Bonjour,
Pour faire simple, j'ai un TSE sous 2003 qui fonctionne pour une flotte
d'utilisateurs administratifs et commerciaux, TOUS en local.
Je souhaiterais autoriser uniquement les commerciaux à accéder à mon TSE
depuis chez eux via Internet, MAIS PAS les administratifs.
J'ai redirigé le port 3389, TSE est bien accessible depuis l'exterieur,
mais
pour toute ma flotte d'utilisateurs locaux...
Comment faire pour autoriser seulement certaines comptes à attaquer le TSE
depuis l'exterieur ?? je trouve vraiment pas la solution
Merci d'avance pour vos réponses
Cordialement
Bonjour,
Pour faire simple, j'ai un TSE sous 2003 qui fonctionne pour une flotte
d'utilisateurs administratifs et commerciaux, TOUS en local.
Je souhaiterais autoriser uniquement les commerciaux à accéder à mon TSE
depuis chez eux via Internet, MAIS PAS les administratifs.
J'ai redirigé le port 3389, TSE est bien accessible depuis l'exterieur,
mais
pour toute ma flotte d'utilisateurs locaux...
Comment faire pour autoriser seulement certaines comptes à attaquer le TSE
depuis l'exterieur ?? je trouve vraiment pas la solution
Merci d'avance pour vos réponses
Cordialement
Bonjour,
Pour faire simple, j'ai un TSE sous 2003 qui fonctionne pour une flotte
d'utilisateurs administratifs et commerciaux, TOUS en local.
Je souhaiterais autoriser uniquement les commerciaux à accéder à mon TSE
depuis chez eux via Internet, MAIS PAS les administratifs.
J'ai redirigé le port 3389, TSE est bien accessible depuis l'exterieur,
mais
pour toute ma flotte d'utilisateurs locaux...
Comment faire pour autoriser seulement certaines comptes à attaquer le TSE
depuis l'exterieur ?? je trouve vraiment pas la solution
Merci d'avance pour vos réponses
Cordialement
Bonjour,
Pour faire simple, j'ai un TSE sous 2003 qui fonctionne pour une flotte
d'utilisateurs administratifs et commerciaux, TOUS en local.
Je souhaiterais autoriser uniquement les commerciaux à accéder à mon TSE
depuis chez eux via Internet, MAIS PAS les administratifs.
J'ai redirigé le port 3389, TSE est bien accessible depuis l'exterieur, mais
pour toute ma flotte d'utilisateurs locaux...
Comment faire pour autoriser seulement certaines comptes à attaquer le TSE
depuis l'exterieur ?? je trouve vraiment pas la solution
Merci d'avance pour vos réponses
Cordialement
Bonjour,
Pour faire simple, j'ai un TSE sous 2003 qui fonctionne pour une flotte
d'utilisateurs administratifs et commerciaux, TOUS en local.
Je souhaiterais autoriser uniquement les commerciaux à accéder à mon TSE
depuis chez eux via Internet, MAIS PAS les administratifs.
J'ai redirigé le port 3389, TSE est bien accessible depuis l'exterieur, mais
pour toute ma flotte d'utilisateurs locaux...
Comment faire pour autoriser seulement certaines comptes à attaquer le TSE
depuis l'exterieur ?? je trouve vraiment pas la solution
Merci d'avance pour vos réponses
Cordialement
Bonjour,
Pour faire simple, j'ai un TSE sous 2003 qui fonctionne pour une flotte
d'utilisateurs administratifs et commerciaux, TOUS en local.
Je souhaiterais autoriser uniquement les commerciaux à accéder à mon TSE
depuis chez eux via Internet, MAIS PAS les administratifs.
J'ai redirigé le port 3389, TSE est bien accessible depuis l'exterieur, mais
pour toute ma flotte d'utilisateurs locaux...
Comment faire pour autoriser seulement certaines comptes à attaquer le TSE
depuis l'exterieur ?? je trouve vraiment pas la solution
Merci d'avance pour vos réponses
Cordialement
Merci pour vos réponses !
Alors pour TS sur 2008 j'oublie car c'est vraiment pas à l'ordre du jour...
Après quelques recherches et vos réponses, j'ai quelques pistes mais je ne
sais
plus trop vers quoi m'orienter
j'ai vu effectivement tardivement qu'il y avait possibilité de scripter au
login pour accepter ou rejeter. Je le fais d'ailleurs pour mapper, et
également pour lancer un soft d'inventoring.
