21
Hilfe! Windows Terminal Server - und ich hab absolut kein Plan!
Hallo liebe Mitglieder,
ich habe da einen Auftrag angenommen, bei dem sich erst nach und nach herausgestellt hat was alles benötigt wird ...
... so das ich jetzt an dem Punkt angekommen bin, das ich das ganze Projekt abgelehnt hätte, wenn ich vorher gewusst hätte was da alles auf mich zu kommt. Jetzt nicht mehr Möglich, da die Hardware + Lizenzen etc. alle hier stehen und ich das ganze schnellstmöglich fertig machen soll. Ich scheue mich nicht davor dazu zu lernen und mir die Sachen anzueignen, jedoch muss ich das ganze jetzt in relativ kurzer Zeit umsetzen.
Der Kunde bekommt einen Server auf dem vier VMs über Hyper-V laufen. Einmal DC, einmal Datenbankserver, einmal einen für eine spezielle Applikation und eine VM für einen Terminal Server.
Nun bin ich ehrlich, das ganze Thema Terminal Server ist mir in meinen 15 Jahren Beruf leider nie richtig über den Weg gelaufen, demenstprechend unwissend bin ich.
Der Kunde möchte gerne mit ca. 10 ThinClients eine RDP Session auf den Server aufbauen, und dort dann gemeinsame Programme nutzen, welche auf dem Server installiert sind.
Die Rolle ist installiert (session-based desktop deployment), die Lizenzen (10x RDS) ebenfalls. Hab jetzt mal einen User im AD angelegt und mit einem ThinClient auf dem Win10IOT installiert ist eine RDP Session (mit dem AD User) auf den TerminalServer gestartet. Soweit so gut, scheint so zu funktionieren.
Ist es normal der der User dann ebenfalls den "Server Manager" etc. sieht? Gibt es Möglichkeiten den Desktop zu ändern, bzw. das ganze wie ein "normales Win10" aussehen zu lassen?
ich habe da einen Auftrag angenommen, bei dem sich erst nach und nach herausgestellt hat was alles benötigt wird ...
... so das ich jetzt an dem Punkt angekommen bin, das ich das ganze Projekt abgelehnt hätte, wenn ich vorher gewusst hätte was da alles auf mich zu kommt. Jetzt nicht mehr Möglich, da die Hardware + Lizenzen etc. alle hier stehen und ich das ganze schnellstmöglich fertig machen soll. Ich scheue mich nicht davor dazu zu lernen und mir die Sachen anzueignen, jedoch muss ich das ganze jetzt in relativ kurzer Zeit umsetzen.
Der Kunde bekommt einen Server auf dem vier VMs über Hyper-V laufen. Einmal DC, einmal Datenbankserver, einmal einen für eine spezielle Applikation und eine VM für einen Terminal Server.
Nun bin ich ehrlich, das ganze Thema Terminal Server ist mir in meinen 15 Jahren Beruf leider nie richtig über den Weg gelaufen, demenstprechend unwissend bin ich.
Der Kunde möchte gerne mit ca. 10 ThinClients eine RDP Session auf den Server aufbauen, und dort dann gemeinsame Programme nutzen, welche auf dem Server installiert sind.
Die Rolle ist installiert (session-based desktop deployment), die Lizenzen (10x RDS) ebenfalls. Hab jetzt mal einen User im AD angelegt und mit einem ThinClient auf dem Win10IOT installiert ist eine RDP Session (mit dem AD User) auf den TerminalServer gestartet. Soweit so gut, scheint so zu funktionieren.
Ist es normal der der User dann ebenfalls den "Server Manager" etc. sieht? Gibt es Möglichkeiten den Desktop zu ändern, bzw. das ganze wie ein "normales Win10" aussehen zu lassen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4560459350
Url: https://administrator.de/contentid/4560459350
Printed on: April 28, 2024 at 18:04 o'clock
21 Comments
Latest comment
Der Server Manager startet nur von selbst, wenn der Benutzer Admin Rechte hat. Normaler Benutzer werden davon verschont und man sieht den Server Manager nur im Startmenü. Ausrichten kann er damit jedoch nichts, er hat ja keine Admin Rechte.
