15
RDS 2019, GPO und Office-Microsoft-365
Hallo.
Wir wollen demnächst einen Windows-2019-RDS einsetzen.
Die Lizenzangelegenheit wird gerade bei Comparex/SoftwareONE geklärt (Lic. für Server, Zugriffs-Cals für Server, RDS-Cals), aber ich habe noch ein paar wenige, weitere Fragen:
- gibt es für einen RDS-Server GPO-Empfehlungen? Wichtig wäre, daß die User den Server nicht herunterfahren oder neu starten können, und daß Systemlaufwerk C:\ unsichtbar ist, desweiteren Ordnerumleitung
- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt? Wir haben natürlich auch schon GPOs/GPPs für die normalen FAT-Client-Rechner unserer User, und ich weiß, daß man den Loopback-Modus braucht, damit sich GPOs/GPPs für einerseits FAT-Clients und andererseits RDS-/Terminalserver nicht in's Gehege kommen. Würde mich dazu gerne einlesen
- welche Microsoft-365-Version brauche ich speziell für den Einsatz am RDS? Wichtig wäre Word, Excel, PPT, Outlook und Teams in der aktuellen Version, Access wird nicht benötigt. Ich weiß, daß Microsoft 365 nach "Plänen" lizensiert und erworben wird, doch welchen "Plan" braucht es speziell für RDS?
Danke Euch erstmal.
Viele Grüße
von
departure69
Wir wollen demnächst einen Windows-2019-RDS einsetzen.
Die Lizenzangelegenheit wird gerade bei Comparex/SoftwareONE geklärt (Lic. für Server, Zugriffs-Cals für Server, RDS-Cals), aber ich habe noch ein paar wenige, weitere Fragen:
- gibt es für einen RDS-Server GPO-Empfehlungen? Wichtig wäre, daß die User den Server nicht herunterfahren oder neu starten können, und daß Systemlaufwerk C:\ unsichtbar ist, desweiteren Ordnerumleitung
- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt? Wir haben natürlich auch schon GPOs/GPPs für die normalen FAT-Client-Rechner unserer User, und ich weiß, daß man den Loopback-Modus braucht, damit sich GPOs/GPPs für einerseits FAT-Clients und andererseits RDS-/Terminalserver nicht in's Gehege kommen. Würde mich dazu gerne einlesen
- welche Microsoft-365-Version brauche ich speziell für den Einsatz am RDS? Wichtig wäre Word, Excel, PPT, Outlook und Teams in der aktuellen Version, Access wird nicht benötigt. Ich weiß, daß Microsoft 365 nach "Plänen" lizensiert und erworben wird, doch welchen "Plan" braucht es speziell für RDS?
Danke Euch erstmal.
Viele Grüße
von
departure69
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1665719158
Url: https://administrator.de/contentid/1665719158
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
15 Kommentare
Neuester Kommentar
ok
Die Lizenzangelegenheit wird gerade bei Comparex/SoftwareONE geklärt (Lic. für Server, Zugriffs-Cals für Server, RDS-Cals)
kann man auch als 2022 Lizensieren, ist grundsätzlich downgradeable. Sollten die vielleicht auch die Einrichtung übernehmen oder jemand anderes vom Fach?
- gibt es für einen RDS-Server GPO-Empfehlungen? Wichtig wäre, daß die User den Server nicht herunterfahren oder neu starten können, und daß Systemlaufwerk C:\ unsichtbar ist, desweiteren Ordnerumleitung
Ordnerumleitungen ist einfach, genau wie überall auch. C:\ kann nicht unsichtbar sein, Programme, Windows, Profilpfad, etc. müssen natürlich im Zugriff sein. Grundsätzlich gelten aber entsprechende NTFS Rechte damit User nicht alles dürfen, wie beim normalen Windows auch. Beim Herunterfahren bin ich nicht sicher was der Standard ist, da gibt es aber natürlich eine GPO und die wirst du auch finden.
Nach meinem bisherigen Verständnis wird das Office dann nicht aktiviert sondern der User meldet sich in allen Office Anwendungen für die Nutzung (auch lokal) immer an der Cloud an. Das macht eventuell Azure AD Connect sinnvoll für Same Sign On. Aber frag nicht mich, so weit bin ich noch nicht. Ich habe derzeit eine Kauflizenz von Office auf den RD-SH, die gibt es auch noch.