Je fais la différence entre un "Login local" et un "Login TSE" avec un
fichier permanent sur le TSE testé pendant le script (méthode pas super
élégante mais ca marche bien).
Par contre, récupérer l'IP pour la tester est moyen (d'ailleurs quelle IP ?
celle locale de l'ordinateur distant?). Mais quoi qu'il en soit cette IP peux
changer d'une part, et d'autre part il peut s'agir d'un PC public par exemple.
Autre solution: j'ai trouvé un logiciel gratuit nommé 2xSecureRDP
http://www.2xsoftware.fr/securerdp/
je ne sais pas si vous connaissez, mais pas mal à 1ere vue. Après quelques
test sur un bureau à distance classique, cela fonctionne bien. Il est capable
de filtrer sur IP, nom de poste et MAC notamment.
Mais je suis moyennement satisfait encore une fois (!). Sur IP c'est bien
pour accepter les TSE locaux. Par nom de poste c'est pas mal, mais rien
n'empeche quelqu'un de nommer son poste de manière à acceder au TSE depuis
l'exterieur, et MAC adresse c'était vraiment bien (mise à part pour les PC
d'hotels) mais la MAC adresse visiblement ne transite pas avec la requette
via Internet et donc pas moyen de filtrer. De plus, les règles de filtrages
de ce soft sont moyennement fiables.
Ensuite, une autre solution qu'on m'a proposé sur un autre forum (je le dis
ca peux interresser sait-on jamais?), c'est de jouer avec 2 cartes réseaux.
je cite:
"Perso je rajouterai une 2ème carte réseau sur le serveur TS ...
Ensuite tu crées une deuxième connexion RDP que tu paramètres sur la
deuxième carte réseau ... Tu modifies la première pour pointer sur la
première ...
Tu modifies la sécurité de la premiere pour mettre tes users Local et la
sécurité de la deuxième pour le groupe externe ...
Tu modifies eventuellement le port d'écoute de la deuxième carte ex (3333 au
lieu de 3389) ... et tu peux alors rediriger le port TCP entrant 3389 de ton
FW vers l'@ ip de ta carte n°2..."
Là je dois dire que bien que je comprends globalement le concept, j'ai pas
compris grand chose dans son application précise. J'ai bien 2 cartes réseaux
mais je préfère les garder en teaming. mais ca peux être une solution de
dernier recours, je ne sais pas ce que vous en pensez.
Alors, après tout ca, j'en arrive à la conclusion suivante, la solution la
plus souple est le script mais je ne m'y connais pas beaucoup. Je ne sais
même pas quelles var. d'environnement sont mises à ma disposition.
Dans l'idéal, tant qu'à faire un script, est-il possible de:
- récupérer la MAC address, si SecureRDP arrive à récupérer la MAC en TSE
local et non en TSE externe, cela peux être une point de distinguo important
entre TSE local et TSE externe
- si la MAC address est vide, alors demander un mot de passe spécial accès
TSE externe, sinon, se connecter de manière normale
- logoff si mot de passe invalide
Pour moi la difficulté d'un tel script est de retrouver la MAC address, et
de demander un mot de passe, et d'ailleurs, script en DOS ou script en VB
(jamais fais mais c'est l'occasion)
Merci pour vos avis
Désolé pour la longueur du texte...
Cordialement
Merci pour vos réponses !
Alors pour TS sur 2008 j'oublie car c'est vraiment pas à l'ordre du jour...
Après quelques recherches et vos réponses, j'ai quelques pistes mais je ne
sais
plus trop vers quoi m'orienter
j'ai vu effectivement tardivement qu'il y avait possibilité de scripter au
login pour accepter ou rejeter. Je le fais d'ailleurs pour mapper, et
également pour lancer un soft d'inventoring.
Je fais la différence entre un "Login local" et un "Login TSE" avec un
fichier permanent sur le TSE testé pendant le script (méthode pas super
élégante mais ca marche bien).
Par contre, récupérer l'IP pour la tester est moyen (d'ailleurs quelle IP ?
celle locale de l'ordinateur distant?). Mais quoi qu'il en soit cette IP peux
changer d'une part, et d'autre part il peut s'agir d'un PC public par exemple.
Autre solution: j'ai trouvé un logiciel gratuit nommé 2xSecureRDP
http://www.2xsoftware.fr/securerdp/
je ne sais pas si vous connaissez, mais pas mal à 1ere vue. Après quelques
test sur un bureau à distance classique, cela fonctionne bien. Il est capable
de filtrer sur IP, nom de poste et MAC notamment.