Moin,
ein RDS lässt sich weitestgehend so konfigurieren, dass er sich wie ein "normales" Win 10 anfühlt. Das alles regelt man über GPOs. Das Thema ist aber mMn zu Komplex um sich das Wissen dazu aus einem Forum zu holen.
Ich würde da a) jmd holen der sich damit auskennt und der das dann einrichtet und b) das ganze aber mit dem Kunden transpratent kommunizieren.
lg,
Slainte
ein RDS lässt sich weitestgehend so konfigurieren, dass er sich wie ein "normales" Win 10 anfühlt. Das alles regelt man über GPOs. Das Thema ist aber mMn zu Komplex um sich das Wissen dazu aus einem Forum zu holen.
Ich würde da a) jmd holen der sich damit auskennt und der das dann einrichtet und b) das ganze aber mit dem Kunden transpratent kommunizieren.
lg,
Slainte
Moin,
Da wäre das Beste, wenn Du Dir Hilfe suchst und ds machen läßt, denn wenn Du das jetzt schnell zusammschusterst, wird Dir das demnächst vor die Füße fallen.
Zu Deinem Problem: wie gesagt: ohne Berechtigung kann der User nichts anstellen. İch hoffe nur, daß Du die User nicht als Admin eingerichtet hast, weil sonst Dich nicht anmelden dürftest. Das ist ein Anfängerfehler, wenn die Leute keinen "echten" TS einrichten, sondern nur einen Server, auf den per RDP zugegriffen wird.
lks
Da wäre das Beste, wenn Du Dir Hilfe suchst und ds machen läßt, denn wenn Du das jetzt schnell zusammschusterst, wird Dir das demnächst vor die Füße fallen.
Zu Deinem Problem: wie gesagt: ohne Berechtigung kann der User nichts anstellen. İch hoffe nur, daß Du die User nicht als Admin eingerichtet hast, weil sonst Dich nicht anmelden dürftest. Das ist ein Anfängerfehler, wenn die Leute keinen "echten" TS einrichten, sondern nur einen Server, auf den per RDP zugegriffen wird.
lks
ja, Änderungen sind da nicht möglich, jedoch "stört" es mich schon irgendwie das der "normale Benutzer" das ganze überhaupt sieht. Evtl. gibt's da ne Möglichkeit das ausblenden zu lassen?
Moin...
Hallo Herr Fachinformatiker, von wo kommst du den?
wenn du magst, kann dir unser AZUBI zeigen was du brauchst für deinen RDS Host!
du solltest auf jedenfall die Profile mit FSLogix erstellen!
Frank
Hallo Herr Fachinformatiker, von wo kommst du den?
wenn du magst, kann dir unser AZUBI zeigen was du brauchst für deinen RDS Host!
du solltest auf jedenfall die Profile mit FSLogix erstellen!
Frank
2
@installer:
Hallo.
Oh weh, tatsächlich hättest Du das eher ablehnen sollen.
Ein paar Tips kann ich aber geben:
- verschiebe alle Verknüpfungen des Public-Startmenü (C:\ProgramData\Microsoft\Windows\Start Menu\Programs), die die normalen User nicht sehen/aufrufen können sollen, in das Startmenü Deines Administrators (C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs), und belasse nur die im Public-Startmenü, mit denen die User auch was anfangen und nichts administrativ machen oder kaputtmachen können. Damit hättest schonmal ein wichtigen Brocken aufgeräumt und hergerichtet
- gleiches mit dem Public Desktop
- das Terminalserverprofil der Nutzer unterscheidet sich von deren "normalen" Nutzerprofil auf einem normalen PC. Nachdem es hier nur einen einzigen TS gibt, werden diese wohl lokale Profile auf dem TS werden. Tu' den Leuten dort alles an Verknüpfungen hinein (Startmenü, Desktop), was jeder einzeln/individuell so braucht (die entsprechende Software muß natürlich in dem verknüpften Pfad auch enthalten sein, also entweder auf dem TS installiert, oder auf andere Rechner/Server verknüpft)
- bei jeglichen Softwareinstallationen auf dem Terminalserver muß dieser VORHER in den notwendigen Installationszustand versetzt werden. Das geht mit einer administrativen CMD und darin dem Befehl "change user /install". Erst nach diesem Befehl darf als Admin Software installiert werden, ansonsten kann es passieren, daß die Software nicht bei allen Usern funktioniert. Wenn das Setup erfolgreich abgeschlossen ist, versetzt Du den TS wieder in den Ausführungsmodus ("change user /execute"). Danach kannst Du die administrative CMD wieder schließen
Nochmal zur Erklärung:
Ein Terminal-/RDS ist zwar technisch durchaus ein Server, aber zum besseren Verständnis stell' Dir einfach vor, daß das ein sehr großer (leistungsfähiger) FAT-Client-PC sei, auf dem sich mehrere User GLEICHZEITIG anmelden und dabei alle einen eigenen Desktop kriegen (den sie danach remote per RDP-Client aufrufen können). Manche Ressourcen müssen sich aber alle User TEILEN, auch mit dem Administrator, deshalb schrieb' ich oben, was Du von Public (früher "AllUsers") alles in's Profil Deines Admin verschieben solltest, damit es die normalen User nicht in die Finger kriegen bzw. gar nicht erst zu Gesicht kriegen.
