5
Terminalserver - USB-Stick nur durchschleifen bei bestimmten ThinClients?
Hallo,
wir haben Windows 7 Embedded Clients. Daran meldet sich automatisch ein festgelegter autologon-User in der Domäne an und es wird eine Remotedesktop-Verbindung auf einen Terminalserver gestartet, wo sich dann individuelle User anmelden.
USB-Sticks (genauer gesagt USB-Massenspeichergeräte) sind sowohl bei den ThinClients als auch für die Remotedesktop-Verbindung gesperrt.
Wir wollen erreichen, dass nur für ganz bestimmte ThinClients USB-Sticks in die Remotedesktop-Verbindung durchgeschliffen werden. Dazu muss:
1. Am ThinClient USB freigeschaltet werden
2. Das Durchschleifen von USB-Sticks in die Remotedesktop-Verbindung freigeschaltet werden, aber nur, wenn die Session von bestimmten ThinClients gestartet wird
Punkt 1 ist ja nicht weiter schwierig. Alle gewünschten ThinClients in eine AD-Gruppe. Für diese Gruppe USB per GPO freischalten.
Aber für Punkt 2 fällt mir im Moment nichts sinnvolles ein. Freischalten würde ich das Durchschleifen von USB zum Terminalserver ebenfalls per GPO. Aber wie sage ich der GPO, dass sie nur greifen soll, wenn die Session von einem bestimmten ThinClient gestartet wurde? Per WMI-Filter könnte ich vielleicht den Clientname abfragen aber wie überprüfe ich, ob dieser Clientname Mitglied in einer bestimmten AD-Gruppe ist?
Erwähnen will ich noch, dass es nicht um rdp-, sondern um ica-Anmeldungen geht (Citrix Xen App 6.5), aber das ändert, denke ich, nichts an dem Problem.
Habt ihr Ideen?
Danke und Gruß
Martin
wir haben Windows 7 Embedded Clients. Daran meldet sich automatisch ein festgelegter autologon-User in der Domäne an und es wird eine Remotedesktop-Verbindung auf einen Terminalserver gestartet, wo sich dann individuelle User anmelden.
USB-Sticks (genauer gesagt USB-Massenspeichergeräte) sind sowohl bei den ThinClients als auch für die Remotedesktop-Verbindung gesperrt.
Wir wollen erreichen, dass nur für ganz bestimmte ThinClients USB-Sticks in die Remotedesktop-Verbindung durchgeschliffen werden. Dazu muss:
1. Am ThinClient USB freigeschaltet werden
2. Das Durchschleifen von USB-Sticks in die Remotedesktop-Verbindung freigeschaltet werden, aber nur, wenn die Session von bestimmten ThinClients gestartet wird
Punkt 1 ist ja nicht weiter schwierig. Alle gewünschten ThinClients in eine AD-Gruppe. Für diese Gruppe USB per GPO freischalten.
Aber für Punkt 2 fällt mir im Moment nichts sinnvolles ein. Freischalten würde ich das Durchschleifen von USB zum Terminalserver ebenfalls per GPO. Aber wie sage ich der GPO, dass sie nur greifen soll, wenn die Session von einem bestimmten ThinClient gestartet wurde? Per WMI-Filter könnte ich vielleicht den Clientname abfragen aber wie überprüfe ich, ob dieser Clientname Mitglied in einer bestimmten AD-Gruppe ist?
Erwähnen will ich noch, dass es nicht um rdp-, sondern um ica-Anmeldungen geht (Citrix Xen App 6.5), aber das ändert, denke ich, nichts an dem Problem.
Habt ihr Ideen?
Danke und Gruß
Martin
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 258621
Url: https://administrator.de/forum/terminalserver-usb-stick-nur-durchschleifen-bei-bestimmten-thinclients-258621.html
Ausgedruckt am: 18.04.2025 um 08:04 Uhr
5 Kommentare
Neuester Kommentar
Hallo Martin,
bei einer RDS-Farm unter W2012R2 würde ich einfach zwei Sitzungen anlegen mit jeweils zwei Rechten:
Sitzung 1: NoUSB mit dem Benutzerrecht Usr_NoUSB
Sitzung 2: USB mit dem Benutzerrecht Usr_USB
Bei Sitzung 1 wird USB bei Verbindung deaktiviert (also serverseitig in der Sitzung)
Bie Sitzung 2 wird USB aktiviert
Melden sich nun die User an, wird anhand des Userrechts USB aktiv oder deaktiv gefahren.
Insofern ich bei ICA den Verbindungsauffbau ähnlich wie bei RDP steuern kann, müsste das auch vom Prinzip dort funktionieren.
Grüsse
Forseti
bei einer RDS-Farm unter W2012R2 würde ich einfach zwei Sitzungen anlegen mit jeweils zwei Rechten:
Sitzung 1: NoUSB mit dem Benutzerrecht Usr_NoUSB
Sitzung 2: USB mit dem Benutzerrecht Usr_USB
Bei Sitzung 1 wird USB bei Verbindung deaktiviert (also serverseitig in der Sitzung)
Bie Sitzung 2 wird USB aktiviert
Melden sich nun die User an, wird anhand des Userrechts USB aktiv oder deaktiv gefahren.
