a5mmks
Goto Top

Benutzer Anmeldung an bestimmten Terminalserver

Hallo Liebe Gemeinde,

vorab möchte ich erläutern warum ich möchte das Benutzer sich an bestimmten Terminalservern anmelden sollen.
Wir haben eine Windows Server 2008R2 Umgebung, (Domain, DNS, DHCP, AD, Exchange 2010 usw) und Terminalserver im Einsatz.
Auf einigen Terminalservern ist Libre Office (aus Kostengründen), auf anderen ist Microsoft Office 2010 (vorhanden Lizenzen und Cals) im Einsatz.

Nun möchte ich einige Benutzer (Benutzergruppen wie z.B. Office, Libre Office) auf dem entsprechenden Server verbinden lassen.
Wir haben IGEL Thin Clients im Einsatz.

Nun zu meiner Frage: Ist es möglich das der Benutzer nur seinen Namen eingibt und er wird auf den richtigen Server verbunden?
Ich habe die Möglichkeit am Thin Client die RDP-Verbindung auf einen bestimmten Server anzugeben, da sich jedoch verschiedene Benutzer (Office als auch Libre Office) an einem Thin Client anmleden, ist dies für mich nicht verständlich, wie ich es einstellen muss.

Liebe Grüße

Markus

Content-ID: 268572

Url: https://administrator.de/forum/benutzer-anmeldung-an-bestimmten-terminalserver-268572.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

Tjardp
Tjardp 08.04.2015 um 16:28:29 Uhr
Goto Top
Hi,

du erstellst ein Profil in der UMC indem die beiden RDP Verknüfungen erstellt worden sind und der Benutzer muss dann den für ihn bestimmten TS wählen. (keine Kontrolle über die Anmeldung)

Dann könntest du es per GPO machen.

Du erstellst eine Gruppe in deinem AD in der die Benutzer für Libre hinzugefügt wurden, dann per GPO Remotanmeldung verbieten und nimmst nun die Gruppe. Somit hast du den Benutzern in der Gruppe verboten sich auf dem Office TS anzumelden.

Gibt bestimmt noch mehr Wege, das fällt mir gerade dazu ein.
a5mmks
a5mmks 08.04.2015 um 16:33:13 Uhr
Goto Top
Hallo Tjardp,
ja das ist eine Lösung jedoch möchte ich nicht das Benutzer auswählen müssen und dann auch noch eine Meldung erhalten das sie sich hier nicht anmelden dürfen.
Sehr schön wäre es wenn sie nur den Namen eingeben müssen.
Andinistrator1
Andinistrator1 08.04.2015 aktualisiert um 16:59:22 Uhr
Goto Top
Da hat Tjardp schon Recht, eine andere Möglichkeit gibt es nicht.

Du kannst entweder die ThinClients danach ausrichten, d.h. nur die RDP draufpacken welche zulässig ist, oder eben über GPO AD Gruppen. Aber so eine Regel

wenn Domainname = Y dann TS 1
wenn Domainname = X dann TS 2

gibt es meines wissens nach nicht. Nur innerhalb von Windows könntest du den Usern eine bestimmte RPD Verbindungen auf das Desktop zuweisen, welche geladen wird und welche diese anklicken können, ähnlich wie eine automatische Druckerzuweisung.


Mich würde zudem interessieren, ob du sicher bist damit trotzdem nicht gegen die Lizenzbestimmungen von MS zu verstoßen. In meiner Vergangenheit war die Aussage, CAL Lizenzanzahl muss gleich Office Lizenzanzahl sein, mit folgendem

Beispiel:
Du hast 200 User (200 CAL Lizenzen), aber nur ein Office VL von 5 User. Auch wenn du wirklich nur 5 User auf den MS Office TS lässt, kannst du es jederzeit ändern (sogar 5+ gleichzeitig auf verschiedenen TS). Ich konnte das MS seinerzeit (Office 2010) nicht so verkaufen, da ich theoretisch 200 User mit Office versorgen kann, obwohl ich nur 5 Lizenzen hab.