Das Netzwerk-Basisverzeichnis (vermutlich bzw. hoffentlich auf einem Fileserver), das User in ihren Eigenschaften im AD normalerweise über den Reiter "Profil" kriegen (für Nutzung am "normalen" FAT-Client-PC), kann hier für TS-Nutzung ebenso in den AD-Eigenschaften der User festgelegt werden, dann aber im Reiter "Terminaldienste-/RDS-Profil". Weitere Netzlaufwerke per Skript oder GPO, das funktioniert genauso wie bei normalen PCs in einem Netzwerk/AD.
Außerdem solltest Du Dir passende, typische Gruppenrichtlinien (GPO) für RDS/Terminalserver besorgen, um damit den Usern noch weitere Dinge auszublenden, mit denen sie Blödsinn anstellen könnten (z. B., damit sie den Server nicht herunterfahren).
Das war jetzt alles sehr grob und vereinfacht, aber vielleicht hilft das ja erstmal.
Viele Grüße
von
departure69
Hallo.
Oh weh, tatsächlich hättest Du das eher ablehnen sollen.
Ein paar Tips kann ich aber geben:
- verschiebe alle Verknüpfungen des Public-Startmenü (C:\ProgramData\Microsoft\Windows\Start Menu\Programs), die die normalen User nicht sehen/aufrufen können sollen, in das Startmenü Deines Administrators (C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs), und belasse nur die im Public-Startmenü, mit denen die User auch was anfangen und nichts administrativ machen oder kaputtmachen können. Damit hättest schonmal ein wichtigen Brocken aufgeräumt und hergerichtet
- gleiches mit dem Public Desktop
- das Terminalserverprofil der Nutzer unterscheidet sich von deren "normalen" Nutzerprofil auf einem normalen PC. Nachdem es hier nur einen einzigen TS gibt, werden diese wohl lokale Profile auf dem TS werden. Tu' den Leuten dort alles an Verknüpfungen hinein (Startmenü, Desktop), was jeder einzeln/individuell so braucht (die entsprechende Software muß natürlich in dem verknüpften Pfad auch enthalten sein, also entweder auf dem TS installiert, oder auf andere Rechner/Server verknüpft)
- bei jeglichen Softwareinstallationen auf dem Terminalserver muß dieser VORHER in den notwendigen Installationszustand versetzt werden. Das geht mit einer administrativen CMD und darin dem Befehl "change user /install". Erst nach diesem Befehl darf als Admin Software installiert werden, ansonsten kann es passieren, daß die Software nicht bei allen Usern funktioniert. Wenn das Setup erfolgreich abgeschlossen ist, versetzt Du den TS wieder in den Ausführungsmodus ("change user /execute"). Danach kannst Du die administrative CMD wieder schließen
Nochmal zur Erklärung:
Ein Terminal-/RDS ist zwar technisch durchaus ein Server, aber zum besseren Verständnis stell' Dir einfach vor, daß das ein sehr großer (leistungsfähiger) FAT-Client-PC sei, auf dem sich mehrere User GLEICHZEITIG anmelden und dabei alle einen eigenen Desktop kriegen (den sie danach remote per RDP-Client aufrufen können). Manche Ressourcen müssen sich aber alle User TEILEN, auch mit dem Administrator, deshalb schrieb' ich oben, was Du von Public (früher "AllUsers") alles in's Profil Deines Admin verschieben solltest, damit es die normalen User nicht in die Finger kriegen bzw. gar nicht erst zu Gesicht kriegen.
