Le protocole RDP et le Bureau à distance pour les débutants
Sommaire
I. Présentation
Dans cet article, nous allons parler du protocole RDP et du Bureau à distance qui est le service associé à ce protocole incontournable depuis plusieurs dizaines d'années. Encore un élément important à connaître pour tous les techniciens et administrateurs système !
II. Qu'est-ce que le protocole RDP ?
Le protocole RDP pour Remote Desktop Protocol est un protocole qui permet de se connecter à distance à une autre machine (poste de travail ou serveur), en visualisant l'environnement de la machine distante (interface graphique, programmes, etc.). Généralement, le protocole RDP est utilisé pour administrer un serveur Windows Server à partir d'un autre serveur ou d'un poste de travail.
Une connexion établie avec le protocole RDP s'appuie sur le port 3389 et sur le protocole de transport TCP (ou UDP, selon la configuration). Ce numéro de port peut être personnalisé, comme pour d'autres services tels que le SSH.
Ce protocole n'est pas nouveau puisqu'il existe depuis Windows NT 4.0, bien qu'il ait continué d'évoluer au fil des versions de Windows. Au-delà de permettre à l'utilisateur de visualiser l'environnement de la machine distante, le RDP prend en charge d'autres fonctionnalités comme le partage du presse-papiers, ainsi la redirection des disques locaux et des imprimantes dans la session distante. Par exemple, grâce à la redirection d'une imprimante locale sur la machine distante via le protocole RDP, il est possible d'imprimer sur l'imprimante locale un document situé sur la machine distante.
III. Le Bureau à distance
Le Bureau à distance est une application qui va permettre d'effectuer une connexion à distance à une autre machine en utilisant le protocole RDP. Il s'agit d'un service Windows utilisé pour l'accès à distance sur un PC / un serveur.
Comme évoqué précédemment, un administrateur système peut gérer un serveur à distance via une connexion Bureau à distance. Cela est vrai aussi pour un poste de travail, que ce soit en Windows 10, Windows 11 ou des versions plus anciennes. On peut affirmer que le Bureau à distance est intéressant dans plusieurs scénarios, dont l'administration à distance et la téléassistance.
Toutefois, il est important de préciser que si l'on se connecte sur un poste de travail avec le Bureau à distance, l'utilisateur ne peut pas voir ce que vous faites à l'écran. Il y a une perte de visibilité pour la personne située devant l'écran, que ce soit sur un ordinateur ou un serveur. C'est une contrainte importante lorsque l'on effectue de la téléassistance.
Sous Windows et Windows Server, l'application native "Connexion Bureau à distance" (ou mstsc.exe) permet d'établir une connexion à distance (via RDP) sur une autre machine. Il suffit de préciser le nom complet (DNS) de la machine sur laquelle on souhaite se connecter, ou éventuellement son nom court ou son adresse IP. Toutefois, il est recommandé d'utiliser le nom complet. Ensuite, on clique sur "Connexion" et il faudra s'authentifier avec un compte utilisateur (disposant des autorisations nécessaires).
Dans l'exemple ci-dessous, on peut voir que la machine locale Windows 11 me permet d'administrer à distance un serveur ! Je visualise bien l'interface graphique de ce serveur, comme si j'étais connecté physiquement dessus.
IV. Comment activer (et configurer) le Bureau à distance ?
Par défaut, l'accès Bureau à distance est désactivé sur Windows et Windows Server. De ce fait, si l'on veut se connecter à distance sur une machine, il convient d'activer le Bureau à distance au préalable. Cela s'effectue manuellement sur chaque machine, ou par GPO.
A. Activer le Bureau à distance sous Windows Server
Sur Windows Server, l'accès "Bureau à distance" que l'on appelle couramment l'accès RDP s'active à partir du "Gestionnaire de serveur". Dans la section "Serveur local", il y a un paramètre nommé "Bureau à distance" qui indique l'état du service. Lorsque c'est désactivé (valeur par défaut), il n'est pas possible de se connecter en RDP sur la machine, mais cette même machine peut se connecter sur une autre machine où le Bureau à distance est actif.