Wenn das MS nun wirklich zulässt, kaufe ich nur noch ein 5er Bundle ;) - und bevor MS ins Haus kommt, stell ich das grad eben so ein.
Tjardp
Tjardp 08.04.2015 um 17:01:09 Uhr
Goto Top
Welche Igel hast du in Benutzung? Zero Thin?

Mit der UMS kannst du nur die Igel steuern, nicht die Benutzeranmeldung. Solltest du Igel Thinclients verwenden,
gehts nicht ohne Benutzerinteraktion, da er ja die RDP Verbindung gewählt werden muss. Bei Zero Clients kann ich dir nicht sagen ob die V-Software dir da Möglichkeiten bietet.

Du kannst auch im AD jedem Benutzer eine .bat hinterlegen (Anmeldescript) in der dann die RDP Verbindung, vorrausgesetzt die Igel sind in der Domäne und die Benutzer melden sich an dem Igel in der Domäne an, automatisch gestartet wird.

mstsc /v usw...
a5mmks
a5mmks 08.04.2015 um 17:08:53 Uhr
Goto Top
Hallo Andinistrator1,
wenn du 200 Benutzer hast brauchst du erstmal 200 Remote Desktop Cals, 200 Terminalserver Cals, und dann dementsprechen Office Lizenzen und die dazugehörige Menge an Exchange Cals.

Deswegen möchte ich auch diese Trennung ins System bringen. Die auf den Libre Office Terminalservern arbeiten, benutzen auch keine Outlook.
a5mmks
a5mmks 08.04.2015 um 17:12:20 Uhr
Goto Top
Hallo Tjardp,
es sind Linux Thin Clients.

Ich verstehe hier noch nicht wie eine .bat vor der Anmeldung greift?
Andinistrator1
Andinistrator1 08.04.2015 um 17:27:18 Uhr
Goto Top
@ a5mmks

Das ist korrekt, ich habe von jedem 200 Lizenzen gehabt, eben bis auf die MS Office Lizenzen. Und als ich die Frage stellte, wie viele muss ich denn nach MS lizenzieren kam die o.g. Antwort - egal ob ich nur 100 User auf einen TS lasse - denn Fakt ist, ich kann jeden jederzeit auf einen TS mit MS Office lassen - und hier sagte MS damals, dass ich eine VL über 200 Office-Lizenzen benötige.
a5mmks
a5mmks 08.04.2015 um 17:31:54 Uhr
Goto Top
@andiinistrator1,
das ist sehr interessant. Ich werde dies bei meinem "Lizenz-Distributor" anfragen.
Andinistrator1
Andinistrator1 08.04.2015 um 17:34:27 Uhr
Goto Top
Vielen Dank, ich freu mich auf eine Info!
Tjardp
Tjardp 08.04.2015 um 17:35:53 Uhr
Goto Top
Im AD Benutzer Eigenschaften Profil Anmeldescript.. das greift wärend der Benutzeranmeldung. Zum Beispiel logon.bat.. kannst alles eintragen was de willst..ist nur unübersichtlich.
a5mmks
a5mmks 08.04.2015 um 17:38:01 Uhr
Goto Top
@Tjardp,
ja verstehe jetzt was du meinst. Aber dazu muss sich der Benutzer schon anmelden um die .bat zu bekommen. Das Problem sehe ich aber schon vorher.
Tjardp
Tjardp 08.04.2015 um 18:19:43 Uhr
Goto Top
Aber sonst wüste ich nicht wie du dein Vorhaben ohne viel arbeit und Ustellung der Domäne umsetzen kannst. Ach ja, kann Administrator1 nur zustimmen mit den Lizenzen. Falls mal eine Prüfung kommt und die User theoretisch auf die Office TS zugrefeien können, müssen auch für jeden Benutzer Lizenzen existieren. Es sei denn du kannst technisch umsetzen und auch belegen, dass x Benutzer nur auf die Office TS zugreifen können. Da hilft auch keine interne Anordnung o.ä..
SeaStorm
SeaStorm 09.04.2015 aktualisiert um 07:45:34 Uhr
Goto Top
Man darf mich hier korrigieren, aber Office gibt es gar nicht als Userlizenz, sondern nur als Device Lizenz.
Sprich, es macht keinen Unterschied wie viele User das Starten, solange nicht mehr Devices genutzt werden.

