Un serveur RDS (Remote Desktop Services, services de bureau à distance de Microsoft) permet à vos utilisateurs d'accéder à des applications et des environnements de travail complets depuis n'importe quel appareil connecté, sans que ces applications soient installées sur leur poste. En clair, c'est la technologie qui centralise vos outils métier sur un serveur et les diffuse à distance, particulièrement utile pour le télétravail, les entreprises multisites ou les postes partagés. Sur le terrain, le RDS séduit par sa centralisation, qui simplifie l'administration et réduit les coûts de maintenance, mais il appelle une vraie rigueur sur deux points : la sécurité des accès et la gestion des licences. La vraie question n'est pas « comment installer un RDS », mais « comment le déployer de façon sécurisée et conforme ». Voyons cela, de la publication d'applications à la configuration sécurisée.
Qu'est-ce qu'un serveur RDS et de quels composants se compose-t-il ?
Avant de configurer, il faut comprendre que le RDS n'est pas un bloc unique mais un ensemble de rôles complémentaires. Trois composants principaux structurent un déploiement.
| Composant | Rôle |
|---|---|
| Hôte de session (RD Session Host) | Héberge les bureaux et applications partagés |
| Passerelle (RD Gateway) | Sécurise les connexions venant de l'extérieur |
| Serveur de licences (RD Licensing) | Gère les licences d'accès CAL |
L'hôte de session est le cœur : c'est lui qui fait tourner les applications et les bureaux que les utilisateurs voient à distance. La passerelle RDP (RD Gateway) sécurise les connexions externes en les faisant transiter par un canal chiffré. Le serveur de licences gère les CAL (Client Access Licenses), indispensables pour chaque utilisateur ou appareil. À ces rôles s'ajoute souvent un broker (RD Connection Broker), qui répartit la charge entre plusieurs hôtes. Pour un déploiement solide, prévoyez un hôte bien dimensionné (mémoire, processeur, stockage SSD), une passerelle pour les accès distants, un broker si vous avez plusieurs serveurs, et des licences CAL valides.

Comment publier une application avec RDS (RemoteApp) ?
Publier une application signifie la rendre accessible à distance tout en l'exécutant sur le serveur. C'est le rôle de RemoteApp, qui affiche l'application localement comme si elle était installée sur le poste de l'utilisateur.
Le prérequis est d'avoir un déploiement RDS fonctionnel et les licences nécessaires. La publication se fait ensuite via le Gestionnaire de serveur : rendez-vous dans Services Bureau à distance, puis dans les Collections, sélectionnez la collection souhaitée. Dans le menu Tâches, choisissez « Publier des programmes RemoteApp », sélectionnez l'application dans la liste, puis ajoutez et confirmez. Une fois publiée, l'application s'exécute sur le serveur mais s'affiche sur l'écran de l'utilisateur, qui l'utilise sans savoir qu'elle tourne ailleurs. Concrètement, cela permet de centraliser une application métier sur le serveur tout en offrant à chacun l'impression d'un usage local.
À retenir : RemoteApp publie une application qui tourne sur le serveur mais s'affiche localement, ce qui centralise la maintenance (une seule installation à gérer). Veillez à publier dans la bonne collection et à vérifier les permissions des utilisateurs, deux sources d'erreurs fréquentes.
Comment sécuriser les accès RDS (passerelle RDP, MFA) ?
C'est le point le plus critique, car un RDS mal sécurisé est une cible de choix pour les attaques. Deux mesures sont indispensables : la passerelle RDP et l'authentification multifacteur.
La passerelle RDP (RD Gateway) fait transiter les connexions par le protocole HTTPS, ce qui apporte trois bénéfices : elle masque le port RDP classique (le 3389), constamment ciblé par les attaques, centralise l'authentification et le contrôle d'accès, et renforce la traçabilité des connexions. Sa mise en place consiste à installer le rôle, l'associer à un certificat SSL/TLS, configurer les politiques de connexion et ouvrir le port 443 sur le pare-feu, puis tester. L'authentification multifacteur (MFA, qui combine le mot de passe à un second facteur comme un code sur mobile) est aujourd'hui indispensable pour tout accès distant : elle réduit drastiquement le risque en cas de vol d'identifiants. Des solutions comme UserLock permettent d'imposer cette MFA, de limiter les connexions simultanées, de surveiller les sessions actives et de déconnecter à distance un utilisateur suspect.

