22
RDP nein, RemoteApp ja - möglich?
Moin moin,
ich muss micht nun auch mit der Bereitstellung von so "neumodischem Krams" wie RemoteApps herumschlagen. ,-)
Und da quält mich die Frage, ob ich einem User die Verwendung einer RemoteApp erlauben, ihm die Anmeldung per RDP-Client am Server aber verweigern kann?
Die Umgebung ist schnell beschrieben:
Windows Server 2008R2 als Terminalserver, eine dort installierte Anwendung soll Nutzern weltweit zur Verfügung stehen - das klappt auch prima, der Rollout der RemoteApp passiert via GPO, im Prinzip alles in Butter.
Nun sind aber einige User so "intelligent" und verbinden sich mit dem RDP-Client direkt auf den Server, was nicht im Sinne des Erfinders ist. Ich würde das nun gern so handhaben, dass definierte Benutzergruppen ausschliesslich die eine RemoteApp zur Verfügung haben, mit der sie arbeiten müssen, sich aber nicht per RDP-Client direkt am Server anmelden können.
Es geht hier nur um einen einzigen Terminalserver, kein Gateway oder whatsoever dazwischen. Hat jemand nen Denkanstoss oder gar ne Lösung?
Mein Dank wird euch nachschleichen.
Cheers,
jsysde
ich muss micht nun auch mit der Bereitstellung von so "neumodischem Krams" wie RemoteApps herumschlagen. ,-)
Und da quält mich die Frage, ob ich einem User die Verwendung einer RemoteApp erlauben, ihm die Anmeldung per RDP-Client am Server aber verweigern kann?
Die Umgebung ist schnell beschrieben:
Windows Server 2008R2 als Terminalserver, eine dort installierte Anwendung soll Nutzern weltweit zur Verfügung stehen - das klappt auch prima, der Rollout der RemoteApp passiert via GPO, im Prinzip alles in Butter.
Nun sind aber einige User so "intelligent" und verbinden sich mit dem RDP-Client direkt auf den Server, was nicht im Sinne des Erfinders ist. Ich würde das nun gern so handhaben, dass definierte Benutzergruppen ausschliesslich die eine RemoteApp zur Verfügung haben, mit der sie arbeiten müssen, sich aber nicht per RDP-Client direkt am Server anmelden können.
Es geht hier nur um einen einzigen Terminalserver, kein Gateway oder whatsoever dazwischen. Hat jemand nen Denkanstoss oder gar ne Lösung?
Mein Dank wird euch nachschleichen.
Cheers,
jsysde
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 170194
Url: https://administrator.de/contentid/170194
Ausgedruckt am: 25.11.2024 um 05:11 Uhr
22 Kommentare
Neuester Kommentar
Hallo!
zu deinem Problem gibt es mehrere Lösungsansätze, kann dir hier nicht wirklich helfen.
Jedoch wollte ich dir, falls nicht schon bekannt die Info geben, das für jede RemoteApp, bzw. jeden RDP-Client Lizenzen (RemoteCals) verbraucht werden! Eine sorgfältige Planung wäre hier ratsam, ausser die Lizenzen (€) spielen keine Rolle!
lg
Uli
zu deinem Problem gibt es mehrere Lösungsansätze, kann dir hier nicht wirklich helfen.
Jedoch wollte ich dir, falls nicht schon bekannt die Info geben, das für jede RemoteApp, bzw. jeden RDP-Client Lizenzen (RemoteCals) verbraucht werden! Eine sorgfältige Planung wäre hier ratsam, ausser die Lizenzen (€) spielen keine Rolle!
lg
Uli
Zitat von @Starmanager:
Hallo,
eroeffne fuer jeden Terminal User ein Konto im AD. Z.B. der User Kai kann sich dann nur mit dem Terminalkai am Terminalserver
anmelden und wenn Du dann in den Eigenschaften unter "Umgebung" den Pfad zur Anwendung hinterlegst kann er nur die
Anwendung starten und beenden. Die Haeckchen unten alle rausnehmen um Traffic zu vermeiden und damit sollte es funktionieren.
Gegebenfalls die Terminaluser in eine gesonderte Gruppe stecken wo sie die Einwahlberechtiguen zugewiesen bekommen.
MFG
Starmanager
Hallo,
eroeffne fuer jeden Terminal User ein Konto im AD. Z.B. der User Kai kann sich dann nur mit dem Terminalkai am Terminalserver
anmelden und wenn Du dann in den Eigenschaften unter "Umgebung" den Pfad zur Anwendung hinterlegst kann er nur die
Anwendung starten und beenden. Die Haeckchen unten alle rausnehmen um Traffic zu vermeiden und damit sollte es funktionieren.
Gegebenfalls die Terminaluser in eine gesonderte Gruppe stecken wo sie die Einwahlberechtiguen zugewiesen bekommen.
