ratzekahl1
Goto Top

Grundsätzliche Verständnisfrage zum Thema RDP

Hallo Team,
ich habe einige grundsätzliche Verständnis-Fragen zum Thema Terminal Server.
Also: Ich habe 3 V Server 2019 Standard. 1x AD, 1x Terminal, 1x SQL-Express.
Die Server stehen im Rechenzentrum. 2 Firewalls bauen die VPn-Verbindung auf.
Das normale Arbeiten ist klar. Ich melde mich an der Domäne an und greife auf Files etc. zu.
Nun will ich die Datenbank-Anwendung starten (T-Server). TMustermann ist als normaler User an der Domäne angemeldet. Nun öffnet er die RDP-Verbindung für den Virtuellen Desktop. Wie geschieht da die Anmeldung?? Ist das quasi eine neue "lokale" Anmeldung? Wird das über eine weiter AD Gruppe geregelt? Oder ist der virtuelle Desktop wie ein normaler AD-Client zu sehen, so das dieser auch in die Domäne geholt werden muss? Sind die Credentials dann übergreifend oder muss sich der User separat 2x anmelden?
Gruß
ratzekahl

Content-Key: 636045

Url: https://administrator.de/contentid/636045

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: SeaStorm
Lösung SeaStorm 28.12.2020 um 16:45:52 Uhr
Goto Top
Zitat von @ratzekahl1:

Hallo Team,
Hi
Nun will ich die Datenbank-Anwendung starten (T-Server). TMustermann ist als normaler User an der Domäne angemeldet. Nun öffnet er die RDP-Verbindung für den Virtuellen Desktop. Wie geschieht da die Anmeldung?? Ist das quasi eine neue "lokale" Anmeldung?
Er meldet sich am Server mit seinem Domänen-Benutzer an wie er das auch an seinem Arbeitsplatz tut. In der Standard-Config erhält er lokal auf dem Server ein neues Profil mit allem drum und dran. Da besteht erst mal kein Unterschied zu einem Win10 Rechner.

Wird das über eine weiter AD Gruppe geregelt?
Es gibt eine lokale Gruppe "Remotedesktopbenutzer". Wenn du da die AD-User oder AD-Gruppen einfügst, sind eben diese berechtigt
Oder ist der virtuelle Desktop wie ein normaler AD-Client zu sehen, so das dieser auch in die Domäne geholt werden muss?
Der Server selbst, ja. Der "Desktop" des Users freilich nicht.
Sind die Credentials dann übergreifend oder muss sich der User separat 2x anmelden?
Kommt jetzt drauf an wie die Frage gemeint ist.
Die Creds kommen ja aus dem AD und sowohl sein Client als auch der Server fragen beim AD an ob User+PW stimmen. Von daher ist das übergreifend. Technisch werden die aber schon getrennt voneinander authorisiert. Er muss sich grundsätzlich also 2x anmelden.
Du kannst aber eine Art SSO einrichten, so das der am Client authentifizierte User automatisch am Server angemeldet werden kann, ohne das er selbst noch mal User + PW eingeben muss.
Mitglied: ratzekahl1
ratzekahl1 28.12.2020 um 17:53:00 Uhr
Goto Top
Danke! Ich denke ich habe es verstanden!
Mitglied: ratzekahl1
ratzekahl1 29.12.2020 um 10:46:45 Uhr
Goto Top
PS: EIne Frage habe ich noch.
WO melde ich mich den an? RDP verlangt doch einen Rechnernamen/IP. Nur wenn ich die IP des Servers nehme, lande ich auf der Serveroberfläche und nicht auf dem "simulierten" Desktop. Muss ich da noch sowas wie Virtuelle Desktops anlegen und die ggf in die Domäne packen, wie normale Pcs auch? Also was weiß ich VPV1 VPC2 usw.
Gruß
ratzekahl
Mitglied: SeaStorm
SeaStorm 29.12.2020 um 11:26:14 Uhr
Goto Top
Äh ?

was genau meinst du jetzt? Klar landest du auf dem Server-Desktop. Das ist das gleiche wie bei einem Desktop-OS. Du als Admin musst den entsprechend vorbereiten wie der User das braucht.

