RDP nein, RemoteApp ja - möglich?
Moin moin,
ich muss micht nun auch mit der Bereitstellung von so "neumodischem Krams" wie RemoteApps herumschlagen. ,-)
Und da quält mich die Frage, ob ich einem User die Verwendung einer RemoteApp erlauben, ihm die Anmeldung per RDP-Client am Server aber verweigern kann?
Die Umgebung ist schnell beschrieben:
Windows Server 2008R2 als Terminalserver, eine dort installierte Anwendung soll Nutzern weltweit zur Verfügung stehen - das klappt auch prima, der Rollout der RemoteApp passiert via GPO, im Prinzip alles in Butter.
Nun sind aber einige User so "intelligent" und verbinden sich mit dem RDP-Client direkt auf den Server, was nicht im Sinne des Erfinders ist. Ich würde das nun gern so handhaben, dass definierte Benutzergruppen ausschliesslich die eine RemoteApp zur Verfügung haben, mit der sie arbeiten müssen, sich aber nicht per RDP-Client direkt am Server anmelden können.
Es geht hier nur um einen einzigen Terminalserver, kein Gateway oder whatsoever dazwischen. Hat jemand nen Denkanstoss oder gar ne Lösung?
Mein Dank wird euch nachschleichen.
Cheers,
jsysde
ich muss micht nun auch mit der Bereitstellung von so "neumodischem Krams" wie RemoteApps herumschlagen. ,-)
Und da quält mich die Frage, ob ich einem User die Verwendung einer RemoteApp erlauben, ihm die Anmeldung per RDP-Client am Server aber verweigern kann?
Die Umgebung ist schnell beschrieben:
Windows Server 2008R2 als Terminalserver, eine dort installierte Anwendung soll Nutzern weltweit zur Verfügung stehen - das klappt auch prima, der Rollout der RemoteApp passiert via GPO, im Prinzip alles in Butter.
Nun sind aber einige User so "intelligent" und verbinden sich mit dem RDP-Client direkt auf den Server, was nicht im Sinne des Erfinders ist. Ich würde das nun gern so handhaben, dass definierte Benutzergruppen ausschliesslich die eine RemoteApp zur Verfügung haben, mit der sie arbeiten müssen, sich aber nicht per RDP-Client direkt am Server anmelden können.
Es geht hier nur um einen einzigen Terminalserver, kein Gateway oder whatsoever dazwischen. Hat jemand nen Denkanstoss oder gar ne Lösung?
Mein Dank wird euch nachschleichen.
Cheers,
jsysde
Please also mark the comments that contributed to the solution of the article
Content-ID: 170194
Url: https://administrator.de/contentid/170194
Printed on: November 4, 2024 at 01:11 o'clock
22 Comments
Latest comment
Hallo!
zu deinem Problem gibt es mehrere Lösungsansätze, kann dir hier nicht wirklich helfen.
Jedoch wollte ich dir, falls nicht schon bekannt die Info geben, das für jede RemoteApp, bzw. jeden RDP-Client Lizenzen (RemoteCals) verbraucht werden! Eine sorgfältige Planung wäre hier ratsam, ausser die Lizenzen (€) spielen keine Rolle!
lg
Uli
zu deinem Problem gibt es mehrere Lösungsansätze, kann dir hier nicht wirklich helfen.
Jedoch wollte ich dir, falls nicht schon bekannt die Info geben, das für jede RemoteApp, bzw. jeden RDP-Client Lizenzen (RemoteCals) verbraucht werden! Eine sorgfältige Planung wäre hier ratsam, ausser die Lizenzen (€) spielen keine Rolle!
lg
Uli
Habs gemerkt.
hier ein Link http://technet.microsoft.com/en-us/library/cc730673%28WS.10%29.aspx
MFG
Starmanager
hier ein Link http://technet.microsoft.com/en-us/library/cc730673%28WS.10%29.aspx
MFG
Starmanager
ich hatte eine ähnliche Herausforderung und es so gelöst, dass die RemoteApp ohne Probleme gestartet wird, wenn sich der User allerdings direkt Remote anmeldet er nur einen leeren Bildschirm hat.
Der Vorteil bei unserer RemoteApp ist auch, dass man kein Rechtsklickt braucht in der Anwendungen so kann der User zwar Lustig auf dem TS rumsitzen - mehr aber auch nicht. Wenn du dann noch einstellst das er nur eine Sitzung haben darf und direkt zur alten zurück geführt wird bei reconnect, hat er zwar die RemoteApp offen kann aber an sich nichts machen (und du kannst per GPO nahezu alles verbieten auf dem TS - mit Ausnahme der RemoteApp).
Edit/Add: vergiss nicht bei den WinXP Clients den RDP 6.1 auszurollen.
Der Vorteil bei unserer RemoteApp ist auch, dass man kein Rechtsklickt braucht in der Anwendungen so kann der User zwar Lustig auf dem TS rumsitzen - mehr aber auch nicht. Wenn du dann noch einstellst das er nur eine Sitzung haben darf und direkt zur alten zurück geführt wird bei reconnect, hat er zwar die RemoteApp offen kann aber an sich nichts machen (und du kannst per GPO nahezu alles verbieten auf dem TS - mit Ausnahme der RemoteApp).