MFG
Starmanager
[ ] Du hast den Sinn und die Funktionsweise einer RemoteApp verstanden
[x] Geht völlig am Thema vorbei.
Cheers,
jsysde
Zitat von @Ulman88:
[...]zu deinem Problem gibt es mehrere Lösungsansätze, kann dir hier nicht wirklich helfen.[...]
Doch - in dem du einfach mal ein paar der Ansätze stichpunktartig aufzählst, das würde mir schon helfen.[...]zu deinem Problem gibt es mehrere Lösungsansätze, kann dir hier nicht wirklich helfen.[...]
Cheers,
jsysde
Habs gemerkt.
hier ein Link http://technet.microsoft.com/en-us/library/cc730673%28WS.10%29.aspx
MFG
Starmanager
hier ein Link http://technet.microsoft.com/en-us/library/cc730673%28WS.10%29.aspx
MFG
Starmanager
ich hatte eine ähnliche Herausforderung und es so gelöst, dass die RemoteApp ohne Probleme gestartet wird, wenn sich der User allerdings direkt Remote anmeldet er nur einen leeren Bildschirm hat.
Der Vorteil bei unserer RemoteApp ist auch, dass man kein Rechtsklickt braucht in der Anwendungen
so kann der User zwar Lustig auf dem TS rumsitzen - mehr aber auch nicht. Wenn du dann noch einstellst das er nur eine Sitzung haben darf und direkt zur alten zurück geführt wird bei reconnect, hat er zwar die RemoteApp offen kann aber an sich nichts machen (und du kannst per GPO nahezu alles verbieten auf dem TS - mit Ausnahme der RemoteApp).
Edit/Add: vergiss nicht bei den WinXP Clients den RDP 6.1 auszurollen.
Der Vorteil bei unserer RemoteApp ist auch, dass man kein Rechtsklickt braucht in der Anwendungen
so kann der User zwar Lustig auf dem TS rumsitzen - mehr aber auch nicht. Wenn du dann noch einstellst das er nur eine Sitzung haben darf und direkt zur alten zurück geführt wird bei reconnect, hat er zwar die RemoteApp offen kann aber an sich nichts machen (und du kannst per GPO nahezu alles verbieten auf dem TS - mit Ausnahme der RemoteApp).Edit/Add: vergiss nicht bei den WinXP Clients den RDP 6.1 auszurollen.
Hmm, darüber hatte ich auch schon nachgedacht, den Gedanken aber verworfen, weil ich so naiv bin, zu glauben, dass das auch "einfacher" und "eleganter" geht. Aber klar, so wäre es zumindest technisch umsetzbar. Mein Traum wäre eine Lösung, die bei direktem Zugriff via RDP-Client ne Meldung auswirft:
"Nice try, aber bitte nur die RemoteApp verwenden".
Naja, mal schauen, was sich noch tut. Und was den RDP-Client betrifft: WSUS sei Dank, alles aktuell (und bald auch keine XP-Clients mehr da).
Cheers,
jsysde
"Nice try, aber bitte nur die RemoteApp verwenden".
Naja, mal schauen, was sich noch tut. Und was den RDP-Client betrifft: WSUS sei Dank, alles aktuell (und bald auch keine XP-Clients mehr da).
Cheers,
jsysde
RDP6.1 wird nicht als _wichtiges_ Update eingespielt
Es gibt mit Sicherheit eine elegantere Lösung - nur sind es bei uns max 10 Leute die so mit der ERP arbeiten (naja noch ... zum Ende des Jahres sollen es 30+ werden) - Citirx bietet in dem Bereich wohl auch einiges - ansonsten als WebApp wenn die Software das hergibt (unsere ERP soll das mit dem nächsten Update können)
Es gibt mit Sicherheit eine elegantere Lösung - nur sind es bei uns max 10 Leute die so mit der ERP arbeiten (naja noch ... zum Ende des Jahres sollen es 30+ werden) - Citirx bietet in dem Bereich wohl auch einiges - ansonsten als WebApp wenn die Software das hergibt (unsere ERP soll das mit dem nächsten Update können)
Wer sagt, dass man via WSUS nur wichtige Updates einspielen kann?
Cheers,
jsysde
Cheers,
jsysde
Moin.
Wie zu erwarten war, haben sich das schon andere gefragt:
http://serverfault.com/questions/154127/allow-only-remoteapp-not-remote ...
Kurzform: Geht, man richte beim User die logoff.exe als shell ein. ->rein, gleich wieder raus.
Wie zu erwarten war, haben sich das schon andere gefragt:
http://serverfault.com/questions/154127/allow-only-remoteapp-not-remote ...
Kurzform: Geht, man richte beim User die logoff.exe als shell ein. ->rein, gleich wieder raus.