Mais je suis moyennement satisfait encore une fois (!). Sur IP c'est bien
pour accepter les TSE locaux. Par nom de poste c'est pas mal, mais rien
n'empeche quelqu'un de nommer son poste de manière à acceder au TSE depuis
l'exterieur, et MAC adresse c'était vraiment bien (mise à part pour les PC
d'hotels) mais la MAC adresse visiblement ne transite pas avec la requette
via Internet et donc pas moyen de filtrer. De plus, les règles de filtrages
de ce soft sont moyennement fiables.
Ensuite, une autre solution qu'on m'a proposé sur un autre forum (je le dis
ca peux interresser sait-on jamais?), c'est de jouer avec 2 cartes réseaux.
je cite:
"Perso je rajouterai une 2ème carte réseau sur le serveur TS ...
Ensuite tu crées une deuxième connexion RDP que tu paramètres sur la
deuxième carte réseau ... Tu modifies la première pour pointer sur la
première ...
Tu modifies la sécurité de la premiere pour mettre tes users Local et la
sécurité de la deuxième pour le groupe externe ...
Tu modifies eventuellement le port d'écoute de la deuxième carte ex (3333 au
lieu de 3389) ... et tu peux alors rediriger le port TCP entrant 3389 de ton
FW vers l'@ ip de ta carte n°2..."
Là je dois dire que bien que je comprends globalement le concept, j'ai pas
compris grand chose dans son application précise. J'ai bien 2 cartes réseaux
mais je préfère les garder en teaming. mais ca peux être une solution de
dernier recours, je ne sais pas ce que vous en pensez.
Alors, après tout ca, j'en arrive à la conclusion suivante, la solution la
plus souple est le script mais je ne m'y connais pas beaucoup. Je ne sais
même pas quelles var. d'environnement sont mises à ma disposition.
Dans l'idéal, tant qu'à faire un script, est-il possible de:
- récupérer la MAC address, si SecureRDP arrive à récupérer la MAC en TSE
local et non en TSE externe, cela peux être une point de distinguo important
entre TSE local et TSE externe
- si la MAC address est vide, alors demander un mot de passe spécial accès
TSE externe, sinon, se connecter de manière normale
- logoff si mot de passe invalide
Pour moi la difficulté d'un tel script est de retrouver la MAC address, et
de demander un mot de passe, et d'ailleurs, script en DOS ou script en VB
(jamais fais mais c'est l'occasion)
Merci pour vos avis
Désolé pour la longueur du texte...
Cordialement
Merci pour vos réponses !
Alors pour TS sur 2008 j'oublie car c'est vraiment pas à l'ordre du jour...
Après quelques recherches et vos réponses, j'ai quelques pistes mais je ne
sais
plus trop vers quoi m'orienter
j'ai vu effectivement tardivement qu'il y avait possibilité de scripter au
login pour accepter ou rejeter. Je le fais d'ailleurs pour mapper, et
également pour lancer un soft d'inventoring.
Je fais la différence entre un "Login local" et un "Login TSE" avec un
fichier permanent sur le TSE testé pendant le script (méthode pas super
élégante mais ca marche bien).
Par contre, récupérer l'IP pour la tester est moyen (d'ailleurs quelle IP ?
celle locale de l'ordinateur distant?). Mais quoi qu'il en soit cette IP peux
changer d'une part, et d'autre part il peut s'agir d'un PC public par exemple.
Autre solution: j'ai trouvé un logiciel gratuit nommé 2xSecureRDP
http://www.2xsoftware.fr/securerdp/
je ne sais pas si vous connaissez, mais pas mal à 1ere vue. Après quelques
test sur un bureau à distance classique, cela fonctionne bien. Il est capable
de filtrer sur IP, nom de poste et MAC notamment.
Mais je suis moyennement satisfait encore une fois (!). Sur IP c'est bien
pour accepter les TSE locaux. Par nom de poste c'est pas mal, mais rien
n'empeche quelqu'un de nommer son poste de manière à acceder au TSE depuis
l'exterieur, et MAC adresse c'était vraiment bien (mise à part pour les PC
d'hotels) mais la MAC adresse visiblement ne transite pas avec la requette
via Internet et donc pas moyen de filtrer. De plus, les règles de filtrages
de ce soft sont moyennement fiables.
Ensuite, une autre solution qu'on m'a proposé sur un autre forum (je le dis
ca peux interresser sait-on jamais?), c'est de jouer avec 2 cartes réseaux.
je cite:
"Perso je rajouterai une 2ème carte réseau sur le serveur TS ...
