Sommaire

Mise en œuvre des services Bureau à distance

D’un point de vue technique, les services Bureau à distance sont déjà installés par défaut, mais arrêtés, avec Windows Server 2016. Contrairement aux versions précédentes de Windows, antérieures à Windows Server 2008 R2, ils sont désormais exécutés avec le compte « Service Réseau » au lieu du compte « Système local ». La sécurité du système est améliorée, car une faille dans le service a moins d’impact qu’auparavant. Comme expliqué dans la base de connaissance Microsoft (KB946399), le compte « Service Réseau » a besoin de trois privilèges pour lancer les services Bureau à distance :

  • Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege).

  • Générer des audits de sécurité (SeAuditPrivilege).

  • Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege).

Ces trois privilèges ne doivent pas être retirés au compte (par GPO...), sous peine de ne plus pouvoir exécuter les services. Depuis Windows Server 2008, il est cependant possible d’arrêter le service RDS, ce qui n’était pas le cas avant. Vous pouvez vérifier l’état actuel du service ainsi que les états acceptés par le service en utilisant la ligne de commande suivante ...