Die Lizenzangelegenheit wird gerade bei Comparex/SoftwareONE geklärt (Lic. für Server, Zugriffs-Cals für Server, RDS-Cals)
- gibt es für einen RDS-Server GPO-Empfehlungen? Wichtig wäre, daß die User den Server nicht herunterfahren oder neu starten können, und daß Systemlaufwerk C:\ unsichtbar ist, desweiteren Ordnerumleitung
- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt? Wir haben natürlich auch schon GPOs/GPPs für die normalen FAT-Client-Rechner unserer User, und ich weiß, daß man den Loopback-Modus braucht, damit sich GPOs/GPPs für einerseits FAT-Clients und andererseits RDS-/Terminalserver nicht in's Gehege kommen. Würde mich dazu gerne einlesen
Mir wäre neu das es nur mit Loopback geht, ich nutze nirgends Loopback und würde dir davon abraten wenn es sich vermeiden läßt. Packe die RD-SH einfach in eine eigene OU und hefte dort eigene GPOs an. Eigentlich sollte man damit auskommen.- welche Microsoft-365-Version brauche ich speziell für den Einsatz am RDS? Wichtig wäre Word, Excel, PPT, Outlook und Teams in der aktuellen Version, Access wird nicht benötigt. Ich weiß, daß Microsoft 365 nach "Plänen" lizensiert und erworben wird, doch welchen "Plan" braucht es speziell für RDS?
Business Premium oder E3 / E5 erlauben den Einsatz auf Terminal Server, alles unten drunter nicht!Nach meinem bisherigen Verständnis wird das Office dann nicht aktiviert sondern der User meldet sich in allen Office Anwendungen für die Nutzung (auch lokal) immer an der Cloud an. Das macht eventuell Azure AD Connect sinnvoll für Same Sign On. Aber frag nicht mich, so weit bin ich noch nicht. Ich habe derzeit eine Kauflizenz von Office auf den RD-SH, die gibt es auch noch.
1
Hallo,
https://docs.microsoft.com/de-de/troubleshoot/windows-server/group-polic ...
https://www.windowspro.de/wolfgang-sommergut/loopback-processing-benutze ...
https://www.mustbegeek.com/how-to-enable-gpo-loopback-processing/
https://sysadminde.com/questions/787225/how-to-bypass-gpo-loopback-proce ...
Gruß,
Peter
Zitat von @departure69:
- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt?
https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt?
https://docs.microsoft.com/de-de/troubleshoot/windows-server/group-polic ...
https://www.windowspro.de/wolfgang-sommergut/loopback-processing-benutze ...
https://www.mustbegeek.com/how-to-enable-gpo-loopback-processing/
https://sysadminde.com/questions/787225/how-to-bypass-gpo-loopback-proce ...
Gruß,
Peter
1
Hallo,
suchst Du vielleicht VDI ?
https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-se ...
Grüße
lcer
suchst Du vielleicht VDI ?
https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-se ...
Grüße
lcer
VDI ist was anderes als Terminal Server.
1
Hallo,
Aber die Bereitstellung von RDS auf Basis von VDI isoliert die User wie gewünscht vom Systemlaufwerk des Hosts.
Wenn man die Sache von Grund auf neu aufbaut, sollte man alle Varianten durchspielen.
Grüße
lcer
Aber die Bereitstellung von RDS auf Basis von VDI isoliert die User wie gewünscht vom Systemlaufwerk des Hosts.
Wenn man die Sache von Grund auf neu aufbaut, sollte man alle Varianten durchspielen.
Grüße
lcer
Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
@ukulele-7:
Danke für Deine Antwort.
2019 gibt es aktuell ohnehin nicht mehr zu erwerben, zumindest nicht bei seriösen Distributoren. Es werden 2022er-Lizenzen, und wir werden das Downgraderecht nutzen.
Ordnerumleitungen unterscheiden sich nicht von denen, die wir (bei der FAT-Client-Nutzung) schon haben, O.K..
Eine eigene OU speziell für TS, und die GPOs gelten dann nur dort? O.K., das probiere ich.
