Office auf Terminalserver

[edevau 0]

Hallo,

 

ist zwar schon etwas älter, aber ich hols mal aus der Versenkung denn ich habe im ganzen Internet nicht ein Thema gefunden das auch nur Ansatzweise so gut zu meinem Anliegen passt wie das hier.

 

Ich hab das gleiche Problem. Firma mit 14 PCs und 5 User (mit deren festen PCs) brauchen Terminalserver mit Firmenapplikation und Word. Ich hab jetzt mal folgendes Script gebastelt und in den Autostart für alle User auf dem Terminalserver hinterlegt:

 

 

@echo off

 

REM ############ prüft ob sich der Administrator zur Verwaltung einlogt ##############

set Adminuser=C:\Batch\adminuser.txt

find /c /i "%username%" %Adminuser%

if errorlevel 1 goto clientcheck

 

 

:admin

cls

echo #######################################################

echo # Sie sind als Administrator angemeldet.              #

echo # Dies dient lediglich der Verwaltung.                #

echo # Der produktive Betrieb von z.B. Word ist untersagt. #

echo #######################################################

echo .

pause

goto Ende

 

 

REM ############ prüft ob der Client in der erlaubten Liste ist ##############

:clientcheck

set Clients-OK=C:\Batch\Clients-OK.txt

find /c /i "%clientname%" %Clients-OK%

if errorlevel 1 goto nicht_lizensiert

 

 

:lizensiert

cls

echo Ihr PC (%clientname%) ist lizenziert.

pause 

goto Ende 

 

 

REM ############ nicht lizensierte PCs werden getrennt ##############

:nicht_lizensiert

shutdown /l

goto ende

 

 

 

 

In der Textdatei Adminuser steht nur Administrator. Das musste ich machen, denn sonst hätte ich mich nicht mehr lokal als Administrator anmelden können.

Die Textdatei Clients-OK beinhaltet die Namen der PCs von den Usern, die Terminalserver nutzen dürfen und ist nicht mehr als die Anzahl an Word VLs.

Getesstet hab ichs. Meldet man sich von einem PC aus an, der in der Liste der erlaubten Clients steht, dann läuft alles ganz normal. steht man nicht drinnen, dann wird man nach etwa 20 Sekunden ohne große Warnung einfach abgemeldet. Der Administrator kann sich von jedem PC aus per Remote anmelden, aber ich denke mal das geht schon durch.

 

Die MS-Hotline hatte am Telefon gesagt, ich muss es technisch so einrichten, das sich nicht mehr als die Anzahl der lizenzierten PCs verbinden können, dann brauche ich auch nicht alle zu lizenzieren. Sie konnten mir zwar nicht sagen wie das gehen soll, aber das ist so geregelt (LOL).

 

Gut - theoretisch könnten jetzt 2 oder mehr PCs den gleichen Namen haben, aber ich glaube dann gibt es in der Domäne schwerere Probleme als eine fehlende Word-Lizenz und das macht keiner. Wenn einer weiß wie ich in der Remotesitzung die MAC des Client-PCs auslesen kann, dann mach ich das auch, aber das habe ich nicht gefunden.

 

Meiner Meinung nach habe ich die Anforderungen von MS erfüllt, oder wie sehen es hier die Spezialisten.

[Dr.Melzer 191]

Hallo edevau,

 

schön dass du uns gefunden hast und willkommen on board. :-)

 

ich habe deine Frage von dem gekaperten Beitrag abgelöst.

 

Das kapern fremder Beiträge mit eigenen Problemen macht die gekaperten Threads nur unübersichtlich und erschwert es uns dir zu helfen.

 

Bitte beschreibe so genau wie möglich was dien Problem ist und was du erreichen willst.

[edevau 0]

Die genaue Problematik ist wie folgt:

 

Firma mit 14 PCs und ebensovielen Mitarbeitern hat eine Zweigstele mit 2 PCs und 3 mobile Mitarbeiter. Jeder Mitarbeiter hat einen festen PC und es wird nicht durchgewechselt. Zweigstelle und mobile Clients sind per VPN verbunden. Das Arbeiten mit der Branchensoftware und Word ist über VPN zu langsam. Lösung - Terminalserver 2012 mit Branchensoftware und Word VL für diese 5 Clients.