Wir reden schon davon das du einfach einen Server installiert hast und die RDP-Server Rolle installiert wurde oder?
Ansonsten mach mal Screenshots davon was du da so hast und wie das aussieht face-smile
Mitglied: ratzekahl1
ratzekahl1 29.12.2020 aktualisiert um 12:04:25 Uhr
Goto Top
Der TS ist fertig. Rollen usw. sind drauf.
Ich muss doch dem User quasi ein Ziel für die RDP bieten, nicht den Server , sondern den virtuellen Desktop, oder nicht?
Oder werden die automatisch erzeugt, wenn ein Mitglieder Gruppe rdp-User sich anmeldet?
Das heißt es muss doch sowas wie eine VDI-Verwaltung geben? Wo ich zB die Apps zuordne, die zur Verfügung gestellt werden, die Adresse für den User usw.
zwischenablage01
Was gebe ich bei "Computer" ein? Läuft das uU über einen Port? Also 192.168.156.2:12345 und dann via GPo die Apps zuweisen?
Mitglied: SeaStorm
SeaStorm 29.12.2020 um 12:17:31 Uhr
Goto Top
Du vermischst hier verschiedene Dinge.

Es gibt den RDP-Server, bei dem ein User sich auf den Server verbindet und einen "virtuellen Desktop" sieht. Damit hat er im Grunde nichts anderes als ein eigenes Benutzerprofil auf dem Server. Hier existiert erst mal kein Unterschied zu einem herkömmlichen Win10, nur das mehrere User parallel auf einem Server parallel arbeiten können.
Welche Apps er sieht bzw starten darf entscheidet der Admin anhand Berechtigungen am Server, GPOs usw. Eine spezielle UI gibt es da nicht für.
Üblicherweise wird dem User anhand Berechtigungsgruppen und zugehörigen GPOs der Shortcut zum Programm am Desktop/Startmenü eingeblendet und die Berechtigung zum ausführen der .exe gegeben.

Neben dem Desktop kann man den Usern allerdings auch nur die Apps zum starten bereitstellen. Das nennt sich dann RemoteApp.
Dabei hat der User die Remotedesktop Website und kann da dann die benötigte App wie Outlook oder SAP etc anklicken. Damit startet sich dann eine RDP Session, man sieht aber nur die ausgeführte App als ob sie ein Programm auf dem eigenen Rechner wäre. NICHT den ganzen Desktop des Servers.

VDI hingegen ist etwas ganz anderes.
Hier wird in der Regel ein Desktop-OS(also Win10) genommen und ein "Master-Image" erstellt, das alle Programme usw enthält die die User so brauchen.
Aus dem Masterimage werden dann N Klone erstellt. Das sind dann virtuelle PCs, die sich aber wir ganz normale, der Domäne zugeordnete PCs verhalten.
Ein User verbindet sich dann auf die Farm und wird einer freien VM zugewiesen. Eine VM, ein User. Wie bei einem normalen PC.
Das wird fast nur dann gemacht, wenn sich mehrere User eine professionelle CAD-Grafikkarte teilen sollen, weil die sauteuer sind. Auch Lizenztechnisch ist das Thema recht heikel.


Jetzt ist die Frage was du machen willst.
Sollen die User einfach einen virtuellen Desktop bekommen und sich einen Server teilen? Dann musst du nichts weiter machen. Der User verbindet sich und bekommt ein Userprofil auf dem Server. Je nach Anzahl User musst du ggf über eine RDP-Farm nachdenken, so das die User sich auf mehrere Server verteilen.

Oder willst du zentral auf einem Server eine App bereitstellen und die User diese davon starten lassen?

Oder soll wirklich jeder einen eigenen "PC" bekommen?
Mitglied: ratzekahl1
ratzekahl1 29.12.2020 aktualisiert um 12:37:25 Uhr
Goto Top
Ich glaube so langsam kommt der Groschen ins Rollen.
Also: Michael, Paula und Friedhelm melden sich via rdp auf dem Server an, letztendlich wie ein Admin auch, abgesehen, von den Rechten.
Dort starten was weiß ich zB Firefox. Der wird dann 5x gestartet und der Server regelt dann die verschiedenen Einstellungen, Lesezeichen usw. über das Userprofil? GGF. kann ich via GPO regeln, wer was darf, also was weiß ich Lexware, Firefox und Datev.?