Bzgl. Sichtbarkeit/Unsichtbarkeit des Systemlaufwerks: ""Unsichtbar" heißt ja nicht, daß es keinen Zugriff gibt, es geht bloß darum, Laufwerk C:\ optisch auszublenden, die User sollen bloß Ihr Netzwerkhome/Basisverzeichnis auf dem Fileserver sowie weitere, gemeinsame Netzlaufwerke sehen und sich darin bewegen können. Ich bin mir ziemlich sicher, daß man C:\ vor den Usern verbergen kann, und die dortigen Verzeichnisse (die der User natürlich braucht, keine Frage) trotzdem funktional sind.
Wg. Office/Microsoft 365: Business-Plan E3 haben wir schon, der Azure-Connector läuft auch bereits, dann ist dieses Problem schon gelöst, Danke für die Aufklärung.
@Pjordorf:
Danke für die Links, ich probiere es erstmal ohne den Loopback-Modus, ansonsten gibt's ja genügend Lesestoff ...
@lcer00:
Nein, VDI machen wir ja schon (virtuelle Windows-10-Rechner), aber der Hypervisor platzt deshalb bald aus allen Nähten, genau deshalb möchten einen klassischen Terminal-/RDS-Server aufsetzen, damit das zugrundeliegende Windows-System nur einmal den Platz verbraucht, und nicht mehrmals. Auch der RAM-Bedarf einer vollwertigen RDS-Sitzung (mit Desktop und allem) ist dabei geringer, als wenn jeder User einen eigenen virtuellen Rechner nutzt.
@WoenK0:
Ohne Azure Connect ist aber der Teams-Kalender nicht der gleiche wie beim normalen Exchange-Postfach, dies ist bei uns aber Anforderung, deshalb hatten wir schon M365-Business E3 mit Azure AD Connect, ich wußte bloß nicht, daß das auch auf einem TS installiert werden darf. Trotzdem danke.
Vielen Dank für alle Antworten, in Kürze beginnt die Umsetzung ...
Viele Grüße
von
departure69
Danke für Deine Antwort.
2019 gibt es aktuell ohnehin nicht mehr zu erwerben, zumindest nicht bei seriösen Distributoren. Es werden 2022er-Lizenzen, und wir werden das Downgraderecht nutzen.
Ordnerumleitungen unterscheiden sich nicht von denen, die wir (bei der FAT-Client-Nutzung) schon haben, O.K..
Eine eigene OU speziell für TS, und die GPOs gelten dann nur dort? O.K., das probiere ich.
Bzgl. Sichtbarkeit/Unsichtbarkeit des Systemlaufwerks: ""Unsichtbar" heißt ja nicht, daß es keinen Zugriff gibt, es geht bloß darum, Laufwerk C:\ optisch auszublenden, die User sollen bloß Ihr Netzwerkhome/Basisverzeichnis auf dem Fileserver sowie weitere, gemeinsame Netzlaufwerke sehen und sich darin bewegen können. Ich bin mir ziemlich sicher, daß man C:\ vor den Usern verbergen kann, und die dortigen Verzeichnisse (die der User natürlich braucht, keine Frage) trotzdem funktional sind.
Wg. Office/Microsoft 365: Business-Plan E3 haben wir schon, der Azure-Connector läuft auch bereits, dann ist dieses Problem schon gelöst, Danke für die Aufklärung.
@Pjordorf:
Danke für die Links, ich probiere es erstmal ohne den Loopback-Modus, ansonsten gibt's ja genügend Lesestoff ...
@lcer00:
Nein, VDI machen wir ja schon (virtuelle Windows-10-Rechner), aber der Hypervisor platzt deshalb bald aus allen Nähten, genau deshalb möchten einen klassischen Terminal-/RDS-Server aufsetzen, damit das zugrundeliegende Windows-System nur einmal den Platz verbraucht, und nicht mehrmals. Auch der RAM-Bedarf einer vollwertigen RDS-Sitzung (mit Desktop und allem) ist dabei geringer, als wenn jeder User einen eigenen virtuellen Rechner nutzt.