VON MS Seite aus ist es bei einer Lizenzprüfung auch OK, wenn du deinen Mitarbeitern eine Dienstanweisung ausgibst das nur "Die Arbeitsplätze mit Roten aufkleber" für Office verwendet werden dürfen und diese Arbeitsplätze dann eben mit einem roten Sticker markierst. Dann darf von diesem Platz/diesen Plätzen aus jeder beliebige Mitarbeiter Office bedienen.

Einige Betriebe verschärfen das ganze noch und machen eine GPO und eine Office-Usergruppe die die EXE Dateien vom Office mit einer Ausführberechtigung verbastelt, und die User sind halt diejenigen, die an den entsprechend markierten Arbeitsplätzen arbeiten.

Dazu kannst du dann am Server vorgeben, das LibreOffice standardmäßig bei xls/x, doc/x etc geöffnet wird, und die GPO übersteuert das am User, das bei denen halt MS Office geöffnet wird. Der User hat dann keine blöden fehlermeldungen, der Betrieb ist Lizenztechnisch fein raus und alle sind glücklich. Klappt hier ganz gut

[EDIT]
Ausnahme bildet hier Office365, was mittlerweile eine Userlizenzierung hat
a5mmks
a5mmks 09.04.2015 um 10:28:53 Uhr
Goto Top
Hallo Tjardp, Hallo SeaStorm,
die Lizenzen stellen hier nicht mein Problem dar, sondern die Umsetzung der Anmeldungen wie ich es oben beschrieben habe.
@Andinistrator1 --> mein Distri meinte, es ist so umsetzbar mit Libre Office. Sollte also keine Probleme geben.
Andinistrator1
Andinistrator1 09.04.2015 aktualisiert um 11:30:39 Uhr
Goto Top
Vielen Dank,
das ist ja eine Sensation! Da kann ich mir beim nächsten Update eine 5er VL kaufen, und 200 User auf den TS lassen oder unterschiedliche TS lassen. Eine VL ist ja nicht pro Gerät, sondern pro User lizenziert.

Und meiner Erfahrung nach spannt es MS nicht, wenn 5+ User Office verwenden... . Wenn MS sich dann anmeldet, aktiviere ich grad kurz eine GPO - und plötzlich können nur max. 5 ausgesuchte User Office öffnen, der Rest nicht mehr. Dann strahle ich vor dem Prüfer mit einer sauberen Lizenzierung, sobald er zur Tür raus ist deaktiviere ich die GPO und kann die VL "unbegrenzt" verwenden... .

Also das muss ich mir schriftlich geben lassen ;) Kann ich fast nicht glauben... .
SeaStorm
SeaStorm 09.04.2015 um 11:55:06 Uhr
Goto Top
Das ist quatsch. Office wird per Device lizenziert. Das heist du DARFST von 5 Clients aus auf dem TS Server MS Office verwenden.
KÖNNEN tust du zwar von allen Clients/Usern aus, aber das entspricht nicht der Lizenzierung.
Ganz so einfach kann man sich das ja nicht machen mit der GPO. Der Lizenzprüfer ist ja nicht blöd. Der kann dann auch einfach kurz deine Mitarbeiter fragen, wie sie denn sonst so ins Office gehen. Der MA versucht das dann, sagt dann "normalerweise geht das" und schon hast du ein Problem. Und in dem Fall war es auch noch ein Lizenzbruch mit Vorsatz. Dafür gehen Geschäftsführer schon mal in den Knast!
Glaubt einem wahrscheinlich auch kein Prüfer einfach so, das ein Betrieb mit 200 Terminalusern nur 5 davon tatsächlich Office verwenden.

