans une session des services Terminal Server.
Cryptage et Sécurité	Toujours demander au client le mot de passe à la connexion	En activant ce paramètre, les utilisateurs ne peuvent pas automatiquement ouvrir une session sur un serveur Terminal Server ou accéder à un Bureau à distance en fournissant leur mot de passe dans le client de connexion au Bureau à distance.
	Définir le niveau de cryptage de la connexion client	Indique les services Terminal Server à appliquer le niveau de cryptage spécifié pour toutes les données envoyées entre le client et le serveur pendant les connexions des services Terminal Server. Voir plus haut.

Quelques conseils :

L'accès à la console de stratégie de groupe n'est pas une perte de temps si l'on considère les effets des valeurs par défaut qui y sont spécifiées. Pour ne citer que l'essentiel, on pourra retenir :
- Il faut modifier le modèle "Forcer la suppression du papier peint" : il est inutile en effet de prendre le contrôle d'une machine et d'engorger la connexion avec l'affichage du papier peint, quand bien même les technologies RDP et TSE autorisent une mise en cache partielle;
- Editer le modèle de Paramètres de contrôle à distance afin de pouvoir spécifier les degrés d'interaction autorisés lors d'une session entre l'hôte et le client. Imaginez par exemple que vous souhaitez établir une règle pour votre propre machine à distance, vous choisirez alors l'option "Contrôle total sans l'autorisation de l'utilisateur" (surtout si c'est votre chère et tendre qui est en train de faire des conneries sur votre bécane et que vous deviez la secourir à distance....).
- Il convient de définir également par sécurité le délai d'expiration des sessions déconnectées et pour les sessions inactives : dans ce dernier cas, cela évite de laisser votre session ouverte alors que vous vous absentez sans la refermer.
- On veillera enfin à ce qu'un mot de passe soit toujours exigé lors de la connexion afin que le mot de passe que vous avez éventuellement enregistré dans votre connexion RDP ne puisse être utilisé, en votre absence, par un tiers qui pourrait alors disposer du contrôle total de la machine distante.
- Pour établir une session à partir de chez vous ou d'ailleurs sur une machine du réseau (en domaine ou pas) il faut préalablement établir une connexion VPN, de manière à ce que votre machine soit identifiée comme membre du réseau (donc affectée d'une adresse locale).

Vous ne pourrez pas en principe accéder aux propriétés d'affichage du poste distant. Celles-ci sont en effet "perturbées" par la résolution d'affichage de votre console ce qui a pour effet de désactiver l'accès aux paramètres d'affichage du poste distant. De même, prenez garde à ne pas laisser trop longtemps une machine inactive si celle-ci entre en hibernation au bout d'un certain temps d'inactivité, ce qui est typiquement le cas des ordinateurs portables. On ne peut "réveiller" une machine en hibernation qu'en appuyant physiquement sur le bouton Marche/Arrêt de la machine.

Outils complémentaires

On a déjà reproché plus haut à Windows XP Pro de ne pas offrir un client Bureau à Distance en mode console, comme cela peut se trouver sur Windows 2000 Serveur de manière à pouvoir réunir sous une seule console l'ensemble des connexions RDP ou TSE, qu'elles soient d'ailleurs activées ou pas. Il reste toutefois possible de télécharger cette console en se rendant sur le site de Windows 2003 Server, successeur de Windows 2000 Serveur. Dans ce site, vous pouvez télécharger le Kit d'Administration (12 Mo) qui installera notamment le gestionnaire des services TSE (Terminal Service Manager) et la fameuse console (Remote Desktops).

Ces outils fonctionnent très bien et sont en principe destinés à être utilisés sur la version professionnelle de Windows XP. On remarquera à cet égard que le Kit de Ressource Technique en ligne de Microsoft mentionne l'existence d'outils sur la version Pro qui en fait sont absents (signe que cela était prévu à l'origine mais certainement pas disponible au moment du lancement de Windows XP).

Mis en ligne le 25 octobre 2001 / Dernière modification : 12-03-2003