Comment installer un serveur RDS avec PowerShell ?
PowerShell permet d'automatiser et de reproduire le déploiement, un vrai gain pour un administrateur. Voici les étapes clés, à exécuter en mode administrateur sur un serveur joint à un domaine Active Directory (Windows Server 2016, 2019 ou 2022).
- Installer les rôles RDS de base :
Install-WindowsFeature -Name RDS-RD-Server, RDS-Connection-Broker, RDS-Web-Access -IncludeAllSubFeature -IncludeManagementTools -Restart - Créer le déploiement (en définissant d'abord la variable
$Serveravec le nom complet du serveur) :Import-Module RemoteDesktopNew-RDSessionDeployment -ConnectionBroker $Server -WebAccessServer $Server -SessionHost $Server - Créer une collection de sessions :
New-RDSessionCollection -CollectionName "Collection-RDS" -SessionHost $Server -ConnectionBroker $Server -CollectionDescription "Bureaux RDS" - Publier une application RemoteApp (optionnel) :
New-RDRemoteApp -CollectionName "Collection-RDS" -Alias "BlocNotes" -DisplayName "Bloc-notes" -FilePath "C:\Windows\System32\notepad.exe" - Vérifier le déploiement :
Get-RDServer,Get-RDSessionCollection,Get-RDRemoteApp
L'intérêt de PowerShell est double : il accélère le déploiement et le rend reproductible sur plusieurs serveurs, ce qui est précieux pour des environnements cloud ou multiserveurs. Adaptez les noms de serveur, de collection et les chemins à votre contexte.
Comment gérer les licences CAL et optimiser un serveur RDS ?
Deux sujets pratiques conditionnent un RDS conforme et performant : les licences et l'optimisation. Les négliger expose à des dysfonctionnements et à des risques de non-conformité.
Côté licences, chaque utilisateur ou appareil se connectant au RDS a besoin d'une CAL (Client Access License). La configuration passe par l'installation du rôle Remote Desktop Licensing, l'activation du serveur de licences, l'ajout des licences via la clé Microsoft, et l'association au déploiement. Deux modèles existent : la CAL par utilisateur (User CAL), idéale quand une personne utilise plusieurs appareils, courante en télétravail ; et la CAL par appareil (Device CAL), adaptée aux postes partagés (ateliers, écoles) où plusieurs utilisateurs se relaient sur un même terminal. Côté optimisation, plusieurs leviers améliorent les performances : utiliser des disques SSD pour les profils, déployer FSLogix pour gérer les profils itinérants, limiter les effets visuels par stratégie de groupe, et surveiller la charge processeur et mémoire pour équilibrer les sessions.

Ce qu'il faut retenir
Un serveur RDS centralise applications et bureaux pour les diffuser à distance, autour de trois composants clés : l'hôte de session, la passerelle RDP et le serveur de licences. La publication d'applications passe par RemoteApp, le déploiement gagne à être automatisé via PowerShell, et la gestion des licences CAL (par utilisateur ou par appareil) doit être rigoureuse pour rester conforme. Mais le point absolument central est la sécurité : ne jamais exposer le port 3389 directement, passer par une passerelle RDP en HTTPS, et activer l'authentification multifacteur. Un RDS bien configuré est flexible et économique ; mal sécurisé, c'est une faille majeure.
Si vous déployez ou administrez un RDS, la prochaine étape utile est de traiter la sécurité en priorité : vérifiez qu'aucun accès RDP n'est exposé directement, mettez en place la passerelle et la MFA avant d'ouvrir le service aux utilisateurs distants. Automatisez ensuite le déploiement avec PowerShell pour la reproductibilité, et cadrez vos licences CAL selon votre usage réel pour rester conforme. Pour un environnement critique ou de grande ampleur, l'appui d'un administrateur système expérimenté sur l'architecture, la sécurisation et le dimensionnement est un investissement raisonnable. C'est cette rigueur sur la sécurité et la conformité, plus que la simple mise en service, qui distingue un RDS fiable d'un point d'entrée vulnérable.
La sécurisation d'un accès distant comme le RDS touche à des aspects sensibles. Pour un déploiement exposé à internet ou en environnement critique, l'accompagnement d'un professionnel qualifié en administration système et sécurité est recommandé.