En cliquant sur "Activé" ou "Désactivé", on accède directement à l'interface permettant de changer l'état du Bureau à distance. Pour activer les connexions, la valeur "Autoriser les connexions à distance à cet ordinateur" doit être sélectionnée.
Note : il est fortement recommandé de cocher l'option "N'autoriser que la connexion des ordinateurs exécutant le Bureau à distance avec authentification NLA" pour l'authentification s'effectue via le réseau avant d'accéder à la machine distante, plutôt que sur l'environnement de connexion Windows de la machine distante. Ceci permet de se protéger contre certaines attaques, notamment du brute force.
Il ne reste plus qu'à cliquer sur "OK" ! L'effet est immédiat. Si cela ne fonctionne pas, il faudra vérifier l'état du pare-feu de Windows ou de la solution de protection afin d'autoriser les connexions entrantes sur le port 3389.
B. Activer le Bureau à distance sous Windows 11
Pour activer le Bureau à distance sur Windows 11 (ou une autre version), ce n'est pas plus compliqué que sur Windows Server. Le chemin et l'interface graphique sont différents, c'est tout.
Sur Windows 11, l'accès RDP s'active dans les "Paramètres" du système en suivant le chemin suivant : Paramètres > Système > Bureau à distance. Ici, on retrouve un bouton qui indique l'état actuel de l'accès RDP. Il suffit de cliquer dessus pour changer l'état et de confirmer.
Lorsque l'on configure le "Bureau à distance" par stratégie de groupe, l'état s'affiche tout de même dans les paramètres du système avec la mention "Certains paramètres sont gérés par votre entreprise". On peut voir aussi le numéro de port du Bureau à distance, ici le port "13389" qui est un port personnalisé.
Dès que l'accès est activé, il est opérationnel.
C. Qui est autorisé à se connecter en Bureau à distance ?
Ce n'est pas parce que l'accès "Bureau à distance" est activé sur un ordinateur ou un serveur que n'importe quel utilisateur est en mesure de se connecter. Par défaut, un utilisateur ne pourra pas se connecter en RDP sur un poste de travail ou un serveur (et heureusement !).
Pour disposer d'un accès en Bureau à distance sur une machine, il y a deux options :
- Être Administrateur (du domaine ou de la machine), ce qui intègre l'accès au Bureau à distance
- Être membre du groupe "Utilisateurs du Bureau à distance", ce qui donne l'accès au Bureau à distance sans pour autant être administrateur
Ensuite, il est à noter qu'il y a des restrictions sur le nombre de connexions simultanées qu'il peut y avoir sur un serveur ou un poste de travail.
Si l'on prend l'exemple d'une machine Windows 10 ou Windows 11, il ne peut y avoir qu'une seule connexion RDP à la fois sur cette machine. Il existe des techniques pour supprimer cette limitation, mais c'est illégal vis-à-vis du contrat d'utilisation de Windows. Toutefois, il existe une façon légale via Windows Multisession disponible par l'intermédiaire du service Azure Virtual Desktop. En ce qui concerne Windows Server, la limite est de deux connexions simultanées. Si vous avez besoin de plus, il faudra mettre en place le rôle RDS.
V. Bureau à distance VS RDS
Lorsque l'on travaille en environnement Microsoft, il est important de ne pas confondre le "Bureau à distance" et les "Services bureau à distance", bien qu'il soit proche d'un point de vue fonctionnel. Vous l'aurez compris, le "Bureau à distance" sert à effectuer de l'administration à distance (ou de la téléassistance) via le protocole RDP.
Quant au Remote Desktop Services (RDS), anciennement Terminal Services (TSE), c'est un rôle de Windows Server qui permet d'établir des connexions à distance également, avec le protocole RDP aussi, mais dans un autre but ! En effet, un serveur RDS a pour objectif d'accueillir les connexions de nombreux utilisateurs (10, 50, 100 utilisateurs...) pour leur mettre à disposition une session sur le serveur. Généralement, on utilise ce type de serveur pour mettre à disposition une application métier (pour la comptabilité, par exemple).