Das Netzwerk-Basisverzeichnis (vermutlich bzw. hoffentlich auf einem Fileserver), das User in ihren Eigenschaften im AD normalerweise über den Reiter "Profil" kriegen (für Nutzung am "normalen" FAT-Client-PC), kann hier für TS-Nutzung ebenso in den AD-Eigenschaften der User festgelegt werden, dann aber im Reiter "Terminaldienste-/RDS-Profil". Weitere Netzlaufwerke per Skript oder GPO, das funktioniert genauso wie bei normalen PCs in einem Netzwerk/AD.
Außerdem solltest Du Dir passende, typische Gruppenrichtlinien (GPO) für RDS/Terminalserver besorgen, um damit den Usern noch weitere Dinge auszublenden, mit denen sie Blödsinn anstellen könnten (z. B., damit sie den Server nicht herunterfahren).
Das war jetzt alles sehr grob und vereinfacht, aber vielleicht hilft das ja erstmal.
Viele Grüße
von
departure69
1
Zitat von @installer:
ja, Änderungen sind da nicht möglich, jedoch "stört" es mich schon irgendwie das der "normale Benutzer" das ganze überhaupt sieht. Evtl. gibt's da ne Möglichkeit das ausblenden zu lassen?
ja, Änderungen sind da nicht möglich, jedoch "stört" es mich schon irgendwie das der "normale Benutzer" das ganze überhaupt sieht. Evtl. gibt's da ne Möglichkeit das ausblenden zu lassen?
Moin,
Also eigentlich sehen die User, wie oben schon erwähnt, den Server Manager gar nicht - Wenn Sie in den richtigen Gruppen sind (bzw. keine Admin Gruppe inne haben).
Auch ich würde dir Empfehlen, transparent mit dem Kunden zu sprechen und zu sagen: "Hier habe ich keine Erfahrung. Bevor ich das alles Laienhaft zusammenfrickel, kann ich mich, Ihrem Einverständnis vorausgesetzt, um einen Partner kümmern. Dieser wird mit mir gemeinsam die RDS-Thematik umsetzen. Das ist schneller, effizienter und sicherer/ stabiler". Über die Kosten solltet ihr euch dann einigen.
Wenn der andere Partner werkelt, kannst du ihn löchern/ beobachten um das System zu verstehen / zu supporten.
ICH als Kunde wäre mit der Ehrlichkeit zufriedener , als wenn du mir da irgendwas hinzimmerst (nicht böse gemeint) und ich/ meine Mitarbeitenden dann permament herumfluchen oder das System permament abschießen.
Gruß
em-pie
1
Moin
Ich kann mich den Äußerungen nur anschließen.
und wenn Du es dann doch selber machen musst, weil deine Kalku den Einsatz eines externen Dienstleisters nicht hergibt, dann musst Du da wohl oder über selber durch.
Das Stichwort für Dich sollte "Terminal server lockdown policy" sein. Dann findet man z.B. Artikel wie den nachfolgenden, in dem erst einmal ganz grob die zu tätigenden Einstellungen beschrieben sind:
https://www.farmhousenetworking.com/servers/group-policy/terminal-server ...
Mit GPOs und deren Filterung, Loopbackverarbeitung etc. solltest Du natürlich "per Du" sein, damit das was werden kann.
Gruß
Ich kann mich den Äußerungen nur anschließen.
und wenn Du es dann doch selber machen musst, weil deine Kalku den Einsatz eines externen Dienstleisters nicht hergibt, dann musst Du da wohl oder über selber durch.
Das Stichwort für Dich sollte "Terminal server lockdown policy" sein. Dann findet man z.B. Artikel wie den nachfolgenden, in dem erst einmal ganz grob die zu tätigenden Einstellungen beschrieben sind:
https://www.farmhousenetworking.com/servers/group-policy/terminal-server ...
Mit GPOs und deren Filterung, Loopbackverarbeitung etc. solltest Du natürlich "per Du" sein, damit das was werden kann.