Ensuite tu crées une deuxième connexion RDP que tu paramètres sur la
deuxième carte réseau ... Tu modifies la première pour pointer sur la
première ...
Tu modifies la sécurité de la premiere pour mettre tes users Local et la
sécurité de la deuxième pour le groupe externe ...
Tu modifies eventuellement le port d'écoute de la deuxième carte ex (3333 au
lieu de 3389) ... et tu peux alors rediriger le port TCP entrant 3389 de ton
FW vers l'@ ip de ta carte n°2..."
Là je dois dire que bien que je comprends globalement le concept, j'ai pas
compris grand chose dans son application précise. J'ai bien 2 cartes réseaux
mais je préfère les garder en teaming. mais ca peux être une solution de
dernier recours, je ne sais pas ce que vous en pensez.
Alors, après tout ca, j'en arrive à la conclusion suivante, la solution la
plus souple est le script mais je ne m'y connais pas beaucoup. Je ne sais
même pas quelles var. d'environnement sont mises à ma disposition.
Dans l'idéal, tant qu'à faire un script, est-il possible de:
- récupérer la MAC address, si SecureRDP arrive à récupérer la MAC en TSE
local et non en TSE externe, cela peux être une point de distinguo important
entre TSE local et TSE externe
- si la MAC address est vide, alors demander un mot de passe spécial accès
TSE externe, sinon, se connecter de manière normale
- logoff si mot de passe invalide
Pour moi la difficulté d'un tel script est de retrouver la MAC address, et
de demander un mot de passe, et d'ailleurs, script en DOS ou script en VB
(jamais fais mais c'est l'occasion)
Merci pour vos avis
Désolé pour la longueur du texte...
Cordialement
Emmanuel, en relisant ton poste,
Finalement, le plus simple est surement un script après login et tester le
groupe du user qui se connecte, et logoff s'il est pas dans le bon groupe.
(quiz de la sécurité par contre...vu qu'il y a connexion et pas refus en
amont..?)
mais petite question, l'IP que l'on récupère dans un tel script, c'est l'IP1
locale du PC distant / l'IP2 public du routeur distant / l'IP3 public du
routeur du site du TSE / l'IP4 locale du routeur du site du TSE ?
Si c'est l'IP1, elle pourrait très bien se trouver dans la plage définie sur
le site TSE... donc problème de sécurité quand même. (et dans ce cas
peut-être mieux vaut se diriger vers la récup. de la MAC?)
Sinon, c'est tout bon ya plus qu'à effectivement :)
En tout cas merci encore pour toutes ces infos !
Emmanuel, en relisant ton poste,
Finalement, le plus simple est surement un script après login et tester le
groupe du user qui se connecte, et logoff s'il est pas dans le bon groupe.
(quiz de la sécurité par contre...vu qu'il y a connexion et pas refus en
amont..?)
mais petite question, l'IP que l'on récupère dans un tel script, c'est l'IP1
locale du PC distant / l'IP2 public du routeur distant / l'IP3 public du
routeur du site du TSE / l'IP4 locale du routeur du site du TSE ?
Si c'est l'IP1, elle pourrait très bien se trouver dans la plage définie sur
le site TSE... donc problème de sécurité quand même. (et dans ce cas
peut-être mieux vaut se diriger vers la récup. de la MAC?)
Sinon, c'est tout bon ya plus qu'à effectivement :)
En tout cas merci encore pour toutes ces infos !
Emmanuel, en relisant ton poste,
Finalement, le plus simple est surement un script après login et tester le
groupe du user qui se connecte, et logoff s'il est pas dans le bon groupe.
(quiz de la sécurité par contre...vu qu'il y a connexion et pas refus en
amont..?)
mais petite question, l'IP que l'on récupère dans un tel script, c'est l'IP1
locale du PC distant / l'IP2 public du routeur distant / l'IP3 public du
routeur du site du TSE / l'IP4 locale du routeur du site du TSE ?
Si c'est l'IP1, elle pourrait très bien se trouver dans la plage définie sur
le site TSE... donc problème de sécurité quand même. (et dans ce cas
peut-être mieux vaut se diriger vers la récup. de la MAC?)
Sinon, c'est tout bon ya plus qu'à effectivement :)
En tout cas merci encore pour toutes ces infos !
Juste pour revenir avec l'adr. MAC,
Le but en soit n'était pas de connaitre la MAC, mais de savoir si on
pouvait
l'obtenir. (c'est ce que SecureRDP renvoie en tout cas, en local la MAC
est
renseignée et pas en externe).