 

Terminalserver mit 5 U-Calls ist klar soweit. MS sagt aber, das jeder PC (nicht User) der die Möglichkeit hat eine Remotedesktopverbindung aufzubauen eine Word-Lizenz braucht, da Officeprodukte generell pro Gerät Lizenziert werden und theoretisch die Mitarbeiter ja auch auf anderen Geräten arbeiten könnten. Sprich - ich brauche für jeden PC der im Firmennetz ist oder über VPN angebunden ist eine Word Open License, egal ob der jemals den TS nutzen wird oder nicht. Das wären dann knapp 2000€ die MS verdient an 9 unnötigen Lizenzen, die wir aber nicht brauchen. MS hat aber auch gesagt das ich nur die Anzahl kaufen muss die gebraucht werden wenn ich es technisch bewerkstelligen kann, das sich nur die lizenzierten PCs verbinden können. Dem User das Recht zu erteilen geht ja ganz einfach per Gruppe, aber ich kann es nicht auf ein Gerät festlegen.

 

Technisch würde das Beispiel von mir funktionieren, denn wenn sich ein User von einem PC aus anmeldet, der nicht lizenziert ist, dann wird er wieder abgemeldet. Lediglich für den Administrator hab ich eine kleine Hintertür eingebaut.

Da sich MS aber recht bedeckt hält mit der Aussage wie die technische Einschränkung aussehen soll ist jetzt die Frage an die Spezis hier ob das so durchgeht? Ich würde sagen ja, aber ich bin ja nicht von MS.

 

 

Ich mach aber nu erst mal ne Woche Urlaub, also nicht wundern das keine Antworten auf Fragen kommen. Für Meinungen zwischendurch bin ich aber trotzdem dankbar.

bearbeitet 27. März 2015 von edevau

[Daniel -MSFT- 129]

Als erstes würde ich Dir empfehlen, Office pro User zu lizenzieren, dann hast Du das ganze Problem nicht. Das geht zum Beispiel mit Office 365 ProPlus. Solange die Benutzer auch User-CALs für Windows und RDS haben, können sie sich dann von allen Rechnern mit dem Terminal Server verbinden. Siehe dazu Office 365 ProPlus jetzt auch direkt auf Terminal Servern in RDS-Umgebungen einsetzbar.

 

Willst Du es pro User machen, ist das Skript schon mal ein Ansatz. Der Administrator ist aber ein Problem, denn damit kannst Du von allen Rechnern zugreifen. Da pro Rechner lizenziert wird, hast Du hier das Problem.

 

Schau Dir mal zum Einblenden einer Nachricht an den User Msg an. Kannst Du anstelle der Echo-Ausgabe in dem Skript nutzen. Mit Query user kannst Du rausfinden, ob die Anmeldung an der Konsole oder Remote erfolgt. Das wäre ein Ansatz für administrative Logins an der Konsole. Mit Logoff kannst Du die Terminal-Session eleganter beenden. Mehr zu Kommandozeilenbefehlen auf einem Terminal Server findest Du unter Verwalten von Terminaldienste über die Befehlszeile.

 

BTW: Wenn die Branchensoftware Word oder eine anderes Office-Produkt zur serverseitigen Automatisierung verwendet, brauchst Du auch Lizenzen für alle Arbeitsgeräte, die mit der Branchensoftware arbeiten.

 

Have fun!
Daniel

bearbeitet 27. März 2015 von Daniel -MSFT-

[lizenzdoc 207]

Hi,

 

den Zugriff via Script zu regeln ist schon mal ein sehr guter Weg.
Ich würde den PC-Namen nicht verwenden, sondern die nicht veränderbar Machinen-Nr.
(bin kein Technik-fitter, aber ich hoffe, du weißt, was ich meine)
Dann diesen Abgleich mit dem Script fahren ...

Deinen Admin-Pc würde ich als "lizenziert" in der Liste titulieren,

wenn Du die Applikation nur zu Admin-Zwecken nutzt,

kann man dies so schriftlich dokumentieren und auch wohl beweisen.

 

Wenn Du es also so angesprochen einrichtest und alle MA schriftlich belehrst/darauf hinweist,
dann hast Du hinsichtlich der Compliance/Lizenzverwaltung sauber gehandelt.

Und Du hast den Vertragsbedingungen folge  geleistet, es sauber zu dokumentieren.
 

 

Hinweis:
Microsoft besteht berechtigt auf "Lizenzierung = Nutzung = Geld", wenn man tatsächlich nutzt/zugreift.
Microsoft benutzt in keinem vertragsrelevanten Dokument den Konjunktiv = "könnte" zugreifen/nutzen !!!

Wird  was genutzt/zugegriffen = zahlen

Wird was nicht genutzt/zugegriffen = nicht zu bezahlen.

Wer in einem vertragsrelevanten Dokument doch einen Konjuktiv im Thema Zugriff/Nutzung findet und es mir vorlegt, bekommt von mir gerne 10 €!

Komisch, da ist Microsoft in seinen Aussagen/Regeln mal eindeutig und fair

und alle fangen an dies negativ zu interpretieren ...

 

Wünsche Dir einen angenehmen und erholsamen Urlaub!

