10
Auf mehreren Windows Server 2016 einzelnes Programm über Remote-Desktop (mstsc) ausführen ohne Zugriff auf Desktop
Hallo,
Frage:
kennt wer eine Best Practice wie man auf mehreren Windows Server 2016 nur ein einziges Programm starten für Domain-Benutzer zulässt.
Konkret:
ein Benutzer soll sich über den Terminal Service Client "mstsc" zum Server verbinden und dort sein Programm gestartet bekommen, sonst jedoch keinen Zugriff auf den Desktop erhalten.
Das Problem:
über einen Domain-Controller lässt sich nur ein Programm angeben im Environment-Tab des Users.
Es sollen allerdings auf unterschiedlichen Servern, jeweils unterschiedliche Spezial-Programme gestartet werden.
Autostart scheidet aus, da man damit einen Desktop bekommt.
Irgendwelche lokalen GPOs habe ich leider keine gefunden, die das leisten - denn Admins sollen natürlich den Desktop bekommen und nicht das Spezialprogramm.
LG
Frage:
kennt wer eine Best Practice wie man auf mehreren Windows Server 2016 nur ein einziges Programm starten für Domain-Benutzer zulässt.
Konkret:
ein Benutzer soll sich über den Terminal Service Client "mstsc" zum Server verbinden und dort sein Programm gestartet bekommen, sonst jedoch keinen Zugriff auf den Desktop erhalten.
Das Problem:
über einen Domain-Controller lässt sich nur ein Programm angeben im Environment-Tab des Users.
Es sollen allerdings auf unterschiedlichen Servern, jeweils unterschiedliche Spezial-Programme gestartet werden.
Autostart scheidet aus, da man damit einen Desktop bekommt.
Irgendwelche lokalen GPOs habe ich leider keine gefunden, die das leisten - denn Admins sollen natürlich den Desktop bekommen und nicht das Spezialprogramm.
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 456352
Url: https://administrator.de/contentid/456352
Ausgedruckt am: 24.11.2024 um 18:11 Uhr
10 Kommentare
Neuester Kommentar
Moin moin ,
Wo ist der Sinn denn dahinter ? Hätte das nun einfach per Remoteapp freigegeben und den Rest entsprechen dicht gemacht.
Auch kannst du über GPO's steuern , das nur bestimmte Programme gestartet werden dürfen.
Ansonsten, brauchen wir ein paar mehr Infos
Gruss
Wo ist der Sinn denn dahinter ? Hätte das nun einfach per Remoteapp freigegeben und den Rest entsprechen dicht gemacht.
Auch kannst du über GPO's steuern , das nur bestimmte Programme gestartet werden dürfen.
Ansonsten, brauchen wir ein paar mehr Infos
Gruss
Moin,
was genau möchtest Du? Sollen beim lokalen Login automatisch mehrere Anwendungen auf mehreren TS gestartet werden? Oder soll der User auf mehrereren TS jeweils eine Anwendung starten können? Ansonsten vermute ich, dass Dein Problem gelöst werden könnte, wenn Du statt eines Remote-Desktops ein RemoteApp bereitstellst. Die sieht dann aus wie eine lokale App und kann auch so behandelt werden. Für den User ist das vollständig transparent.
hth
Erik
was genau möchtest Du? Sollen beim lokalen Login automatisch mehrere Anwendungen auf mehreren TS gestartet werden? Oder soll der User auf mehrereren TS jeweils eine Anwendung starten können? Ansonsten vermute ich, dass Dein Problem gelöst werden könnte, wenn Du statt eines Remote-Desktops ein RemoteApp bereitstellst. Die sieht dann aus wie eine lokale App und kann auch so behandelt werden. Für den User ist das vollständig transparent.
hth
Erik
@itisnapanto: tja, das Spezial-Industriesteuerungsprogrämmchen gibt es leider nicht als Remote-App und wird so auch nicht vom Hersteller unterstützt.
@erikro: ein Domain-User soll auf unterschiedlichen Servern genau ein einziges Programm gestartet bekommen, ohne Zugrifssmöglichkeit auf Desktop, Shell, sonstige Programme und Einstellungen. Admins dagegen sollen normal einloggen können und nicht das Programm, sondern den Desktop bekommen.
@erikro: ein Domain-User soll auf unterschiedlichen Servern genau ein einziges Programm gestartet bekommen, ohne Zugrifssmöglichkeit auf Desktop, Shell, sonstige Programme und Einstellungen. Admins dagegen sollen normal einloggen können und nicht das Programm, sondern den Desktop bekommen.