Technisch machbar, lizenztechnisch verboten.
Andinistrator1
Andinistrator1 09.04.2015 aktualisiert um 13:37:29 Uhr
Goto Top
Ok wenn es so ist wäre es nicht so streng wie mein Prüfer. Hier durfte ich nicht einmal die technische Möglichkeit geben, daher musste CAL = Office Lizenzanzahl sein.

Es hieß nur, wie viele User verbinden sich mit dem TS?
Da ich teilweise Anwendungen veröffentliche, unter der auch auf ein Office (auf dem "Anwendugsserver") liegt, nutzen die User quasi 2x und mehr Office gleichzeit, von verschiedenen TS aus.

Es freut mich wenn das nun nicht mehr so streng ist. Danke für die Info.

@ a5mmks
Nach dem bisherigen Stand müsstest du es also per Device/Clients fixieren, nicht per User. Fazit:

Ein User kann sich ja an mehreren Clients anmelden.
=> Wenn es ein Office Client ist, dann hat er es - wenn nicht, dann Libre.

Aber mehrere User können sich auch (nacheinander) an einem Client.
=> Jeder User kann Office verwenden, der sich an diesem Client anmelden kann, theoreisch auch 200 Stück

Interessant wird es, wenn ich das "Device" einen TS sein lasse, und eben dieses lizenzierte Device geht auf den TS mit Office ;).

Also sicher bin ich mir jetzt nicht... .
117471
117471 09.04.2015 um 13:45:14 Uhr
Goto Top
Was spricht dagegen, zwei RDP-Verknüpfungen als Vorlage zu erstellen und die für den Benutzer jeweils gültige via Anmeldescript auf den lokalen Desktop zu kopieren?
a5mmks
a5mmks 09.04.2015 um 13:58:09 Uhr
Goto Top
@fa-jka wenn ich auf dem Thin Client 2 RDP Verbindungen zur Verfügung stelle, kann es passieren das der Benutzer auf die falsche verbindet. Nicht das das schlimm wäre, aber ich möchte nicht das er eine Meldung bekommt die ihm mitteilt das er sich auf diesem Termianl nicht anmelden darf, da er zu Gruppe Libre_Office gehört, und sich nur am anderem Terminal anmelden kann/muss.

@Andinistrator ja das stimmt. Darum möchte ich auch, das falls sich ein User anmeldet über seien oder einen Thin Client das er auf dem Terminal landet auf dem das
passende Programm installiert ist, also sprich ist er Libre_Office Gruppenmitglied --> dann auf den Libre Office Terminalserver.
SeaStorm
SeaStorm 09.04.2015 um 13:59:28 Uhr
Goto Top
Er hat ThinClients, keine Lokalen Desktops
SeaStorm
Lösung SeaStorm 09.04.2015 aktualisiert um 16:25:01 Uhr
Goto Top
Ich finde immer noch, das es besser wäre geklonte Server + NLB zu nehmen die beides drauf haben und dann per GPO ausgewählten Usern MS Office zu ermöglichen.

Das bringt eigentlich nur Vorteile. Lastverteilung auf die Server, geringerer Wartungsaufwand für den Admin, keine Frickellösung mit den Verbindungen am ThinClient, bessere Skalierbarkeit für die TS Server (Man kann einfach noch einen Klon hinstellen wenn man einen braucht. Bei VMs noch viel einfacher) und sicher noch weitere.
Nachteile? Einmaliger Einrichtungsaufwand. Aber den hat man bei der bisherigen Lösung ja auch, von daher ...

