RDS 2019, GPO und Office-Microsoft-365
Hallo.
Wir wollen demnächst einen Windows-2019-RDS einsetzen.
Die Lizenzangelegenheit wird gerade bei Comparex/SoftwareONE geklärt (Lic. für Server, Zugriffs-Cals für Server, RDS-Cals), aber ich habe noch ein paar wenige, weitere Fragen:
- gibt es für einen RDS-Server GPO-Empfehlungen? Wichtig wäre, daß die User den Server nicht herunterfahren oder neu starten können, und daß Systemlaufwerk C:\ unsichtbar ist, desweiteren Ordnerumleitung
- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt? Wir haben natürlich auch schon GPOs/GPPs für die normalen FAT-Client-Rechner unserer User, und ich weiß, daß man den Loopback-Modus braucht, damit sich GPOs/GPPs für einerseits FAT-Clients und andererseits RDS-/Terminalserver nicht in's Gehege kommen. Würde mich dazu gerne einlesen
- welche Microsoft-365-Version brauche ich speziell für den Einsatz am RDS? Wichtig wäre Word, Excel, PPT, Outlook und Teams in der aktuellen Version, Access wird nicht benötigt. Ich weiß, daß Microsoft 365 nach "Plänen" lizensiert und erworben wird, doch welchen "Plan" braucht es speziell für RDS?
Danke Euch erstmal.
Viele Grüße
von
departure69
Wir wollen demnächst einen Windows-2019-RDS einsetzen.
Die Lizenzangelegenheit wird gerade bei Comparex/SoftwareONE geklärt (Lic. für Server, Zugriffs-Cals für Server, RDS-Cals), aber ich habe noch ein paar wenige, weitere Fragen:
- gibt es für einen RDS-Server GPO-Empfehlungen? Wichtig wäre, daß die User den Server nicht herunterfahren oder neu starten können, und daß Systemlaufwerk C:\ unsichtbar ist, desweiteren Ordnerumleitung
- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt? Wir haben natürlich auch schon GPOs/GPPs für die normalen FAT-Client-Rechner unserer User, und ich weiß, daß man den Loopback-Modus braucht, damit sich GPOs/GPPs für einerseits FAT-Clients und andererseits RDS-/Terminalserver nicht in's Gehege kommen. Würde mich dazu gerne einlesen
- welche Microsoft-365-Version brauche ich speziell für den Einsatz am RDS? Wichtig wäre Word, Excel, PPT, Outlook und Teams in der aktuellen Version, Access wird nicht benötigt. Ich weiß, daß Microsoft 365 nach "Plänen" lizensiert und erworben wird, doch welchen "Plan" braucht es speziell für RDS?
Danke Euch erstmal.
Viele Grüße
von
departure69
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1665719158
Url: https://administrator.de/forum/rds-2019-gpo-und-office-microsoft-365-1665719158.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr
15 Kommentare
Neuester Kommentar
ok
Die Lizenzangelegenheit wird gerade bei Comparex/SoftwareONE geklärt (Lic. für Server, Zugriffs-Cals für Server, RDS-Cals)
kann man auch als 2022 Lizensieren, ist grundsätzlich downgradeable. Sollten die vielleicht auch die Einrichtung übernehmen oder jemand anderes vom Fach?
- gibt es für einen RDS-Server GPO-Empfehlungen? Wichtig wäre, daß die User den Server nicht herunterfahren oder neu starten können, und daß Systemlaufwerk C:\ unsichtbar ist, desweiteren Ordnerumleitung
Ordnerumleitungen ist einfach, genau wie überall auch. C:\ kann nicht unsichtbar sein, Programme, Windows, Profilpfad, etc. müssen natürlich im Zugriff sein. Grundsätzlich gelten aber entsprechende NTFS Rechte damit User nicht alles dürfen, wie beim normalen Windows auch. Beim Herunterfahren bin ich nicht sicher was der Standard ist, da gibt es aber natürlich eine GPO und die wirst du auch finden.