 

VG, Franz

 

 

 

 

bearbeitet 28. März 2015 von lizenzdoc

[Dr.Melzer 191]

Ich würde den PC-Namen nicht verwenden, sondern die nicht veränderbar Machinen-Nr.

(bin kein Technik-fitter, aber ich hoffe, du weißt, was ich meine)

Bei Audits wird als eindeutiges Merkmal die MAC Adresse der Netzwerkkarte akzeptiert. Der Rechnername oder die IP Adresse sind zu leicht zu ändern und deswegen kein gutes Merkmal um den Rechner eindeutig zu identifizieren.

 

Deinen Admin-Pc würde ich als "lizenziert" in der Liste titulieren,

wenn Du die Applikation nur zu Admin-Zwecken nutzt,

kann man dies so schriftlich dokumentieren und auch wohl beweisen.

Hier irrst imho du werter Franz...

 

Die beiden CAL freien Zugriffe für administrative Zwecke beziehen sich nur auf die Windows Server CALS, nicht auf Remote Desktop dienste.

 

In den aktuellen Produktnutzungsrechten steht zur CAL Pflicht für die Remotedesktopdienste folgendes:

 

 

ZUSÄTZLICHE CALs

 

Windows Server 2012 R2-Remotedesktopdienstefunktionalität oder Windows Server 2012 R2 zum Hosten einer grafischen Benutzeroberfläche (mithilfe der Windows Server 2012 R2-Remotedesktopdienstefunktionalität oder einer anderen Technologie)

• CAL für Windows Server 2012-Remotedesktopdienste, oder

• Nutzer-AL für Windows Server 2012-Remotedesktopdienste

Da steht nichts von einer Ausnahme für administrative Zwecke, oder weißt du mehr als ich? ;-)

[lizenzdoc 207]

Hi Tom,

 

:) bin zwar immer bemüht, aber da weiß ich auch nicht mehr als Du, da ich ja auch nur die PURs lese!
Da hast Du Recht!

 

VG, Franz

[edevau 0]

Hallo,

 

Wie gesagt vin ich eigentlich im Urlaub und schreib mal kurz vom Handy aus.

 

Ich würds gerne per MAC filtern, aber ich hab keinen Weg gefunden wie ich die MAC des Remoteclients auslese. Admin hab ich rausgenommen weil ich mich sonst nicht mehr lokal anmelden konnte, denn %clientname% gibt bei lokaler anmeldung keinen namen aus.

 

Office 365 ist bei der branxhenabranxhensodtware nicht freigegeben.

 

Groß- und Kleinschreibung und Fehler bitte entschuldigen da mobil geschrieben.

Das mit der Lizenz sobald die Möglichkeit besteht wurde mir bei telefonischer Nachfrage sowohl von den Lizenzspesis unserer Software-Distributoren, als auch von der VL-Hotline so erklärt.

 

Und bei Office 365 bräuchte ich den ganzen hokuspokus nicht, denn da wäre ja nur Uugriff der Personen möglich die in der Gruppe der Remotedesktopuser sind. Aber wie gesagt ist das von der anderen Softwarefirma nicht supported. Würde zwar wetten das es geht, aber wenn irgend ein Problem da ist, dann hab ich den schwarzen Peter.

[lizenzdoc 207]

Hi,

 

ich sag nur ... Wissen ist durch nichts zu ersetzen.

Mach Dich schlau wegen MAC und so, das klappt dann auch und ist audit-sicher.

 

Da  beim Vertrieb "up into the cloud" und "Office-365" zur Zeit der Umsatzbringer per Befehl ist,

müssen die leider auch so reden.

 

Mal ganz abgesehen vom sicherheitsaspekt!

 

VG, Franz

[Daniel -MSFT- 129]

Franz, so sehr ich Dich respektiere, aber lass die Kirche mal im Dorf. Deine Beiträge sind auch ohne diesen unterstellenden Unterton lesenswert.

bearbeitet 29. März 2015 von Daniel -MSFT-

[edevau 0]

So bin wieder vom Urlaub da und hab immer noch das selbe Problem.

 

 

Das mit dem Administrator könnte ich so lösen:

REM ############ prüft ob es eine lokale Anmeldung ist ##############
set Session-log=c:\Batch\session.txt
query session >%Session-log%
find /c /i ">console" %Session-log%
if errorlevel 1 goto clientcheck

Is aber auch doof, denn der Terminalserver steht ohne Tastatur, Maus und Monitor im Keller. Da werde ich vieleicht doch meine alte Lösung lassen.

 

Wenn mir irgend einer sagt wie ich die MAC eines RDP-Clients auslese, dann mach ich das so - ist ja kein Problem. Aber ich habe jetzt schon Stunden gegoogelt und finde dazu nichts.