Donc c'est une indication d'accès externe ou non. mais la MAC en elle même
ne servirai pas de filtrage. Bon enfin, quoi qu'il en soit j'ai rien
trouvé
pour la récupérer.
Quant à la solution basée sur le filtrage IP puis tests des groupes de
users.
J'ai fais quelques tests, donc avec WTSManager. le problème c'est que l'IP
récupérée est l'IP1 (dans la note précédente). C'est à dire l'IP locale de
la
machine distante.
Donc le filtrage par IP me parait un peu aléatoire.
Cas de figure, sur mon AD, mes users sont de 1.2.3.10 à 1.2.3.100.
Si le PC distant a une IP locale (totalement indépendante de l'AD...) de
2.3.4.X le filtrage marchera, si par manque de bol, l'IP locale du PC
externe
est 1.2.3.48
--> le script va croire que c'est un PC du site et donc... va se connecter
sans problème sans le test sur le groupe....
Même si ma plage actuelle n'est pas une plage la plus standard possible
(ie
192.168.0.x), il est quand même facile de retomber dessus :(
C'est dingue qu'il n'y pas une petite information à récupérer pour savoir
si
le client TSE est en dehors de l'AD ou non.
En tout cas, j'ai bien avancé grâce à vous, merci!
Cordialement
Juste pour revenir avec l'adr. MAC,
Le but en soit n'était pas de connaitre la MAC, mais de savoir si on
pouvait
l'obtenir. (c'est ce que SecureRDP renvoie en tout cas, en local la MAC
est
renseignée et pas en externe).
Donc c'est une indication d'accès externe ou non. mais la MAC en elle même
ne servirai pas de filtrage. Bon enfin, quoi qu'il en soit j'ai rien
trouvé
pour la récupérer.
Quant à la solution basée sur le filtrage IP puis tests des groupes de
users.
J'ai fais quelques tests, donc avec WTSManager. le problème c'est que l'IP
récupérée est l'IP1 (dans la note précédente). C'est à dire l'IP locale de
la
machine distante.
Donc le filtrage par IP me parait un peu aléatoire.
Cas de figure, sur mon AD, mes users sont de 1.2.3.10 à 1.2.3.100.
Si le PC distant a une IP locale (totalement indépendante de l'AD...) de
2.3.4.X le filtrage marchera, si par manque de bol, l'IP locale du PC
externe
est 1.2.3.48
--> le script va croire que c'est un PC du site et donc... va se connecter
sans problème sans le test sur le groupe....
Même si ma plage actuelle n'est pas une plage la plus standard possible
(ie
192.168.0.x), il est quand même facile de retomber dessus :(
C'est dingue qu'il n'y pas une petite information à récupérer pour savoir
si
le client TSE est en dehors de l'AD ou non.
En tout cas, j'ai bien avancé grâce à vous, merci!
Cordialement
Juste pour revenir avec l'adr. MAC,
Le but en soit n'était pas de connaitre la MAC, mais de savoir si on
pouvait
l'obtenir. (c'est ce que SecureRDP renvoie en tout cas, en local la MAC
est
renseignée et pas en externe).
Donc c'est une indication d'accès externe ou non. mais la MAC en elle même
ne servirai pas de filtrage. Bon enfin, quoi qu'il en soit j'ai rien
trouvé
pour la récupérer.
Quant à la solution basée sur le filtrage IP puis tests des groupes de
users.
J'ai fais quelques tests, donc avec WTSManager. le problème c'est que l'IP
récupérée est l'IP1 (dans la note précédente). C'est à dire l'IP locale de
la
machine distante.
Donc le filtrage par IP me parait un peu aléatoire.
Cas de figure, sur mon AD, mes users sont de 1.2.3.10 à 1.2.3.100.
Si le PC distant a une IP locale (totalement indépendante de l'AD...) de
2.3.4.X le filtrage marchera, si par manque de bol, l'IP locale du PC
externe
est 1.2.3.48
--> le script va croire que c'est un PC du site et donc... va se connecter
sans problème sans le test sur le groupe....
Même si ma plage actuelle n'est pas une plage la plus standard possible
(ie
192.168.0.x), il est quand même facile de retomber dessus :(
C'est dingue qu'il n'y pas une petite information à récupérer pour savoir
si
le client TSE est en dehors de l'AD ou non.
En tout cas, j'ai bien avancé grâce à vous, merci!
Cordialement