Gruß
2Auch ich würde dir Empfehlen, transparent mit dem Kunden zu sprechen und zu sagen: "Hier habe ich keine Erfahrung. Bevor ich das alles Laienhaft zusammenfrickel, kann ich mich, Ihrem Einverständnis vorausgesetzt, um einen Partner kümmern. Dieser wird mit mir gemeinsam die RDS-Thematik umsetzen. Das ist schneller, effizienter und sicherer/ stabiler". Über die Kosten solltet ihr euch dann einigen.
Wenn der andere Partner werkelt, kannst du ihn löchern/ beobachten um das System zu verstehen / zu supporten.
ICH als Kunde wäre mit der Ehrlichkeit zufriedener , als wenn du mir da irgendwas hinzimmerst (nicht böse gemeint) und ich/ meine Mitarbeitenden dann permament herumfluchen oder das System permament abschießen.
Gruß
em-pie
Wenn der andere Partner werkelt, kannst du ihn löchern/ beobachten um das System zu verstehen / zu supporten.
ICH als Kunde wäre mit der Ehrlichkeit zufriedener , als wenn du mir da irgendwas hinzimmerst (nicht böse gemeint) und ich/ meine Mitarbeitenden dann permament herumfluchen oder das System permament abschießen.
Gruß
em-pie
ja, mit dem Kunden habe ich das soweit klar besprochen, der weiß darüber Bescheid das sich das jetzt etwas länger rauszieht wie ursprünglich geplant, eben weil auch andere Anforderungen etc. dazu gekommen sind. Stehe da auch bereits schon mit anderen Kollegen in Kontakt zwecks Support etc. ...
... versuche nur eben vorarb schon so viele Infos etc. wie nur Möglich zu sammeln.
Sofern die Thin Clients .rdp Dateien ausführen können geht das recht einfach:
alternate shell:s:value
https://learn.microsoft.com/de-de/windows-server/remote/remote-desktop-s ...
alternate shell:s:value
https://learn.microsoft.com/de-de/windows-server/remote/remote-desktop-s ...
Wir bauen zur Zeit (nach 10 Jahren TS) diese Terminalserver Umgebung zurück. Nach meinen Informationen wird Microsoft ab 2025 das Office Paket nicht weiter auf dem TS unterstützen. Oder gibt es da inzwischen neue Infos?
Insofern ist es fraglich, ob eine neue TS Installation so eine gute Idee ist.
Gruß
Michael
Insofern ist es fraglich, ob eine neue TS Installation so eine gute Idee ist.
Gruß
Michael
@Michael-E:
Hallo.
Ich bezweifle, daß Microsoft es sich leisten kann, für RDS/Terminalserver überhaupt kein MS Office mehr zu ermöglichen. Es gibt Terminalserverfarmen mit 100.000 und mehr Nutzern, die auch alle MS-Office verwenden. Da gibt es also viel zu verlieren, sollte Microsoft so vorgehen.
Was hingegen durchaus passieren kann, seit Jahren deutet alles daraufhin: Daß es irgendwann überhaupt keine Kaufversionen von Microsoft Office mehr gibt und auch speziell auf Terminalserver nur noch ein Office-Abo-Produkt (wie aktuell z. B. Microsoft 365 im Plan 5) verwendet werden kann.
Viele Grüße
von
departure69
Hallo.
Ich bezweifle, daß Microsoft es sich leisten kann, für RDS/Terminalserver überhaupt kein MS Office mehr zu ermöglichen. Es gibt Terminalserverfarmen mit 100.000 und mehr Nutzern, die auch alle MS-Office verwenden. Da gibt es also viel zu verlieren, sollte Microsoft so vorgehen.
Was hingegen durchaus passieren kann, seit Jahren deutet alles daraufhin: Daß es irgendwann überhaupt keine Kaufversionen von Microsoft Office mehr gibt und auch speziell auf Terminalserver nur noch ein Office-Abo-Produkt (wie aktuell z. B. Microsoft 365 im Plan 5) verwendet werden kann.
Viele Grüße
von
departure69
Hallo,
so dachte ich auch. Zumal Microsoft 2019 diesen Versuch schon einmal gestartet hatte und der Aufschrei der Community wohl zu laut war.