 

Aber jetzt mal Butter bei de Fische. Wenn irgend einer in einer Domäne einen vernünftigen Betrieb schafft mit doppelten PC-Namen, dann freut mich das für ihn. Ich bin der Meinung ich würde mir da deutlich mehr Probleme schaffen als 200€ für so ein Word. Selbiges gilt für doppelte IPs. Theoretisch alles möglich, aber mal ganz ehrlich - das kann doch MS nicht annehmen.

 

Wenn ich keine vernünftige Lösung finde, dann hat halt MS Pech gehabt, denn dann kann ich kein Windows, RDP-Cals und eine Hand voll Office kaufen. Zitat meines Kunden: Die spinnen doch, ich kaufe doch nichts das ich nur vieleicht nutzen könnte weil ich die Möglichkeit habe"

[NeMiX 76]

In einer Kundenumgebung vor ca. 7 Jahren wurde das per "getmac" gelöst. Ist so das einzige Stichwort was mir noch dazu einfällt.

Evtl. hilft dir dann in dem Zusammenhang das vbs Script weiter: http://superuser.com/questions/686421/is-there-a-log-file-for-rdp-connections-with-system-name

 

Du könntest dann ein getmac gegen den PC Namen machen und danach checken ob die mac erlaubt ist.

Ob das "Konstrukt" dann Lizenztechnisch sauber ist kann ich dir nicht garantieren!

[Dr.Melzer 191]

Aber jetzt mal Butter bei de Fische. Wenn irgend einer in einer Domäne einen vernünftigen Betrieb schafft mit doppelten PC-Namen, dann freut mich das für ihn. Ich bin der Meinung ich würde mir da deutlich mehr Probleme schaffen als 200€ für so ein Word. Selbiges gilt für doppelte IPs. Theoretisch alles möglich, aber mal ganz ehrlich - das kann doch MS nicht annehmen.

Es geht um mehr als doppelte Computernamen.

Du könntest theoretisch auch di Lizenz über mehrere Rechner hinweg "kreisen" lassen und mit einer Lizenz drei Rechner im Dreischicht betrieb versorgen. Dann wandern Computername und Lizenz und du hast trotzdem keine Probleme mit doppelten Computernamen.

Lizentechnisch darf eine Neuzuweisung aber nur für mindestens 90 tage erfolgen.

[edevau 0]

So jetzt hab ichs. Nun wird mit MACs gefiltert. Den Administrator habe ich aber gelassen wie er ist, denn wie schon gesagt steht der Server dann im dunklen modrigen Keller mit Vampiren, Spinnen, Krokos und sonstiges Zeugs. KVM ist auch nicht drannen.

 

So sieht es nun aus:

@echo off


REM ############ prüft ob sich der Administrator zur Verwaltung einlogt ##############
set Adminuser=C:\Batch\adminuser.txt
find /c /i "%username%" %Adminuser%
if errorlevel 1 goto clientcheck




:admin
cls
echo #######################################################
echo # Sie sind als Administrator angemeldet.              #
echo # Dies dient lediglich der Verwaltung.                #
echo # Der produktive Betrieb von z.B. Word ist untersagt. #
echo #######################################################
echo .
pause
goto Ende




REM ############ prüft ob der Client in der erlaubten Liste ist ##############
:clientcheck
set Clients-OK=C:\Batch\Clients-OK.txt
set ClientMAC=c:\Batch\ClientMAC.txt
set LAN-MAC=C:\Batch\LAN-MAC.txt
getmac /s %clientname% /nh /v /fo csv >%ClientMAC%
findstr /r /c:"LAN-Verbindung*" %ClientMAC% >%LAN-MAC%
FOR /F  "tokens=3 delims=','" %%i in (%LAN-MAC%) do set MAC=%%i
find /c /i %MAC% %Clients-OK%
if errorlevel 1 goto nicht_lizensiert




:lizensiert
cls
echo Ihr PC (%clientname%) ist lizenziert.
pause 
goto Ende 




REM ############ nicht lizensierte PCs werden getrennt ##############
:nicht_lizensiert
echo keine Lizenz für %clientname% mit der LAN-MAC %MAC%
pause
logoff
goto ende

Jetzt steht in der CLients-OK.txt die MAC´s der LAN-Karten der erlaubten PCs. Somit ist es auch egal ob der PC über LAN, WLAN oder VPN daherkommt.

 

Des mit der PAuse bei nicht lizenziert an Schluss kommt noch raus - ist nur zum Test

bearbeitet 10. April 2015 von edevau

[Daniel -MSFT- 129]

Wie schon gesagt, der Admin-Zugang ist weiterhin Dein ungelöstes Problem, denn Du lizenzierst nicht die Nutzung, sondern den Zugriff. Dass es für Dich unkomfortabler ist, weil der Server im Keller steht, ist dabei Dein Problem.