@aqui: psexec kann das leider nicht. Ziel ist ja keinen Kommandozeilen-Befehel auszuführen, sondern eine RDP-Session zu bekommen, die klassisch am Server läuft, eben mit obigen Requirements.
LG,
holliknolli
LG,
holliknolli
Wenn das über RDP funktioniert, dann funktioniert das auch über RemoteApp...
Einfach TS rolle installieren und publishen.
https://newhelptech.wordpress.com/2017/07/23/step-by-step-how-to-deploy- ...
Am besten wäre halt ein Appv daraus zu bauen, aber das geht meistens bei so spezial software nicht in einem vertretbaren Zeitrahmen...
Einfach TS rolle installieren und publishen.
https://newhelptech.wordpress.com/2017/07/23/step-by-step-how-to-deploy- ...
Am besten wäre halt ein Appv daraus zu bauen, aber das geht meistens bei so spezial software nicht in einem vertretbaren Zeitrahmen...
Hi,
Lokale GPO
gpedit.msc
Benutzerkonfiguration\Administrative Vorlagen\System\Anmelden\Diese Programme bei der Benutzeranmeldung ausführen
E.
Edit:
Diese Einstellung kann man natürlich auch per Domänen-GPO verteilen. Gefiltert auf Benutzergruppe. Und per Loopback-Mode "ersetzen" kann man das auch je Computer anders einstellen.
Zitat von @holliknolli:
Irgendwelche lokalen GPOs habe ich leider keine gefunden, die das leisten - denn Admins sollen natürlich den Desktop bekommen und nicht das Spezialprogramm.
Irgendwelche lokalen GPOs habe ich leider keine gefunden, die das leisten - denn Admins sollen natürlich den Desktop bekommen und nicht das Spezialprogramm.
Lokale GPO
gpedit.msc
Benutzerkonfiguration\Administrative Vorlagen\System\Anmelden\Diese Programme bei der Benutzeranmeldung ausführen
E.
Edit:
Diese Einstellung kann man natürlich auch per Domänen-GPO verteilen. Gefiltert auf Benutzergruppe. Und per Loopback-Mode "ersetzen" kann man das auch je Computer anders einstellen.
1
Hallo,
habe das Ganze jetzt durchgespielt. Leider scheitert´s noch? daran, dass die Einstellungen - da User-Settings - auch auf ganz normale Desktops durchschlagen mit Windows 10.
Lokale Policies am Server dagegen wirken auch für Admins.
Mann, dass sich da MS nicht´s Besseres einfallen hat lassen. Wünschenswert wäre lediglich:
Setze lokale oder Domain-GPO für User, aber nicht für Admin und nicht für Client.
Ist echt zum Verzweifeln.
habe das Ganze jetzt durchgespielt. Leider scheitert´s noch? daran, dass die Einstellungen - da User-Settings - auch auf ganz normale Desktops durchschlagen mit Windows 10.
Lokale Policies am Server dagegen wirken auch für Admins.
Mann, dass sich da MS nicht´s Besseres einfallen hat lassen. Wünschenswert wäre lediglich:
Setze lokale oder Domain-GPO für User, aber nicht für Admin und nicht für Client.
Ist echt zum Verzweifeln.
Moin,
Mit GPOs, Gruppen und Loopback-Modus bekommt man das problemlos hin. Man muss allerdings verstehen, wie die Techniken funktionieren und sowas natürlich im kleinen Kreis testen und nicht sofort produktiv ausrollen.
Gruß,
Dani
habe das Ganze jetzt durchgespielt. Leider scheitert´s noch? daran, dass die Einstellungen - da User-Settings - auch auf ganz normale Desktops durchschlagen mit Windows 10.
Du solltest richtig lesen... siehe Kommentar von @emeriks.Mit GPOs, Gruppen und Loopback-Modus bekommt man das problemlos hin. Man muss allerdings verstehen, wie die Techniken funktionieren und sowas natürlich im kleinen Kreis testen und nicht sofort produktiv ausrollen.
Gruß,
Dani
hab´s jetzt irgendwie hingekriegt:
Musste ein Snap-In machen, das sich nur auf lokale User bezieht, dann kann man dort lokale GPOs nach Lust und Laune setzen und die wirken sich nur auf Nicht-Admins aus.
;)
Musste ein Snap-In machen, das sich nur auf lokale User bezieht, dann kann man dort lokale GPOs nach Lust und Laune setzen und die wirken sich nur auf Nicht-Admins aus.
;)
