pr3adus
Goto Top

Programmverknüpfungen auf einer Terminalserverfarm 2019 Server via GPO

Hi,

Setup:
  • ein Applikationsserver wo die Programme installiert sind
  • eine Terminalserverfarm bestehend aus einem GW und zwei TS Hostservern (Alle anderen Dienste der Farm liegen auf dem GW. - Broker & Lizenzen etc.)
  • zwei DC

Ich habe folgendes Problem:
Ich verteile die Verknüpfungen zu den Programmen - als Beispiel jetzt einfach mal Certiform.
Die GPO verteilt die Verknüpfung für das Programm und den Speicherpfad als lokales Laufwerk (V:\).

Zeil der Verknüpfung: \\applikationserver\certiform\KVHB.exe
Ausführen in: V:\
Symboldatei: \\applikationserver\certiform\KVHB.exe

Ebenso habe ich in der GPO festgelegt, dass das Programm wieder entfernt werden soll wenn der Nutzer nicht länger in der Sicherheitsgruppe im AD ist.
Aber da passiert nichts! Gesetzt ist das bei der Verknüpfung und beim Laufwerk im Reiter "Gemeinsame Optionen" unter "Element entfernen wenn es nicht mehr angewendet wird".

Hat jemand eine Idee wie ich es schaffe, dass die Verknüpfung und das Laufwerk wieder entfernt werden nachdem ich den Nutzer aus der Sicherheitsgruppe entferne?

Content-ID: 593321

Url: https://administrator.de/contentid/593321

Printed on: November 14, 2024 at 07:11 o'clock

chgorges
chgorges Aug 04, 2020 at 10:23:58 (UTC)
Goto Top
Zitat von @pr3adus:

Hi,
Hi,
Ebenso habe ich in der GPO festgelegt, dass das Programm wieder entfernt werden soll wenn der Nutzer nicht länger in der Sicherheitsgruppe im AD ist.
Aber da passiert nichts! Gesetzt ist das bei der Verknüpfung und beim Laufwerk im Reiter "Gemeinsame Optionen" unter "Element entfernen wenn es nicht mehr angewendet wird".

Das eine hat mit dem anderen nichts zu tun. Die Verknüpfung wird erst entfernet, wenn du die Gruppenrichtlinie bzw. die Verknüpfung entfernst bzw. deaktivierst. Eine Änderung in der Sicherheitsfilterung hat keine Auswirkung.
Gleiches Spiel wie bei MSI-Installationen.
pr3adus
pr3adus Aug 04, 2020 at 10:48:58 (UTC)
Goto Top
Und hast du dann eine Idee wie das zu realisieren wäre? Also dass ein Nutzer welcher aus einer Sicherheitsgruppe im AD entfernt wird auch nicht mehr die Verknüpfung erhält bzw. diese entfernt wird?
chgorges
chgorges Aug 04, 2020 updated at 10:57:34 (UTC)
Goto Top
Ich würde es mit einer zusätzlichen Lösch-GPO machen. Einfach eine AD-Gruppe anlegen, in der die Benutzer/Gruppen drin sind, bei denen das gelöscht werden soll und als Sicherheitsfilterung draufsetzen.
Musst aber auf die GPO-Anwendungsreihenfolge achten, dass die Lösch-GPO nach der Installations-GPO ausgeführt wird.
emeriks
Solution emeriks Aug 04, 2020 updated at 11:17:12 (UTC)
Goto Top
Zitat von @chgorges:
Das eine hat mit dem anderen nichts zu tun. Die Verknüpfung wird erst entfernet, wenn du die Gruppenrichtlinie bzw. die Verknüpfung entfernst bzw. deaktivierst. Eine Änderung in der Sicherheitsfilterung hat keine Auswirkung.
Doch, schon. Wenn man die Filterung nicht über die Sicherheitsfilterung einer GPO sondern stattdessen über die Zielgruppenadressierung "Benutzer Mitglied in Sicherheitsgruppe" der GPP erledigt, dann sollte bei Aktivierung von "Element entfernen, wenn es nicht mehr angewendet wird" die Verknüpfung entfernt werden, sobald der Benutzer nicht mehr in dieser Gruppe ist.
Wenn man darüber hinaus noch eine explizite Lösch-Aktion erstellen will, dann braucht man dafür auch keine neue Gruppe, sondern einfach ein Lösch-Aktion für dieses Element erstellen und als Zielgruppenadressierung "Benutzer ist nicht Mitglied in Sicherheitsgruppe" wählen.
Das sollte so funktionieren.
chgorges
chgorges Aug 04, 2020 at 11:22:37 (UTC)
Goto Top
Zitat von @emeriks:
Doch, schon. Wenn man die Filterung nicht über die Sicherheitsfilterung einer GPO sondern stattdessen über die Zielgruppenadressierung "Benutzer Mitglied in Sicherheitsgruppe" der GPP erledigt, dann sollte bei Aktivierung von "Element entfernen, wenn es nicht mehr angewendet wird" die Verknüpfung entfernt werden, sobald der Benutzer nicht mehr in dieser Gruppe ist.

Jup, das hab ich verdrängt, bzw. nicht erwähnt, weil es, zumindest für mich, nichts gruseligeres gibt, als diese Settings in der Zielgruppenadressierung zu verstecken face-smile Ist was aus dem Fach "Wie drücke ich meinen Kollegen was rein" :D