Office auf Terminalserver

[edevau 0]

Neuer Vorschlag - Script wie gehabt, Adminzugang bleibt, aber unter Sicherheit für die Word.exe würde für Administrator das Recht "Lesen, Ausführen" verweigert. Somit kann der Administrator Word nicht starten. Habs getestet. Die Benutzer starten Word wie gehabt und wenn der Administrator es startet, dann passiert gar nix.

Gut - theoretisch könnte siche der Admin das Recht selbst wieder geben, aber zum Zeitpunkt einer eventuellen Prüfung wäre es auf keinen Fall da, denn der Admin braucht kein Word und wird es nie freischalten.

[Gulp 254]

Userbeschränkungen reichen aber nicht, da Office nach Gerät lizenziert wird. Jedes Gerät, dass auf den Terminalserver zugreifen kann, muss Office lizenzieren, wenn kein Office 365 verwendet wird, denn das kann nach User lizenziert werden.

 

Grüsse

 

Gulp

[Dr.Melzer 191]

Gut - theoretisch könnte siche der Admin das Recht selbst wieder geben,

Und da hast du schon selbst geschrieben warum das so nicht akzeptiert wird...

[Daniel -MSFT- 129]

Neuer Vorschlag - Script wie gehabt, Adminzugang bleibt, aber unter Sicherheit für die Word.exe würde für Administrator das Recht "Lesen, Ausführen" verweigert. Somit kann der Administrator Word nicht starten. Habs getestet.

 

Das reicht nicht, weil bei der Gerätelizenzierung von Office nicht die Nutzung lizenziert wird, sondern der Zugriff auf das Gerät. Ob der Admin Word nutzt oder nicht, spielt dabei keine Rolle. Wer auf den TS zugreift, der braucht für das Gerät, von dem aus er zugreift, die notwendige Volumenlizenz für Word.

 

Have fun!

Daniel

[Schwarzwald 0]

Hi edevau,

 

ich habe ein ähnliches Problem.

Dadurch bin ich hierrauf gestoßen.

So ein Script wie bei dir habe ich gesucht.

Finde ich auch klasse.

Bei mir geht es um Anwendungen, keine öffentliche Desktops.

Dabei wird bei mir beim Anmelden eines Users (er öffnet eine Anwendung über Citrix) ein Login Script ausgeführt.

Das geht auch. (Win 2008 R2 + Citrix 6)

Ich habe dabei das Problem, dass beim Anmelden der Clientname nicht erscheint. (%clientname% ist leer)

%computername% ist dabei der Servername.

Ohne Clientname keine MAC- :(  und dadurch keine weitere Verarbeitung.

Hab schon ein vbs Script integriert das über "objShell.ExpandEnvironmentStrings("%CLIENTNAME%")" den Namen ermitteln sollte.

Geht aber nicht.

 

Hat dazu jemand eine Idee?

 

Viele Grüße

 

Thomas

[edevau 0]

Mach doch mal in so einer Sitzung einfach in einem cmd-Fenster den Befehl:

 

echo %clientname%

 

Vieleicht spuckt er da einen Fehler aus.

[aweher 0]

Ich lese bei uns den Client Namen über folgende Funktion aus:

'***** Funktion Clientnamen ermitteln für Betriebssysteme höher als Windows Server 2003 R2 *****'
Function clientName
const HKEY_LOCAL_MACHINE = &H80000002
const HKEY_CURRENT_USER = &H80000001
Dim oShell
Set oShell = CreateObject("WScript.Shell")
strComputer = WshNetwork.Computername
 
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\default:StdRegProv")
strKeyPath = "Volatile Environment"
oReg.EnumKey HKEY_CURRENT_USER, strKeyPath, arrSubKeys 
For Each subkey In arrSubKeys
	sSessionID=subkey
Next
On Error Resume Next
clientName = UCase(oShell.RegRead("HKCU\Volatile Environment\" & sSessionID & "\CLIENTNAME"))
'WScript.Echo "clientName: " & clientName
If Err.Number<>0 Then
	clientName =  "unknown"
End If
End Function
'***** Funktion Ende *****

[Schwarzwald 0]

Hi aweher,

 

bin heute den ersten Tag wieder aus dem Urlaub zurück. :(

Vielen Dank für das Script. Werde ich diese Woche mal probieren.

(Tisch ist noch bedekt mit Arbeit...)

Habe auch noch ein anderes Script bekommen von "daabm".

Irgendwie werde ich das schon hinbekommen.

 

 

Thomas

[m0insen 1]

Hallo zusammen,

 

sehr interessantes Thema bis hierher, vielen Dank dafür. Wir stehen vor einer ähnlichen Anforderung:

 

• Firmennetzwerk mit ~2500 Benutzern und ~3000 Clients
• RDS Farm mit Office Pro Plus (~400 Benutzer)
• RDS Farm mit Office Std (~2100 Benutzer)
• ~50 IT Mitarbeiter mit erhöhten Rechten

Fragestellungen sind daher, wie wir 

1. Die Zugriffe auditkonform splitten können
2. Die IT Mitarbeiter korrekt lizenzieren

Die Idee, Punkt 1 mit selbstgeschriebenen Logon-Skripten und MAC-Adress-Sperrlisten abzuarbeiten verfällt schon aufgrund der Wartbarkeit: Bei ~3000 Clients (alles Leasinggeräte mit einer Laufzeit von 3 Jahren) hätten wir 6000+ Netzwerkinterfaces (WLAN + Strippe). Gibt es da keine professionelle Lösung, in der die Relationen Client <-> RDS Farm gemappt werden und die sich als von Microsoft akzeptierte Middleware in den Anmeldeprozess hängt?

