jsysde
Goto Top

RDP nein, RemoteApp ja - möglich?

Moin moin,

ich muss micht nun auch mit der Bereitstellung von so "neumodischem Krams" wie RemoteApps herumschlagen. ,-)
Und da quält mich die Frage, ob ich einem User die Verwendung einer RemoteApp erlauben, ihm die Anmeldung per RDP-Client am Server aber verweigern kann?

Die Umgebung ist schnell beschrieben:
Windows Server 2008R2 als Terminalserver, eine dort installierte Anwendung soll Nutzern weltweit zur Verfügung stehen - das klappt auch prima, der Rollout der RemoteApp passiert via GPO, im Prinzip alles in Butter.

Nun sind aber einige User so "intelligent" und verbinden sich mit dem RDP-Client direkt auf den Server, was nicht im Sinne des Erfinders ist. Ich würde das nun gern so handhaben, dass definierte Benutzergruppen ausschliesslich die eine RemoteApp zur Verfügung haben, mit der sie arbeiten müssen, sich aber nicht per RDP-Client direkt am Server anmelden können.

Es geht hier nur um einen einzigen Terminalserver, kein Gateway oder whatsoever dazwischen. Hat jemand nen Denkanstoss oder gar ne Lösung?

Mein Dank wird euch nachschleichen. face-wink

Cheers,
jsysde

Content-Key: 170194

Url: https://administrator.de/contentid/170194

Printed on: April 18, 2024 at 01:04 o'clock

Member: Ulman88
Ulman88 Jul 21, 2011 at 16:11:32 (UTC)
Goto Top
Hallo!

zu deinem Problem gibt es mehrere Lösungsansätze, kann dir hier nicht wirklich helfen.

Jedoch wollte ich dir, falls nicht schon bekannt die Info geben, das für jede RemoteApp, bzw. jeden RDP-Client Lizenzen (RemoteCals) verbraucht werden! Eine sorgfältige Planung wäre hier ratsam, ausser die Lizenzen (€) spielen keine Rolle!

lg
Uli
Member: Starmanager
Starmanager Jul 21, 2011 at 16:24:21 (UTC)
Goto Top
Member: jsysde
jsysde Jul 21, 2011 at 16:27:35 (UTC)
Goto Top
Zitat von @Starmanager:
Hallo,

eroeffne fuer jeden Terminal User ein Konto im AD. Z.B. der User Kai kann sich dann nur mit dem Terminalkai am Terminalserver
anmelden und wenn Du dann in den Eigenschaften unter "Umgebung" den Pfad zur Anwendung hinterlegst kann er nur die
Anwendung starten und beenden. Die Haeckchen unten alle rausnehmen um Traffic zu vermeiden und damit sollte es funktionieren.
Gegebenfalls die Terminaluser in eine gesonderte Gruppe stecken wo sie die Einwahlberechtiguen zugewiesen bekommen.

MFG

Starmanager

[ ] Du hast den Sinn und die Funktionsweise einer RemoteApp verstanden
[x] Geht völlig am Thema vorbei.

Cheers,
jsysde
Member: jsysde
jsysde Jul 21, 2011 at 16:28:50 (UTC)
Goto Top
Zitat von @Ulman88:
[...]zu deinem Problem gibt es mehrere Lösungsansätze, kann dir hier nicht wirklich helfen.[...]
Doch - in dem du einfach mal ein paar der Ansätze stichpunktartig aufzählst, das würde mir schon helfen.

Cheers,
jsysde
Member: Starmanager
Starmanager Jul 21, 2011 at 16:44:36 (UTC)
Goto Top
Member: clSchak
clSchak Jul 21, 2011 at 17:23:02 (UTC)
Goto Top
ich hatte eine ähnliche Herausforderung und es so gelöst, dass die RemoteApp ohne Probleme gestartet wird, wenn sich der User allerdings direkt Remote anmeldet er nur einen leeren Bildschirm hat.

Der Vorteil bei unserer RemoteApp ist auch, dass man kein Rechtsklickt braucht in der Anwendungen face-smile so kann der User zwar Lustig auf dem TS rumsitzen - mehr aber auch nicht. Wenn du dann noch einstellst das er nur eine Sitzung haben darf und direkt zur alten zurück geführt wird bei reconnect, hat er zwar die RemoteApp offen kann aber an sich nichts machen face-smile (und du kannst per GPO nahezu alles verbieten auf dem TS - mit Ausnahme der RemoteApp).

Edit/Add: vergiss nicht bei den WinXP Clients den RDP 6.1 auszurollen.
Member: jsysde
jsysde Jul 21, 2011 at 18:19:36 (UTC)
Goto Top
Hmm, darüber hatte ich auch schon nachgedacht, den Gedanken aber verworfen, weil ich so naiv bin, zu glauben, dass das auch "einfacher" und "eleganter" geht. Aber klar, so wäre es zumindest technisch umsetzbar. Mein Traum wäre eine Lösung, die bei direktem Zugriff via RDP-Client ne Meldung auswirft:
"Nice try, aber bitte nur die RemoteApp verwenden".

Naja, mal schauen, was sich noch tut. Und was den RDP-Client betrifft: WSUS sei Dank, alles aktuell (und bald auch keine XP-Clients mehr da).