Nach meinem bisherigen Verständnis wird das Office dann nicht aktiviert sondern der User meldet sich in allen Office Anwendungen für die Nutzung (auch lokal) immer an der Cloud an. Das macht eventuell Azure AD Connect sinnvoll für Same Sign On. Aber frag nicht mich, so weit bin ich noch nicht. Ich habe derzeit eine Kauflizenz von Office auf den RD-SH, die gibt es auch noch.
Die Lizenzangelegenheit wird gerade bei Comparex/SoftwareONE geklärt (Lic. für Server, Zugriffs-Cals für Server, RDS-Cals)
- gibt es für einen RDS-Server GPO-Empfehlungen? Wichtig wäre, daß die User den Server nicht herunterfahren oder neu starten können, und daß Systemlaufwerk C:\ unsichtbar ist, desweiteren Ordnerumleitung
- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt? Wir haben natürlich auch schon GPOs/GPPs für die normalen FAT-Client-Rechner unserer User, und ich weiß, daß man den Loopback-Modus braucht, damit sich GPOs/GPPs für einerseits FAT-Clients und andererseits RDS-/Terminalserver nicht in's Gehege kommen. Würde mich dazu gerne einlesen
Mir wäre neu das es nur mit Loopback geht, ich nutze nirgends Loopback und würde dir davon abraten wenn es sich vermeiden läßt. Packe die RD-SH einfach in eine eigene OU und hefte dort eigene GPOs an. Eigentlich sollte man damit auskommen.- welche Microsoft-365-Version brauche ich speziell für den Einsatz am RDS? Wichtig wäre Word, Excel, PPT, Outlook und Teams in der aktuellen Version, Access wird nicht benötigt. Ich weiß, daß Microsoft 365 nach "Plänen" lizensiert und erworben wird, doch welchen "Plan" braucht es speziell für RDS?
Business Premium oder E3 / E5 erlauben den Einsatz auf Terminal Server, alles unten drunter nicht!Nach meinem bisherigen Verständnis wird das Office dann nicht aktiviert sondern der User meldet sich in allen Office Anwendungen für die Nutzung (auch lokal) immer an der Cloud an. Das macht eventuell Azure AD Connect sinnvoll für Same Sign On. Aber frag nicht mich, so weit bin ich noch nicht. Ich habe derzeit eine Kauflizenz von Office auf den RD-SH, die gibt es auch noch.
Hallo,
https://docs.microsoft.com/de-de/troubleshoot/windows-server/group-polic ...
https://www.windowspro.de/wolfgang-sommergut/loopback-processing-benutze ...
https://www.mustbegeek.com/how-to-enable-gpo-loopback-processing/
https://sysadminde.com/questions/787225/how-to-bypass-gpo-loopback-proce ...
Gruß,
Peter
Zitat von @departure69:
- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt?
https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt?
https://docs.microsoft.com/de-de/troubleshoot/windows-server/group-polic ...
https://www.windowspro.de/wolfgang-sommergut/loopback-processing-benutze ...
https://www.mustbegeek.com/how-to-enable-gpo-loopback-processing/
https://sysadminde.com/questions/787225/how-to-bypass-gpo-loopback-proce ...
Gruß,
Peter
Hallo,
suchst Du vielleicht VDI ?
https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-se ...
Grüße
lcer
suchst Du vielleicht VDI ?
https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-se ...
Grüße
lcer
VDI ist was anderes als Terminal Server.
Hallo,
Aber die Bereitstellung von RDS auf Basis von VDI isoliert die User wie gewünscht vom Systemlaufwerk des Hosts.
Wenn man die Sache von Grund auf neu aufbaut, sollte man alle Varianten durchspielen.
Grüße
lcer
Aber die Bereitstellung von RDS auf Basis von VDI isoliert die User wie gewünscht vom Systemlaufwerk des Hosts.
Wenn man die Sache von Grund auf neu aufbaut, sollte man alle Varianten durchspielen.
Grüße
lcer
Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Ich bin selbst ein bischen am grübeln wie ich was mache. Plane auch auf neuen Terminal Servern eine Business Premium zu nutzen statt wie bisher eine Kauflizenz. Teams soll unbedingt getestet werden.