Nach einigen Gesprächen mit großen Distributoren und letztendlich auch Microsoft direkt ist zumindest mein Stand, dass es so ist , wie beschrieben.
Das perfide daran: Nutzt man die Windows 10 Multiuserumgebung aus der Cloud, dann geht das komischerweise.
Der Weg Microsoft scheint ganz deutlich auf die Cloudnutzung abzuzielen.
Gruß
Michael
so dachte ich auch. Zumal Microsoft 2019 diesen Versuch schon einmal gestartet hatte und der Aufschrei der Community wohl zu laut war.
Nach einigen Gesprächen mit großen Distributoren und letztendlich auch Microsoft direkt ist zumindest mein Stand, dass es so ist , wie beschrieben.
Das perfide daran: Nutzt man die Windows 10 Multiuserumgebung aus der Cloud, dann geht das komischerweise.
Der Weg Microsoft scheint ganz deutlich auf die Cloudnutzung abzuzielen.
Gruß
Michael
Hallo liebe Community,
wollte mal ein kleines Feedback zum Projekt geben ... ist ja evtl. ganz interessant das in der Zukunft irgendwann mal weiter zu lesen.
Habe mich nun die letzten Tage und Wochen intensiv mit allem beschäftigt und habe soweit alles am laufen. Die User mit Lockdown Policies beschränkt, M365 BP über Azure AD Connect den User zur Verfügung gestellt ... etc. etc.
Hat natürlich einige Stunden an Recherche etc. gekostet aber freue mich den Zeitaufwand auf mich genommen zu haben und nun einen kleinen Haken dahinter machen zu können. Sicherlich bin ich noch nicht mit allem durch und kratze nur an der Oberfläche, aber das wichtigste ist gemacht.
Natürlich finde ich jetzt nach und nach zusammen mit dem Kunden weitere Sachen, welche durch die Lockdown Policy GPO noch blockiert werden sollen ... und da habe ich noch etwas, was ich auch nach Stunden recherche nicht finde:
Ich hab es zwar geschafft den Zugriff auf die Bibliotheks-Ordner "Pictures, Videos ..." zu sperren, jedoch ist es in einem Programm (z.B. Word, Paint etc.) noch immer über den "Öffnen / Speichern Unter" Dialog möglich auf die Ordner zuzugreifen und dort zu speichern.
Hat dazu jemand eine Idee ?
wollte mal ein kleines Feedback zum Projekt geben ... ist ja evtl. ganz interessant das in der Zukunft irgendwann mal weiter zu lesen.
Habe mich nun die letzten Tage und Wochen intensiv mit allem beschäftigt und habe soweit alles am laufen. Die User mit Lockdown Policies beschränkt, M365 BP über Azure AD Connect den User zur Verfügung gestellt ... etc. etc.
Hat natürlich einige Stunden an Recherche etc. gekostet aber freue mich den Zeitaufwand auf mich genommen zu haben und nun einen kleinen Haken dahinter machen zu können. Sicherlich bin ich noch nicht mit allem durch und kratze nur an der Oberfläche, aber das wichtigste ist gemacht.
Natürlich finde ich jetzt nach und nach zusammen mit dem Kunden weitere Sachen, welche durch die Lockdown Policy GPO noch blockiert werden sollen ... und da habe ich noch etwas, was ich auch nach Stunden recherche nicht finde:
Ich hab es zwar geschafft den Zugriff auf die Bibliotheks-Ordner "Pictures, Videos ..." zu sperren, jedoch ist es in einem Programm (z.B. Word, Paint etc.) noch immer über den "Öffnen / Speichern Unter" Dialog möglich auf die Ordner zuzugreifen und dort zu speichern.
Hat dazu jemand eine Idee ?
Guten Morgen
Wie hast Du das konfiguriert?
Vlt. ließe sich das irgendwie über das Setzen von ACLs auf dem Dateisystem hinbiegen. Per Skript oder auch direkt in der PO. Wobei sich mir der Sinn allerdings noch nicht so ganz erschließt und weshalb ich mir da noch niemals auch nur ansatzweise einen Gedanken drum gemacht habe. Wenn Du den einen Ordner sperrst - meinst Du, die Benutzer speichern die Bilder dann nicht ab? Oder nehmen sie doch ganz einfach einen anderen Ordner ?!