@WoenK0:
Ohne Azure Connect ist aber der Teams-Kalender nicht der gleiche wie beim normalen Exchange-Postfach, dies ist bei uns aber Anforderung, deshalb hatten wir schon M365-Business E3 mit Azure AD Connect, ich wußte bloß nicht, daß das auch auf einem TS installiert werden darf. Trotzdem danke.
Vielen Dank für alle Antworten, in Kürze beginnt die Umsetzung ...
Viele Grüße
von
departure69
Ich bin selbst ein bischen am grübeln wie ich was mache. Plane auch auf neuen Terminal Servern eine Business Premium zu nutzen statt wie bisher eine Kauflizenz. Teams soll unbedingt getestet werden.
Zitat von @WoenK0:
Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Das heist ich kann auf dem Terminal Server mit Office 365 die onmicrosoft Anmeldung einmalig eingeben und er cached die dann für zukünftige Sitzungen? Hast du irgendeinen guten Info Link für mich über das Verhalten solcher Tokens?Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Zitat von @departure69:
Ohne Azure Connect ist aber der Teams-Kalender nicht der gleiche wie beim normalen Exchange-Postfach, dies ist bei uns aber Anforderung, deshalb hatten wir schon M365-Business E3 mit Azure AD Connect, ich wußte bloß nicht, daß das auch auf einem TS installiert werden darf. Trotzdem danke.
Nur Azure AD Connect oder auch ein Exchange Hybrid Setup? Wenn ja welches (scheint mehrere zu geben)?Ohne Azure Connect ist aber der Teams-Kalender nicht der gleiche wie beim normalen Exchange-Postfach, dies ist bei uns aber Anforderung, deshalb hatten wir schon M365-Business E3 mit Azure AD Connect, ich wußte bloß nicht, daß das auch auf einem TS installiert werden darf. Trotzdem danke.
@ukulele-7:
So genau kann ich Dir das - begrifflich - gar nicht sagen. Ich kann's aber beschreiben.
- lokale AD-Domäne W2K16, 2 DCs
- lokaler Exchange 2016, Mail-Adressen <nachname>@firma.de
- auf dem ersten DC läuft ein Azure-AD-Connector
- die User haben Microsoft 365 und melden sich daran mit der vorgenannten, hiesigen Mailadresse an, Kennwort dafür (und somit auch bei Microsoft!) ist das hiesige Windows-Kennwort
- der Teams-Kalender ist der Kalender aus dem hiesigen Postfach
Viele Grüße
von
departure69
So genau kann ich Dir das - begrifflich - gar nicht sagen. Ich kann's aber beschreiben
.- lokale AD-Domäne W2K16, 2 DCs
- lokaler Exchange 2016, Mail-Adressen <nachname>@firma.de
- auf dem ersten DC läuft ein Azure-AD-Connector
- die User haben Microsoft 365 und melden sich daran mit der vorgenannten, hiesigen Mailadresse an, Kennwort dafür (und somit auch bei Microsoft!) ist das hiesige Windows-Kennwort
- der Teams-Kalender ist der Kalender aus dem hiesigen Postfach
Viele Grüße
von
departure69
Zitat von @departure69:
@ukulele-7:
So genau kann ich Dir das - begrifflich - gar nicht sagen. Ich kann's aber beschreiben.
- lokale AD-Domäne W2K16, 2 DCs
- lokaler Exchange 2016, Mail-Adressen <nachname>@firma.de
- auf dem ersten DC läuft ein Azure-AD-Connector
- die User haben Microsoft 365 und melden sich daran mit der vorgenannten, hiesigen Mailadresse an, Kennwort dafür (und somit auch bei Microsoft!) ist das hiesige Windows-Kennwort
- der Teams-Kalender ist der Kalender aus dem hiesigen Postfach
Viele Grüße
von
departure69
@ukulele-7:
So genau kann ich Dir das - begrifflich - gar nicht sagen. Ich kann's aber beschreiben
.- lokale AD-Domäne W2K16, 2 DCs
- lokaler Exchange 2016, Mail-Adressen <nachname>@firma.de
- auf dem ersten DC läuft ein Azure-AD-Connector
- die User haben Microsoft 365 und melden sich daran mit der vorgenannten, hiesigen Mailadresse an, Kennwort dafür (und somit auch bei Microsoft!) ist das hiesige Windows-Kennwort
- der Teams-Kalender ist der Kalender aus dem hiesigen Postfach
Viele Grüße
von
departure69
AD Connector auf nen DC fühlt sich nicht sauber an, die sollten eigentlich sauber bleiben ohne zusätzliche Sachen und quasi identisch(IMHO). Wenns nur die drei Server gibt würde ich vielleicht am ehesten auf den Exchange tun.
