3
Server 2016 und Remotedesktopdienste, benutzerspezifische Desktops
Hallo zusammen,
ich setze mich gerade mit den "neuen" Remotedesktopdiensten von MS Sevrer 2016 auseinander.
Ich habe ein Testsystem aufgesetzt und da der Remotedesktop-Sitzungshost nun der Nachfolger vom Terminalserver sein soll bzw. ist,
habe ich diesen installiert, eine Collection erstellt und das Ganze getestet. Zunächst war ich recht beeindruckt bis ich mich mit einem User ohne
großartige Rechte (Domänenbenutzer) eingeloggt habe. Dieser hatte anhand von Netzalufwerken Zugriff auf alle Festplatten (C, D)des Servers. Sogar
auf die zweite und dritte HDD mit jeglichem (sicheren) Inhalt hatte man Zugriff. Beispielweise war auch der Servermanager unter Programme aufgeführt.
GPOs (z.B. zugeordnetes Netzlaufwerk) wurden dagegen überhaupt nicht übernommen, wovon ich fest ausgegangen bin.
Mein Wunsch ist, dass ich verschiedenen Benutzergruppen verschiedene (individuelle) Desktops zur Verfügung stellen kann. Mit den GPOs, die auch im AD
vorhanden sind. Im Idealfall sogar noch mit dem Desktop vom AD.
Ich habe recherchiert, bin auf sitzungsbasierende Dienste, VDI, etc. gestossen. Eine konkrete Aussage, ob meine Vorstellungen überhaupt umzusetzen sind, habe
ich allerdings nicht bekommen. Ist mein Vorhaben möglich? Funktioniert es mit dem Remotedesktop-Sitzungshost ode rmuss ich auf den Remotedesktop-Virtualisierungshost
umsteigen?
Ich danke für ein Lichtlein!
Viele Grüße,
toxic
ich setze mich gerade mit den "neuen" Remotedesktopdiensten von MS Sevrer 2016 auseinander.
Ich habe ein Testsystem aufgesetzt und da der Remotedesktop-Sitzungshost nun der Nachfolger vom Terminalserver sein soll bzw. ist,
habe ich diesen installiert, eine Collection erstellt und das Ganze getestet. Zunächst war ich recht beeindruckt bis ich mich mit einem User ohne
großartige Rechte (Domänenbenutzer) eingeloggt habe. Dieser hatte anhand von Netzalufwerken Zugriff auf alle Festplatten (C, D)des Servers. Sogar
auf die zweite und dritte HDD mit jeglichem (sicheren) Inhalt hatte man Zugriff. Beispielweise war auch der Servermanager unter Programme aufgeführt.
GPOs (z.B. zugeordnetes Netzlaufwerk) wurden dagegen überhaupt nicht übernommen, wovon ich fest ausgegangen bin.
Mein Wunsch ist, dass ich verschiedenen Benutzergruppen verschiedene (individuelle) Desktops zur Verfügung stellen kann. Mit den GPOs, die auch im AD
vorhanden sind. Im Idealfall sogar noch mit dem Desktop vom AD.
Ich habe recherchiert, bin auf sitzungsbasierende Dienste, VDI, etc. gestossen. Eine konkrete Aussage, ob meine Vorstellungen überhaupt umzusetzen sind, habe
ich allerdings nicht bekommen. Ist mein Vorhaben möglich? Funktioniert es mit dem Remotedesktop-Sitzungshost ode rmuss ich auf den Remotedesktop-Virtualisierungshost
umsteigen?
Ich danke für ein Lichtlein!
Viele Grüße,
toxic
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 358214
Url: https://administrator.de/contentid/358214
Printed on: April 25, 2024 at 18:04 o'clock
3 Comments
Latest comment
Hi,
wenn Du haben willst, musst Du machen.
Wenn man das korrekt einrichtet, dann funktioniert das auch.
E.
wenn Du haben willst, musst Du machen.
Dieser hatte anhand von Netzalufwerken Zugriff auf alle Festplatten (C, D)des Servers. Sogar auf die zweite und dritte HDD mit jeglichem (sicheren) Inhalt hatte man Zugriff. Beispielweise war auch der Servermanager unter Programme aufgeführt.
Ja, das ist ja nun nichts Neues. Das ist schon seit Windows NT 3.51 so. Das muss man erst per GPO einschränken.GPOs (z.B. zugeordnetes Netzlaufwerk) wurden dagegen überhaupt nicht übernommen, wovon ich fest ausgegangen bin.
Ich bin schon mal davon ausgangen, dass es Montag war. Aber es war noch Sonntag. Und keiner da zum Beschweren ...Wenn man das korrekt einrichtet, dann funktioniert das auch.
