derwowusste
Goto Top

RemoteApp-Admins für Fehlerbestätigung gesucht

Moin Adminkollegen.

Wir haben seit vielen Jahren einen (aktuell gehaltenen) 2019er (1809) Windows Terminalserver, der RemoteApps hostet.
Die RemoteApps werden per GPO auch automatisch auf die Startmenüs der Clients verteilt.
Festgelegt ist, dass nur bestimmte Nutzer bestimmte Apps ins Startmenü bekommen sollen, was bislang funktionierte.

Heute fiel mir auf, dass plötzlich jeder alle Apps im Startmenü hat.
Entferne ich eine Veröffentlichung am TS, so wird die weiterhin korrekt auch am Client entfernt.
Füge ich sie neu hinzu, so wird leider nicht mehr respektiert, dass ich einschränke, wer sie sehen soll.

Ist das Verhalten bei Euch nachstellbar?

Content-ID: 7954102104

Url: https://administrator.de/forum/remoteapp-admins-fuer-fehlerbestaetigung-gesucht-7954102104.html

Ausgedruckt am: 01.04.2025 um 19:04 Uhr

DerWoWusste
DerWoWusste 26.07.2023 um 11:43:35 Uhr
Goto Top
Habe es mittlerweile in der Testdomäne geprüft, da läuft es wie erwartet.
Wenn ich nur wüsste, wo denn am Server diese Sichtbarkeitsrechte liegen...
Auch auf der Kommandozeile sieht alles gut aus,
(Get-RDRemoteApp -alias firefox).usergroups
gibt die richtige Nutzergruppe aus... aber respektiert wird das an den Clients nicht mehr.
DerWoWusste
DerWoWusste 27.07.2023 um 14:44:59 Uhr
Goto Top
Es ist noch etwas bizarrer:

Im Testsystem wie gesagt alles so, wie es soll.
Im Produktivsystem bekommen doch nicht alle Nutzer alle RemoteApps ins Startmenü, sondern offenbar nur manche.
Ich konnte zumindest nachweisen, dass es bei allen neu angelegten Konten passiert.

Rätselhaft.
DerWoWusste
DerWoWusste 27.07.2023 aktualisiert um 16:35:07 Uhr
Goto Top
So, nun aber...
Die Rechte auf die RemoteApps finden sich in der Registry unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\CentralPublishedResources\PublishedFarms\"Collectionname"\Applications\"RemoteAppAliasname"  
und ebenso unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\TSAppAllowList\Applications\"RemoteAppAliasname"  
Da gibt es RegSZ-Einträge "SecurityDescriptor" und diese sind genau so, wie sie aussehen sollten(!?).
Es dürfte niemand außer den diefinierten Nutzern diese Apps sehen.

Ergo: der Securitydescriptor ist intakt (ich kann ihn auch neu setzen), aber einige (nicht alle) Clients scheren sich einen feuchten Kehricht darum.

Windows ist einfach nur rätselhaft.