Edit/Add: vergiss nicht bei den WinXP Clients den RDP 6.1 auszurollen.
RDP6.1 wird nicht als _wichtiges_ Update eingespielt
Es gibt mit Sicherheit eine elegantere Lösung - nur sind es bei uns max 10 Leute die so mit der ERP arbeiten (naja noch ... zum Ende des Jahres sollen es 30+ werden) - Citirx bietet in dem Bereich wohl auch einiges - ansonsten als WebApp wenn die Software das hergibt (unsere ERP soll das mit dem nächsten Update können)
Es gibt mit Sicherheit eine elegantere Lösung - nur sind es bei uns max 10 Leute die so mit der ERP arbeiten (naja noch ... zum Ende des Jahres sollen es 30+ werden) - Citirx bietet in dem Bereich wohl auch einiges - ansonsten als WebApp wenn die Software das hergibt (unsere ERP soll das mit dem nächsten Update können)
Moin.
Wie zu erwarten war, haben sich das schon andere gefragt:
http://serverfault.com/questions/154127/allow-only-remoteapp-not-remote ...
Kurzform: Geht, man richte beim User die logoff.exe als shell ein. ->rein, gleich wieder raus.
Wie zu erwarten war, haben sich das schon andere gefragt:
http://serverfault.com/questions/154127/allow-only-remoteapp-not-remote ...
Kurzform: Geht, man richte beim User die logoff.exe als shell ein. ->rein, gleich wieder raus.
Hallo zusammen,
ich hab das so ausprobiert und den Befehl in der Anmelde Richtlinie der GPO eingesetzt. Wenn der User sich auf dem TS anmeldet fliegt er automatisch raus. Soweit so gut. Allerdings fliegt der User auch sofort aus der RemoteApp raus. Das ist wiederum nicht Sinn der Sache. Wie verhindert man denn das? Bzw, welchen Fehler habe begangen?
Danke
Gruß
ich hab das so ausprobiert und den Befehl in der Anmelde Richtlinie der GPO eingesetzt. Wenn der User sich auf dem TS anmeldet fliegt er automatisch raus. Soweit so gut. Allerdings fliegt der User auch sofort aus der RemoteApp raus. Das ist wiederum nicht Sinn der Sache. Wie verhindert man denn das? Bzw, welchen Fehler habe begangen?
Danke
Gruß
So habe ich es gemacht.
Einmal per GPO -> Da flog man direkt aus der App raus
Dann per Benutzerprofil -> Anmeldeskript -> Unter Firefox funktioniert es so wie es soll. Wenn ich aber über den IE mich auf den TS verbinde, tritt der gleiche Effekt auf.
Der IE verhält sich im Vergleich zu anderen Browsern in dieser Hinsicht leider anders.
Gruß
Einmal per GPO -> Da flog man direkt aus der App raus
Dann per Benutzerprofil -> Anmeldeskript -> Unter Firefox funktioniert es so wie es soll. Wenn ich aber über den IE mich auf den TS verbinde, tritt der gleiche Effekt auf.
Der IE verhält sich im Vergleich zu anderen Browsern in dieser Hinsicht leider anders.
Gruß
Hi,
leider auch hier das gleiche Phänomen. RDP geht nicht, sowie die Apps über die IE Man fliegt auch nach dem Start raus.
Es liegt wohl daran, dass man beim Starten der APP unter "Deteils anzeigen" die Anmeldung quasi sieht. Der Server kann hierbei nicht unterscheiden ob es um eine RDP-Anmeldung oder um eine RemoteApp handelt.
leider auch hier das gleiche Phänomen. RDP geht nicht, sowie die Apps über die IE Man fliegt auch nach dem Start raus.
Es liegt wohl daran, dass man beim Starten der APP unter "Deteils anzeigen" die Anmeldung quasi sieht. Der Server kann hierbei nicht unterscheiden ob es um eine RDP-Anmeldung oder um eine RemoteApp handelt.
Habe es getestet und eine Lösung gefunden. Zunächst einmal: der alte Weg (Reg-Eintrag von userinit.exe auf logoff.exe ändern) geht nicht mehr, das habe ich bestätigt.
Was geht:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Eintrag shell von explorer.exe um auf logoff.exe ändern und den Zugriff auf logoff.exe für Administratoren verweigern.
Was geht:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Eintrag shell von explorer.exe um auf logoff.exe ändern und den Zugriff auf logoff.exe für Administratoren verweigern.
Hi,
das hat funktioniert. Ich musste unter System32/logoff.exe dem Admin alle Rechte entziehen und unter "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell -> shell.exe" noch "logoff.exe" ergänzen. Wenn ich nur logoff.exe stehen gelassen habe, blieb der Bildschirm schwarz. So ruft er nach dem fehlgeschlagenen abmelden die shell auf.
Gruß
das hat funktioniert. Ich musste unter System32/logoff.exe dem Admin alle Rechte entziehen und unter "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell -> shell.exe" noch "logoff.exe" ergänzen. Wenn ich nur logoff.exe stehen gelassen habe, blieb der Bildschirm schwarz. So ruft er nach dem fehlgeschlagenen abmelden die shell auf.
Gruß