Gruß
Zitat von @installer:
Ich hab es zwar geschafft den Zugriff auf die Bibliotheks-Ordner "Pictures, Videos ..." zu sperren
Ich hab es zwar geschafft den Zugriff auf die Bibliotheks-Ordner "Pictures, Videos ..." zu sperren
Wie hast Du das konfiguriert?
Hat dazu jemand eine Idee ?
Vlt. ließe sich das irgendwie über das Setzen von ACLs auf dem Dateisystem hinbiegen. Per Skript oder auch direkt in der PO. Wobei sich mir der Sinn allerdings noch nicht so ganz erschließt und weshalb ich mir da noch niemals auch nur ansatzweise einen Gedanken drum gemacht habe. Wenn Du den einen Ordner sperrst - meinst Du, die Benutzer speichern die Bilder dann nicht ab? Oder nehmen sie doch ganz einfach einen anderen Ordner ?!
Gruß
Zitat von @Hubert.N:
Guten Morgen
Wie hast Du das konfiguriert?
Ich habe den Zugriff auf C, D, etc. "gesperrt" ... es ist nur möglich auf Netzlaufwerk Z: im Explorer zu speichern. Die GPO hat jedoch warum auch immer keine Auswirkung auf die "Bibliotheken". Laufwerk C: und D: etc. ist halt ausgeblendet, und wenn ich im Explorer auf "Dokumente" z.B. klicke bekomme ich die Meldung das der Ordner gesperrt ist, was ja bereits so passt. Lasse ich mir jedoch im Explorer den Ordner "Libraries" anzeigen, ist es mir Möglich darüber in den jeweiligen Ordner zu speichern, genauso wie über den "Speichern unter" Dialog aus einer Software.Guten Morgen
Zitat von @installer:
Ich hab es zwar geschafft den Zugriff auf die Bibliotheks-Ordner "Pictures, Videos ..." zu sperren
Ich hab es zwar geschafft den Zugriff auf die Bibliotheks-Ordner "Pictures, Videos ..." zu sperren
Wie hast Du das konfiguriert?
Hat dazu jemand eine Idee ?
Vlt. ließe sich das irgendwie über das Setzen von ACLs auf dem Dateisystem hinbiegen. Per Skript oder auch direkt in der PO. Wobei sich mir der Sinn allerdings noch nicht so ganz erschließt und weshalb ich mir da noch niemals auch nur ansatzweise einen Gedanken drum gemacht habe. Wenn Du den einen Ordner sperrst - meinst Du, die Benutzer speichern die Bilder dann nicht ab? Oder nehmen sie doch ganz einfach einen anderen Ordner ?!
Gruß
Der Sinn dahinter ist einfach das die jeweiligen Nutzer kein "persönlichen Speicherort" haben sollen, sondern nur auf dem Netzlaufwerk Z: in den jeweiligen Ordner ihre Daten ablegen sollen.
mmmhmmm ... "Version1" über GPO bringt leider keine Änderung
Als habe gerade noch mal nachgeschaut, unter Windows 11 wird man so die Bibliotheken auf einen Schlag los
und
- Löschen der folgenden Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\{1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE}und
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{031E4825-7B94-4dc3-B131-E946B44C8DD5}
... okay ... damit wird der Administrator jedoch auch keine Bibliotheken mehr angezeigt bekommen ... richtig? Da der Registry Key ja gelöscht wird. Wäre prinzipiell auch nicht wirklich wichtig ... nur will ich halt vorsichtig sein was Änderungen in der Registry angehen, da sich das ja auch auf den Terminal Server selbst auswirken kann?
Zitat von @installer:
... okay ... damit wird der Administrator jedoch auch keine Bibliotheken mehr angezeigt bekommen ... richtig?
Jepp. Wer nutzt die heute eigentlich noch?!... okay ... damit wird der Administrator jedoch auch keine Bibliotheken mehr angezeigt bekommen ... richtig?
da sich das ja auch auf den Terminal Server selbst auswirken kann?
Kein Problem damit schon 3 Jahre auf aktuellen Terminals im Einsatz. Der Explorer ignoriert den Namespace dann einfach, ist nichts wirklich weltbewegendes. That's a feature.1