Zitat von @WoenK0:
Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Das heist ich kann auf dem Terminal Server mit Office 365 die onmicrosoft Anmeldung einmalig eingeben und er cached die dann für zukünftige Sitzungen? Hast du irgendeinen guten Info Link für mich über das Verhalten solcher Tokens?Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Zitat von @departure69:
Ohne Azure Connect ist aber der Teams-Kalender nicht der gleiche wie beim normalen Exchange-Postfach, dies ist bei uns aber Anforderung, deshalb hatten wir schon M365-Business E3 mit Azure AD Connect, ich wußte bloß nicht, daß das auch auf einem TS installiert werden darf. Trotzdem danke.
Nur Azure AD Connect oder auch ein Exchange Hybrid Setup? Wenn ja welches (scheint mehrere zu geben)?Ohne Azure Connect ist aber der Teams-Kalender nicht der gleiche wie beim normalen Exchange-Postfach, dies ist bei uns aber Anforderung, deshalb hatten wir schon M365-Business E3 mit Azure AD Connect, ich wußte bloß nicht, daß das auch auf einem TS installiert werden darf. Trotzdem danke.
Zitat von @departure69:
@ukulele-7:
So genau kann ich Dir das - begrifflich - gar nicht sagen. Ich kann's aber beschreiben .
- lokale AD-Domäne W2K16, 2 DCs
- lokaler Exchange 2016, Mail-Adressen <nachname>@firma.de
- auf dem ersten DC läuft ein Azure-AD-Connector
- die User haben Microsoft 365 und melden sich daran mit der vorgenannten, hiesigen Mailadresse an, Kennwort dafür (und somit auch bei Microsoft!) ist das hiesige Windows-Kennwort
- der Teams-Kalender ist der Kalender aus dem hiesigen Postfach
Viele Grüße
von
departure69
@ukulele-7:
So genau kann ich Dir das - begrifflich - gar nicht sagen. Ich kann's aber beschreiben .
- lokale AD-Domäne W2K16, 2 DCs
- lokaler Exchange 2016, Mail-Adressen <nachname>@firma.de
- auf dem ersten DC läuft ein Azure-AD-Connector
- die User haben Microsoft 365 und melden sich daran mit der vorgenannten, hiesigen Mailadresse an, Kennwort dafür (und somit auch bei Microsoft!) ist das hiesige Windows-Kennwort
- der Teams-Kalender ist der Kalender aus dem hiesigen Postfach
Viele Grüße
von
departure69
AD Connector auf nen DC fühlt sich nicht sauber an, die sollten eigentlich sauber bleiben ohne zusätzliche Sachen und quasi identisch(IMHO). Wenns nur die drei Server gibt würde ich vielleicht am ehesten auf den Exchange tun.
Dann müsste aber eigentlich der Exchange Online eine hybrid Stellung mit deinem onpremise Exchange haben, zumindest hat man mir gesagt das es nicht anders geht, das Teams nur in Exchange online schreiben kann.
AD Connect und RD Lizenzserver würde ich auch separieren.
AD Connect und RD Lizenzserver würde ich auch separieren.
Zitat von @ukulele-7:
Ich bin selbst ein bischen am grübeln wie ich was mache. Plane auch auf neuen Terminal Servern eine Business Premium zu nutzen statt wie bisher eine Kauflizenz. Teams soll unbedingt getestet werden.
Ich bin selbst ein bischen am grübeln wie ich was mache. Plane auch auf neuen Terminal Servern eine Business Premium zu nutzen statt wie bisher eine Kauflizenz. Teams soll unbedingt getestet werden.
Zitat von @WoenK0:
Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Das heist ich kann auf dem Terminal Server mit Office 365 die onmicrosoft Anmeldung einmalig eingeben und er cached die dann für zukünftige Sitzungen? Hast du irgendeinen guten Info Link für mich über das Verhalten solcher Tokens?Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Weiss nicht mehr wo es genau stand glaube es war https://docs.microsoft.com/de-de/deployoffice/overview-shared-computer-a ...
Im Prinzip muss man nur bei der config.xml angeben wohin der Token gespeichert.