[Edit]
Kurzzusammenfassung wie man das machen würde:
einen NLB + Session Broker installieren, die RDP Server alle gleich installieren (VM Klone oder halt einen Aufsetzen und auf die anderen Klonen und per Sysprep entsprechend fertig machen) und Roaming Profiles für diese einstellen.
Auf den Servern ist nun LibreOffice als Standardprogramm eingestellt.
Eine Gruppe "MS Office Users" erstellen und die gewünschten User da rein packen.
Ausführberechtigungen für die MS Office EXE Dateien nur für diese Gruppe gewähren.
Eine GPO machen, die die ganzen Office Dateiendungen auf MS Office umbiegen und diese GPO der Gruppe zuweisen.

Das wars eigentlich schon
Andinistrator1
Andinistrator1 09.04.2015 aktualisiert um 16:14:47 Uhr
Goto Top
Selbstverständlich, und es tut mir leid aber jetzt bin ich raus: Ich verstehe jetzt nur

- TS mit MS Office + Libre Office installiert
- 50 User arbeiten auf dem TS
- nur 10 User berechtige ich per GPO zu MS Office
- der Rest nutzt Libre Office

und Microsoft sagt: Super Andinistrator1, deine Lizenzierung ist lupenrein - tolle GPO!

Echt jetzt? Wo ist grad die Lizenzierung per Device hin verschwunden? Jetzt ist es ja doch per User "MS Office Users".

B A H N H O F
a5mmks
a5mmks 09.04.2015 um 16:25:07 Uhr
Goto Top
Hi SeaStorm,
ja eine andere Möglichkeit sehe ich im Moment auch nicht. Mit dieser Lösung bleibt die Fehlermeldung für den Benutzer erspart.
Ich habe VM-Ware mit V-Center im Einsatz somit ist das allein kein Problem.
Lastenausgleich wird an dieser Stelle sowieso mitinstalliert.

Ich danke hier allen für die gute Zusammenarbeit.
Gruß Markus
SeaStorm
SeaStorm 09.04.2015 um 17:45:38 Uhr
Goto Top
@Andinistrator1
Es ging mir in dem Post nicht mehr um die Lizenzierung, da ihn das offenebar nicht interessiert.
Jedoch kann er hier die Lizenzierung auf Grün stellen, wenn er die besprochene Arbeitsanweisung + Markierungen auch macht. Anders isses nunmal nicht möglich und das hat MS auch schon eingesehen. Will man es jedoch tatsächlich per User Lizenzieren, dann muss man wohl oder über ein 365 Office Lizenzieren.

Das mit dem berechtigen der User per GPO ist im Grunde nur um gegenüber dem Lizenzprüfer klar zu machen, das man nicht nur eine Arbeitsanweisung rausgegeben hat die von allen Ignoriert wird, sondern diese Technisch auch untermauert hat, da der Arbeitsplatz, der markiert ist, im Grunde der Arbeitsplatz der berechtigten Person ist. Somit ist die Device eigentlich eine Userlizenz. Da MS aus unerfindlichen Gründen alle Produkte per User lizenziert ausser Office, muss man sich damit behelfen.

Du hattest ja den Einwand gebracht, das man die GPO einfach rausnimmt wenn der Prüfer weg ist. Wie ich gesagt habe, ist der Prüfer ja nicht doof und hakt da nach. Und wenn die Mitarbeiter dann sagen "was is LibreOffice? Ich verwende immer MS Office. Da guck, ich öffne das ma ... oh geht grad irgendwie net", dann weiss der bescheid. Wenn du die Richtlinie allerdings tatsächlich an lässt, dann passiert das nicht. Das ist der Unterschied dabei.

Die Lizenzierung per Device ist in der Realität halt nicht möglich. Keiner weiss was MS sich dabei gedacht hat. Und MS wohl auch nicht mehr. Deshalb lassen sie das Verfahren eben zu.