Insofern ich bei ICA den Verbindungsauffbau ähnlich wie bei RDP steuern kann, müsste das auch vom Prinzip dort funktionieren.
Grüsse
Forseti
Hi,
bei Citrix kann man das über die Citrix Richtlinien steuern.
Oder ganz anders: Wenn als Clients nur "echte" ThinClients zum Einsatz kommen, so sollte man das doch über die Clients selbst steuern können, bzw. über deren zentrale Management Console. Also nur an bestimmten Clients werden überhaupt lokal USB-Massenspeicher zugelassen. Dann könnte man pauschal das Durchreichen der lokalen Laufwerke aktivieren. Nicht so schön, aber machbar.
E.
bei Citrix kann man das über die Citrix Richtlinien steuern.
Oder ganz anders: Wenn als Clients nur "echte" ThinClients zum Einsatz kommen, so sollte man das doch über die Clients selbst steuern können, bzw. über deren zentrale Management Console. Also nur an bestimmten Clients werden überhaupt lokal USB-Massenspeicher zugelassen. Dann könnte man pauschal das Durchreichen der lokalen Laufwerke aktivieren. Nicht so schön, aber machbar.
E.
Zitat von @Forseti2003:
Hallo Martin,
bei einer RDS-Farm unter W2012R2 würde ich einfach zwei Sitzungen anlegen mit jeweils zwei Rechten:
Sitzung 1: NoUSB mit dem Benutzerrecht Usr_NoUSB
Sitzung 2: USB mit dem Benutzerrecht Usr_USB
Bei Sitzung 1 wird USB bei Verbindung deaktiviert (also serverseitig in der Sitzung)
Bie Sitzung 2 wird USB aktiviert
Melden sich nun die User an, wird anhand des Userrechts USB aktiv oder deaktiv gefahren.
Insofern ich bei ICA den Verbindungsauffbau ähnlich wie bei RDP steuern kann, müsste das auch vom Prinzip dort
funktionieren.
Man kann bei ICA schon unterschiedliche Anwendungen anlegen. Aber die weist man Usern, nicht Computern zu. Und ich sehe auch keine Möglichkeit, bei der Anwendung festzulegen, ob USB aktiviert/deaktiviert ist. Das kann ich nur in der GPO.Hallo Martin,
bei einer RDS-Farm unter W2012R2 würde ich einfach zwei Sitzungen anlegen mit jeweils zwei Rechten:
Sitzung 1: NoUSB mit dem Benutzerrecht Usr_NoUSB
Sitzung 2: USB mit dem Benutzerrecht Usr_USB
Bei Sitzung 1 wird USB bei Verbindung deaktiviert (also serverseitig in der Sitzung)
Bie Sitzung 2 wird USB aktiviert
Melden sich nun die User an, wird anhand des Userrechts USB aktiv oder deaktiv gefahren.
Insofern ich bei ICA den Verbindungsauffbau ähnlich wie bei RDP steuern kann, müsste das auch vom Prinzip dort
funktionieren.
Oder ganz anders: Wenn als Clients nur "echte" ThinClients zum Einsatz kommen, so sollte man das doch über die Clients selbst steuern können,
bzw. über deren zentrale Management Console. Also nur an bestimmten Clients werden überhaupt lokal USB-Massenspeicher zugelassen.
Dann könnte man pauschal das Durchreichen der lokalen Laufwerke aktivieren. Nicht so schön, aber machbar.
Das hab ich mir auch schon überlegt. Aber es gibt auch einige User, die von Ihren privaten Home-PC´s eine Sitzung starten und bei denen ist lokal USB natürlich erlaubt und somit dann auch in der Citrix-Session.bzw. über deren zentrale Management Console. Also nur an bestimmten Clients werden überhaupt lokal USB-Massenspeicher zugelassen.
Dann könnte man pauschal das Durchreichen der lokalen Laufwerke aktivieren. Nicht so schön, aber machbar.
Aber ich denke grad noch an eine andere Möglichkeit. Letztendlich sind die USB-GPO´s ja nur Registry-Einträge. man könnte also auch per Login-Script überprüfen, ob der clientname in einer bestimmten AD-Gruppe ist und darauhin die entsprechenden Reg-Keys setzen.
Hi,
E.
Aber ich denke grad noch an eine andere Möglichkeit. Letztendlich sind die USB-GPO´s ja nur Registry-Einträge. man
könnte also auch per Login-Script überprüfen, ob der clientname in einer bestimmten AD-Gruppe ist und darauhin die
entsprechenden Reg-Keys setzen.
Jain. Musst Du schauen, ob Du das vom Timing her hinbekommst.könnte also auch per Login-Script überprüfen, ob der clientname in einer bestimmten AD-Gruppe ist und darauhin die
entsprechenden Reg-Keys setzen.
E.
Nachdem ich mich jetzt mal ein wenig genauer mit den Citrix-GPO´s beschäftigt habe, hab ich gesehen, dass man diese u.a. auch nach Clientname filtern kann. Man kann zwar keine Gruppe angeben, in der alle gewünschten ThinClients sind, sonder man muss jeden Clientname direkt in der GPO hinterlegen, aber damit können wir leben.
Gruß
Martin
Gruß
Martin