Dans ce cas, le serveur héberge l'application et l'utilisateur se connecte en RDP pour l'utiliser, et ce dernier retrouve sa session dans le même état, peu importe l'ordinateur utilisé pour établir la connexion.
Ce rôle n'est pas installé par défaut, car il n'y a pas besoin du rôle RDS pour établir une connexion Bureau à distance. De plus, le Bureau à distance est inclus dans la licence Windows, tandis que pour le RDS, il faut acquérir des licences CAL RDS (c'est-à-dire des licences d'accès par utilisateur ou par PC)
VI. Centraliser la gestion des connexions RDP à ses serveurs
En tant qu'administrateur système, vous allez très souvent recourir à l'utilisation du Bureau à distance pour administrer un serveur Windows Server. De ce fait, si vous administrez une infrastructure Microsoft avec plusieurs serveurs (physiques ou virtuels), vous allez rapidement avoir beaucoup de connexions à gérer ! Difficile de retenir le nom de tous les serveurs, et c'est encore plus vrai si vous intervenez chez une multitude de clients...!
Heureusement, il existe des outils pour centraliser et gérer les connexions Bureau à distance (et pas seulement !). Dans ce logiciel, vous pourrez créer un inventaire des connexions vers vos serveurs, avec la possibilité de gérer les identifiants associés à chaque connexion. Il existe des solutions plus ou moins évoluées qui peuvent supporter différents protocoles pour gérer l'ensemble de vos connexions : RDP, SSH, HTTPS, FTP, etc...
Quelques exemples :
- Remote Desktop Connection Manager (Microsoft) : RDP uniquement
- mRemoteNG (open source) : RDP, VNC, SSH, HTTP, HTTPS, etc.
- RoyalTS (gratuit jusqu'à 10 connexions) : RDP, VNC, SSH, HTTP, HTTPS, TeamViewer, Hyper-V, etc.
- Remote Desktop Manager (Devolutions) : RDP, VNC, SSH, HTTP, HTTPS, FTP, GoToAssist, etc.
Je vous recommande vivement d'utiliser un logiciel pour gérer vos connexions ! Au quotidien, c'est un gain de temps précieux.
VII. Conclusion
Cette initiation au protocole RDP et au principe du Bureau à distance touche à sa fin ! N'hésitez pas à regarder la vidéo pour voir une démonstration plus interactive.
Bonjour;
Pensez-vous réaliser un article concernant le service « Azure Virtual Desktop » dont vous parlez dans cet article ?
Cela m’intéresserait beaucoup, pour ensuite pouvoir mettre en place cette solution pour un de mes clients.
Merci Florian pour cette video
il est possible de modifier le port du RDP par defaut via le registre
Démarrez l’éditeur du registre. …
Naviguez jusqu’à la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
Trouver NuméroPort.
Cliquez sur Édition > Modifier, puis sur Décimal.
Tapez le numéro du nouveau port, puis cliquez sur OK.
Il manque mobaXterm dans cette liste alors qu’il est tout aussi complet : ssh , vnc, rdp, tftp …sans oublier le port série 😁
Merci beaucoup pour l’article Florian!
comment garder l’ordinateur à distance connecter visible ?
Bonjour, je poste ce message au cas où, ne trouvant pas la réponse et ayant des compétences informatiques limitées!(très!)…Suite à une mise à jour de Windows 11, j’ai perdu tous les accès aux fichiers de mon disque dur. Après X manips, j’ai fait une réinitialisation et ça semble refonctionner… sauf que, je me connectais sur ce PC via un autre PC avec « Connexion Bureau à Distance »(ça se faisait automatiquement avec des identifiants enregistrés) et maintenant impossible de m’y reconnecter…il me dit que mes identifiants ne sont pas bons… j’imagine que ça vient de mon mot de passe associé à la connexion… j’essaie de trouver comment re paramétrer ces identifiants, mais je ne trouve pas…. si vous pouvez m’aider?! un grand merci !! Belle journée.