Dachte es gäbe sowas wie eine Verwaltungs GUI, wo man festlegt T-User Paula bekommt desktop mit xyz. Und rdp auf nem Client geht nur 1x. Daher dachte ich, dass man die Session splitten/unterscheiden muss. Keine Ahnung sowas wie 192..168.156.2a,192..168.156.2b, etc 
Mitglied: SeaStorm
SeaStorm 29.12.2020 aktualisiert um 15:00:15 Uhr
Goto Top
Zitat von @ratzekahl1:

Ich glaube so langsam kommt der Groschen ins Rollen.
Also: Michael, Paula und Friedhelm melden sich via rdp auf dem Server an, letztendlich wie ein Admin auch, abgesehen, von den Rechten.
Dort starten was weiß ich zB Firefox. Der wird dann 5x gestartet und der Server regelt dann die verschiedenen Einstellungen, Lesezeichen usw. über das Userprofil?
Jain. Vereinfacht gesagt ja. Aber der Server selbst macht hier nichts. Der User hat einfach nur sein Userprofil unter c:\user\paula\ und die Applikationen nutzen das Userprofil hoffentlich auch wie vorgesehen. Tun sie das, dann bewegt sich jeder mit seinen eigenen Einstellungen in den Applikationen. Von der "üblichen" Software wie Firefox, Chrome etc kannst du das erwarten. Manch eine popelige kleine Ranzsoftware, oft auch "Branchenlösung" genannt, bekommt das manchmal nicht hin. Das ist aber in den letzten Jahren selten geworden.

GGF. kann ich via GPO regeln, wer was darf, also was weiß ich Lexware, Firefox und Datev.?
Berechtigungstechnisch kann man das durchaus per GPO lösen. Bei einem einzelnen Server kann man die Berechtigungen sicher noch von Hand an die entsprechenden Dateien vergeben. Weiss ich jetzt nicht ob sich das lohnt da mit GPOs zu hantieren.
Da wäre die GPO eher ein Fall für "wenn der User in der Gruppe 'TS_Appl_Firefox" ist, dann "erstelle dir Firefox Verknüpfung auf Desktop und im Startmenü". Dann bekommt er halt "seine" Applikationen zu sehen und nicht irgendwelche anderen, die er gar nicht braucht oder überhaupt nutzen darf.

Dachte es gäbe sowas wie eine Verwaltungs GUI, wo man festlegt T-User Paula bekommt desktop mit xyz.
Nicht mit Bordmitteln. Citrix hat sowas ganz grob und diverse dritthersteller bieten sowas für RDP durchaus an. Am Ende muss man sich aber immer erst alles zusammenbasteln, bis die UI das halbwegs Sinnvoll darstellen kann.
Und rdp auf nem Client geht nur 1x.
? Nö. Da wäre ich ja aufgeschmissen. Ich hab immer locker 5-10 RDP Sessions offen face-smile
Wie kommst du auf die Idee?
Mitglied: rzlbrnft
Lösung rzlbrnft 29.12.2020 aktualisiert um 21:22:00 Uhr
Goto Top
Zitat von @SeaStorm:
Eine spezielle UI gibt es da nicht für.

Naja eigentlich schon. Seit 2012 R2 wird das über die Bereitstellungsfunktion im Servermanager verwaltet.
Für einen einzelnen Server ist das noch nicht unbedingt nötig, aber sobald mehrere Server zu einer Farm zusammengefasst werden sollen,
wird der Servermanager nötig.

Sieht so aus.
rdscomponents

Wenn man da mehr drüber lesen will, Google Stichwörter RDP Bereitstellung bzw. RemoteApp und Work Resources.

VDI hingegen ist etwas ganz anderes.
Das wird fast nur dann gemacht, wenn sich mehrere User eine professionelle CAD-Grafikkarte teilen sollen, weil die sauteuer sind. Auch Lizenztechnisch ist das Thema recht heikel.

Oder wenn eine altertümliche Software sich nicht anders lizenzieren lässt oder auf Server nicht läuft.
Kostet aber wie schon erwähnt Geld, entweder in Form einer jährlichen VDI Gebühr, oder in Form von Enterprise Windows 10 Lizenzen mit Software Assurance. Man braucht die Roaming Rechte um VDI nutzen zu dürfen.