@WoenK0:
Hhmmm, ein lokaler DC wird mit einem Cloud-DC ("Azure") synchronisiert, also zueinander passender geht doch schon gar nicht mehr, finde ich.
Und dieses überstrenge "ein DC ist ein DC ist ein DC" wirkt mitunter sehr übertrieben. Ich finde, wenn die zentralen Dienste, die darauf laufen, zueinander passen, dann wäre es sogar unsinning, bspw. DNS, DHCP u. ä. auch noch zu separieren, wieviele Server soll ich denn noch installieren?
Deshalb macht unser DC neben der AD-Domäne ansich auch noch DNS, DHCP und eben Azure AD Connect. Und demnächst auch noch Lizenzserver für den RDS, den wir bald einsetzen wollen. Zentrale, klassisch-administrative Dienste, die zusammenpassen, ich meine, das passt wunderbar.
Viele Grüße
von
departure69
AD Connector auf nen DC fühlt sich nicht sauber an, die sollten eigentlich sauber bleiben ohne zusätzliche Sachen
Hhmmm, ein lokaler DC wird mit einem Cloud-DC ("Azure") synchronisiert, also zueinander passender geht doch schon gar nicht mehr, finde ich.
Und dieses überstrenge "ein DC ist ein DC ist ein DC" wirkt mitunter sehr übertrieben. Ich finde, wenn die zentralen Dienste, die darauf laufen, zueinander passen, dann wäre es sogar unsinning, bspw. DNS, DHCP u. ä. auch noch zu separieren, wieviele Server soll ich denn noch installieren?
Deshalb macht unser DC neben der AD-Domäne ansich auch noch DNS, DHCP und eben Azure AD Connect. Und demnächst auch noch Lizenzserver für den RDS, den wir bald einsetzen wollen. Zentrale, klassisch-administrative Dienste, die zusammenpassen, ich meine, das passt wunderbar.
Viele Grüße
von
departure69
Dann müsste aber eigentlich der Exchange Online eine hybrid Stellung mit deinem onpremise Exchange haben, zumindest hat man mir gesagt das es nicht anders geht, das Teams nur in Exchange online schreiben kann.
AD Connect und RD Lizenzserver würde ich auch separieren.
AD Connect und RD Lizenzserver würde ich auch separieren.
@ukulele-7:
Hat er vermutlich auch. Dafür ist der Connect doch da?
Viele Grüße
von
departure69
Dann müsste aber eigentlich der Exchange Online eine hybrid Stellung mit deinem onpremise Exchange haben
Hat er vermutlich auch. Dafür ist der Connect doch da?
Viele Grüße
von
departure69
Zitat von @ukulele-7:
Ich bin selbst ein bischen am grübeln wie ich was mache. Plane auch auf neuen Terminal Servern eine Business Premium zu nutzen statt wie bisher eine Kauflizenz. Teams soll unbedingt getestet werden.
Ich bin selbst ein bischen am grübeln wie ich was mache. Plane auch auf neuen Terminal Servern eine Business Premium zu nutzen statt wie bisher eine Kauflizenz. Teams soll unbedingt getestet werden.
Zitat von @WoenK0:
Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Das heist ich kann auf dem Terminal Server mit Office 365 die onmicrosoft Anmeldung einmalig eingeben und er cached die dann für zukünftige Sitzungen? Hast du irgendeinen guten Info Link für mich über das Verhalten solcher Tokens?Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Weiss nicht mehr wo es genau stand glaube es war https://docs.microsoft.com/de-de/deployoffice/overview-shared-computer-a ...
Im Prinzip muss man nur bei der config.xml angeben wohin der Token gespeichert.
Danke das muss ich mir dann mal in Ruhe ansehen, sind natürlich wieder 1000 Dinge wichtiger bei mir 