Danke. Das funktioniert tatsächlich. Nicht schön - aber wirkungsvoll. ,-)
Cheers,
jsysde
Cheers,
jsysde
Hallo zusammen,
ich hab das so ausprobiert und den Befehl in der Anmelde Richtlinie der GPO eingesetzt. Wenn der User sich auf dem TS anmeldet fliegt er automatisch raus. Soweit so gut. Allerdings fliegt der User auch sofort aus der RemoteApp raus. Das ist wiederum nicht Sinn der Sache. Wie verhindert man denn das? Bzw, welchen Fehler habe begangen?
Danke
Gruß
ich hab das so ausprobiert und den Befehl in der Anmelde Richtlinie der GPO eingesetzt. Wenn der User sich auf dem TS anmeldet fliegt er automatisch raus. Soweit so gut. Allerdings fliegt der User auch sofort aus der RemoteApp raus. Das ist wiederum nicht Sinn der Sache. Wie verhindert man denn das? Bzw, welchen Fehler habe begangen?
Danke
Gruß
Mach's doch so, wie ich es vorgeschlagen habe, das war ein anderer Ansatz.
So habe ich es gemacht.
Einmal per GPO -> Da flog man direkt aus der App raus
Dann per Benutzerprofil -> Anmeldeskript -> Unter Firefox funktioniert es so wie es soll. Wenn ich aber über den IE mich auf den TS verbinde, tritt der gleiche Effekt auf.
Der IE verhält sich im Vergleich zu anderen Browsern in dieser Hinsicht leider anders.
Gruß
Einmal per GPO -> Da flog man direkt aus der App raus
Dann per Benutzerprofil -> Anmeldeskript -> Unter Firefox funktioniert es so wie es soll. Wenn ich aber über den IE mich auf den TS verbinde, tritt der gleiche Effekt auf.
Der IE verhält sich im Vergleich zu anderen Browsern in dieser Hinsicht leider anders.
Gruß
Mein Link macht es doch anders: setze den Registryeintrag HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon von userinit.exe um auf logoff.exe.
1
Hi,
das würde wohl auch funktionieren, allerdings kann sich dann niemand mehr auf den Rechner anmelden, da der Eintrag unter HKLM gesetzt wird. Zumindest sollte der Administrator sollte sich per RDP anmelden können.
Gruß
das würde wohl auch funktionieren, allerdings kann sich dann niemand mehr auf den Rechner anmelden, da der Eintrag unter HKLM gesetzt wird. Zumindest sollte der Administrator sollte sich per RDP anmelden können.
Gruß
Verstehe... Aber das kann man ändern, nimm dem Admin Ausführrechte auf logoff.exe
1
Hi,
leider auch hier das gleiche Phänomen. RDP geht nicht, sowie die Apps über die IE
Man fliegt auch nach dem Start raus.
Es liegt wohl daran, dass man beim Starten der APP unter "Deteils anzeigen" die Anmeldung quasi sieht. Der Server kann hierbei nicht unterscheiden ob es um eine RDP-Anmeldung oder um eine RemoteApp handelt.
leider auch hier das gleiche Phänomen. RDP geht nicht, sowie die Apps über die IE
Man fliegt auch nach dem Start raus.Es liegt wohl daran, dass man beim Starten der APP unter "Deteils anzeigen" die Anmeldung quasi sieht. Der Server kann hierbei nicht unterscheiden ob es um eine RDP-Anmeldung oder um eine RemoteApp handelt.
Dann hat sich das geändert. Ich stell das Anfang der Woche mal nach.
1
Habe es getestet und eine Lösung gefunden. Zunächst einmal: der alte Weg (Reg-Eintrag von userinit.exe auf logoff.exe ändern) geht nicht mehr, das habe ich bestätigt.
Was geht:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Eintrag shell von explorer.exe um auf logoff.exe ändern und den Zugriff auf logoff.exe für Administratoren verweigern.
Was geht:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Eintrag shell von explorer.exe um auf logoff.exe ändern und den Zugriff auf logoff.exe für Administratoren verweigern.
Hi,
das hat funktioniert. Ich musste unter System32/logoff.exe dem Admin alle Rechte entziehen und unter "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell -> shell.exe" noch "logoff.exe" ergänzen. Wenn ich nur logoff.exe stehen gelassen habe, blieb der Bildschirm schwarz. So ruft er nach dem fehlgeschlagenen abmelden die shell auf.
Gruß
das hat funktioniert. Ich musste unter System32/logoff.exe dem Admin alle Rechte entziehen und unter "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell -> shell.exe" noch "logoff.exe" ergänzen. Wenn ich nur logoff.exe stehen gelassen habe, blieb der Bildschirm schwarz. So ruft er nach dem fehlgeschlagenen abmelden die shell auf.
Gruß
Danke für die Ergänzung, das war mir auch aufgefallen aber ich hatte noch nicht weiter Zeit dazu.