Mein Wunsch ist, dass ich verschiedenen Benutzergruppen verschiedene (individuelle) Desktops zur Verfügung stellen kann. Mit den GPOs, die auch im AD vorhanden sind.
Woher sollen wir wissen, welche GPO-Objekte bei Euch im AD schon existieren? hast Du schon mal den Admin gefragt?Im Idealfall sogar noch mit dem Desktop vom AD.
Der Desktop vom AD? Ach DER .... ?Ich habe recherchiert, bin auf sitzungsbasierende Dienste, VDI, etc. gestossen. Eine konkrete Aussage, ob meine Vorstellungen überhaupt umzusetzen sind, habe ich allerdings nicht bekommen.
Wen hast Du denn alles so gefragt und welche Deiner Vorstellungen hast Du denn dabei wie formuliert?Ist mein Vorhaben möglich?
Wenn es nur die Desktops sind - ja, sollte machbar sein.Ich danke für ein Lichtlein!
Wie hart soll denn der Schlag werden?E.
Hi emeriks!
So hart, wie er sein muss!
Ok, besondere GPOs für die RDS-User, um den Zugriff auf Festplatten, etc. zu verhindern und ein paar weitere Rechte (oder auch nicht)
zu vergeben, leuchtet ein. Ich gehe davon aus, dass so auch bestimmte Programme und Apps entfernt oder gesperrt werden können.
Sollten GPOs im RDS genau so greifen, wie bei der Anmeldung bzw. Nutzung eines "normalen" Domänen-PCs?
Gibt es die Möglichkeit, eine RDS-Vorlage (Design, Desktop, Taskleiste, etc.) zu erstellen, um diese wieder zu verwenden (ohne GPOs)?
Besteht die Möglichkeit, dem RDS-User denselben Desktop zu bescheren wie bei Anmeldung über Active Directory an seinem "normalen" Domänen-PC?
t.
So hart, wie er sein muss!
Ok, besondere GPOs für die RDS-User, um den Zugriff auf Festplatten, etc. zu verhindern und ein paar weitere Rechte (oder auch nicht)
zu vergeben, leuchtet ein. Ich gehe davon aus, dass so auch bestimmte Programme und Apps entfernt oder gesperrt werden können.
Sollten GPOs im RDS genau so greifen, wie bei der Anmeldung bzw. Nutzung eines "normalen" Domänen-PCs?
Gibt es die Möglichkeit, eine RDS-Vorlage (Design, Desktop, Taskleiste, etc.) zu erstellen, um diese wieder zu verwenden (ohne GPOs)?
Besteht die Möglichkeit, dem RDS-User denselben Desktop zu bescheren wie bei Anmeldung über Active Directory an seinem "normalen" Domänen-PC?
t.
Ok, besondere GPOs für die RDS-User, um den Zugriff auf Festplatten, etc. zu verhindern und ein paar weitere Rechte (oder auch nicht)
zu vergeben, leuchtet ein. Ich gehe davon aus, dass so auch bestimmte Programme und Apps entfernt oder gesperrt werden können.
Ja, geht.zu vergeben, leuchtet ein. Ich gehe davon aus, dass so auch bestimmte Programme und Apps entfernt oder gesperrt werden können.
Sollten GPOs im RDS genau so greifen, wie bei der Anmeldung bzw. Nutzung eines "normalen" Domänen-PCs?
Ein TS ist auch nur ein Computer.Gibt es die Möglichkeit, eine RDS-Vorlage (Design, Desktop, Taskleiste, etc.) zu erstellen, um diese wieder zu verwenden (ohne GPOs)?
Machbar ist sowas. z.B. über Mandatory Profiles, oder über Anpassung des Default Profiles. Aber über GPO lässt sich das doch viel dynamischer verwalten.Besteht die Möglichkeit, dem RDS-User denselben Desktop zu bescheren wie bei Anmeldung über Active Directory an seinem "normalen" Domänen-PC?
Den Selben - nein. Den Gleichen - ja.Wobei ich jetzt aber den Verdacht habe, dass Du mit "Desktop" eigentlich Computer meinst. Und wenn Du meinst, ob ein Benutzer in seiner TS-Sitzung alles genauso machen kann wie am lokalen PC, dann ein klares Nein. Alles nicht. Schon gar nicht Admin-Rechte. Kann man zwar machen, aber dann kann man auch gleich seine Sachen packen und in die Klapsmühle einziehen. Hardware-Einschränkungen gibt es natürlich auch. Wenn Du den Anwendern einen "Computer" bereitstellen willst, dynamisch und zentral, aber so, dass sie dort "machen können was sie wollen", dann musst Du eher in Richtung VDI gehen.