Cheers,
jsysde
Member: clSchak
clSchak Jul 21, 2011 at 19:17:14 (UTC)
Goto Top
RDP6.1 wird nicht als _wichtiges_ Update eingespielt face-smile

Es gibt mit Sicherheit eine elegantere Lösung - nur sind es bei uns max 10 Leute die so mit der ERP arbeiten (naja noch ... zum Ende des Jahres sollen es 30+ werden) - Citirx bietet in dem Bereich wohl auch einiges - ansonsten als WebApp wenn die Software das hergibt (unsere ERP soll das mit dem nächsten Update können)
Member: jsysde
jsysde Jul 21, 2011 at 21:16:05 (UTC)
Goto Top
Wer sagt, dass man via WSUS nur wichtige Updates einspielen kann? face-wink

Cheers,
jsysde
Member: DerWoWusste
DerWoWusste Jul 23, 2011 at 14:41:54 (UTC)
Goto Top
Moin.
Wie zu erwarten war, haben sich das schon andere gefragt:
http://serverfault.com/questions/154127/allow-only-remoteapp-not-remote ...
Kurzform: Geht, man richte beim User die logoff.exe als shell ein. ->rein, gleich wieder raus.
Member: jsysde
jsysde Jul 23, 2011 at 15:05:45 (UTC)
Goto Top
Danke. Das funktioniert tatsächlich. Nicht schön - aber wirkungsvoll. ,-)

Cheers,
jsysde
Member: FishermansFriend
FishermansFriend Nov 24, 2016 at 14:34:34 (UTC)
Goto Top
Hallo zusammen,

ich hab das so ausprobiert und den Befehl in der Anmelde Richtlinie der GPO eingesetzt. Wenn der User sich auf dem TS anmeldet fliegt er automatisch raus. Soweit so gut. Allerdings fliegt der User auch sofort aus der RemoteApp raus. Das ist wiederum nicht Sinn der Sache. Wie verhindert man denn das? Bzw, welchen Fehler habe begangen?

Danke

Gruß
Member: DerWoWusste
DerWoWusste Nov 24, 2016 at 14:37:01 (UTC)
Goto Top
Mach's doch so, wie ich es vorgeschlagen habe, das war ein anderer Ansatz.
Member: FishermansFriend
FishermansFriend Nov 25, 2016 at 08:17:54 (UTC)
Goto Top
So habe ich es gemacht.
Einmal per GPO -> Da flog man direkt aus der App raus
Dann per Benutzerprofil -> Anmeldeskript -> Unter Firefox funktioniert es so wie es soll. Wenn ich aber über den IE mich auf den TS verbinde, tritt der gleiche Effekt auf.

Der IE verhält sich im Vergleich zu anderen Browsern in dieser Hinsicht leider anders.

Gruß
Member: DerWoWusste
DerWoWusste Nov 25, 2016 at 09:44:52 (UTC)
Goto Top
Mein Link macht es doch anders: setze den Registryeintrag HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon von userinit.exe um auf logoff.exe.
Member: FishermansFriend
FishermansFriend Nov 25, 2016 at 12:18:01 (UTC)
Goto Top
Hi,

das würde wohl auch funktionieren, allerdings kann sich dann niemand mehr auf den Rechner anmelden, da der Eintrag unter HKLM gesetzt wird. Zumindest sollte der Administrator sollte sich per RDP anmelden können.

Gruß
Member: DerWoWusste
DerWoWusste Nov 25, 2016 at 12:19:23 (UTC)
Goto Top
Verstehe... Aber das kann man ändern, nimm dem Admin Ausführrechte auf logoff.exe
Member: FishermansFriend
FishermansFriend Nov 25, 2016 at 14:27:16 (UTC)
Goto Top
Hi,

leider auch hier das gleiche Phänomen. RDP geht nicht, sowie die Apps über die IE face-sad Man fliegt auch nach dem Start raus.
Es liegt wohl daran, dass man beim Starten der APP unter "Deteils anzeigen" die Anmeldung quasi sieht. Der Server kann hierbei nicht unterscheiden ob es um eine RDP-Anmeldung oder um eine RemoteApp handelt.
Member: DerWoWusste
DerWoWusste Nov 25, 2016 at 14:46:45 (UTC)
Goto Top
Dann hat sich das geändert. Ich stell das Anfang der Woche mal nach.
Member: DerWoWusste
DerWoWusste Nov 28, 2016 at 08:47:13 (UTC)
Goto Top
Habe es getestet und eine Lösung gefunden. Zunächst einmal: der alte Weg (Reg-Eintrag von userinit.exe auf logoff.exe ändern) geht nicht mehr, das habe ich bestätigt.

Was geht:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Eintrag shell von explorer.exe um auf logoff.exe ändern und den Zugriff auf logoff.exe für Administratoren verweigern.
Member: FishermansFriend
FishermansFriend Nov 28, 2016 at 15:03:11 (UTC)
Goto Top
Hi,

das hat funktioniert. Ich musste unter System32/logoff.exe dem Admin alle Rechte entziehen und unter "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell -> shell.exe" noch "logoff.exe" ergänzen. Wenn ich nur logoff.exe stehen gelassen habe, blieb der Bildschirm schwarz. So ruft er nach dem fehlgeschlagenen abmelden die shell auf.

Gruß
Member: DerWoWusste
DerWoWusste Nov 28, 2016 at 15:06:57 (UTC)
Goto Top
Danke für die Ergänzung, das war mir auch aufgefallen aber ich hatte noch nicht weiter Zeit dazu.