 

Sonnige Grüße

[lizenzdoc 207]

Hi,

 

man muss abwägen ...

Zwischen O-Std und O-Pro liegen ca. 120 €, nur für die Lizenz.
Bei geschätzten 2.600 Clients einfach O-Pro auch zu lizenzieren, wären 312.000 € Mehrkosten.
plus > man kann sich eine RDS-Farm einsparen, da ja alles nun auf O-Pro lizenzrechtlich rennt.
Dannach muss man sich über das "wie" keine Gedanken mehr machen ... und alle auf der Sales-Seite lieben Euch, als toller Kunde.

 

Die 50-IT-MA haben bei Office keine Sonderrechte als Admins.

Ein Haupt-Device wird mit dem Office lizenziert.

Falls diesem Haupt-Device und dem dazugehörigen Hauptnutzer auch noch ein tragbares Device dauerhaft zugeordnet ist,

gilt im OPEN- u. SELECT-Vertrag ja das kostenfreie "Zweitkopie-Recht" / im EA gibt es das ja nicht.

Da könnte man also noch etwas die "Mehrkosten" reduzieren.

 

Auf der anderen Seite könnte man eine "Halbtagskraft" einstellen, die das( Sperrlisten) verwaltet.

Sicherlich wäre diese Person nicht wirklich damit halbtags ausgelastet und könnte ja vielleicht

in der verfügbaren Zeit in dem Thema Lizenzmanagement /Compliance aushelfen und nützlich sein.

Sicherlich spart dieses dann weiteres zusätzliches Geld ....

 

Ich empfehle immer diese Position durch alleinerzeihende Frauen/Männer zu besetzen.

Fast freie Zeiteinteilung und hoch motiviert!
Wenn dann noch eine Lizenzschulung (2 Tage) invenstiert wird, hat diese Person sogar einen gut qualifizierten Job.

 

Man kann das einfach weiter zu Ende denken , wenn man will.
und natürlich abwägen ...

 

:) VG, Franz
 

[m0insen 1]

*GNARF* ... den Investantrag spar ich mir lieber. mal schauen, ob ich Microsoft Deutschland dazu bewegen kann, Stellung zu nehmen.

[lizenzdoc 207]

hi,
 

da Dein Vertragspartner MS-Irland ist,
ist eine "Aussage" seitens MS-D-Land nicht sehr hilfreich, oder?

 

Das Vorgehen mit dem Script ist bis dato die einzige Regelung,
die die KPMG und MS.SAM-Abteilung meines Wissens nach bei einem Audit akzeptierte ...
Aber vielelicht hat jemand noch ergänzende Audit-Erfahrung dazu gemacht ....

und schreibt hier dann ...

 

VG, Franz

[m0insen 1]

Ich hab vor ein paar Monaten bei MS angefragt, ob es eine Art "Klärungsstelle" bei Lizenzfragen gibt. Die gibt es wohl nicht wirklich (zumindest nicht anonymisiert/pseudonymisiert) für Endkunden, aber für LARs. Die habe ich seitdem ein paar Mal genutzt und dabei immer sowohl die entscheidenden Passagen aus den Verträgen/PURs sowie die fallspezifische Deutung bekommen.

 

Das ist vllt. nicht gerichtsverwertbar, aber mir geht es ja im Streitfall eher um eine belastbare Diskussionsgrundlage mit dem Wirtschaftsprüfer.

 

Ich finde das Vorgehen von MS bzgl. Lizenzcompliance bisher vollkommen ok, hoffe einfach auf eine praxisnahe Regelung in dem Fall für Kunden mit 1000+ Clients. Whitelisting ist ja vllt. ein netter Workaround, aber auch nicht mehr...

bearbeitet 7. Juli 2015 von m0insen

[lizenzdoc 207]

Hi,

 

wenn man will, kann man die frei zugänglichen Regularien sich selber "antuen":
Link > http://www.microsoftvolumelicensing.com/userights/DocumentSearch.aspx?Mode=3&DocumentTypeId=1&ShowArchived=True

 

Leider bieten diese vertragsrechtlichen Dokumente kein "Luft" für Deutungen ...
Greift jemand od. etwas auf was zu  = Zugriff-Lizenzierung von Nöten = kaufen.

Greift jemand od. etwas auf was nicht zu = keine Zugriff-Lizenzierung von Nöten

Man muss dies (den Nicht-Zugriff) nur eindeutig (und möglichst schriftlich od. mit so einem Script) nachweisen!

 

Garantiert ein Diskussionspunkt bei einem Audit mit der KPMG und MS.

Dabei gehen viele Aussagen und Meinungen sicherlich hin und her.

 

Sicherlich ist hilfreich, wenn alle MA des Unternehmens schriftlich daraufhin gewiesen sind und regelmäßig erneut daraufhin gewiesen werden,

Wer(Device) Office-Std lizenziert ist dar nur auf den TS für Office-STD zugreifen und nicht auf den TS mit Office-Pro.
Aber reicht das aus, um beim Audit "damit durch zu kommen?

 

Ganz ganz wichtig ist ein oft übersehendes Detail !
In allen vertragsrelevanten Dokumentationen (Vertrag, Productlist und PURs) schreibt MS nie von einem Konjunktiv !!!

 

Aussagen im Audit, " ja aber der User / das Device könnte ja doch zugreifen/nutzen, da es darin nie gehindert ist/wird"

sind so eine Sache ... da würde ein Richter am Gericht "nachdenken müssen" ...

 

Aber, wie immer im Leben, ist die Entscheidung nie vorher bekannt.

 

Ein sehr schwieriges Thema, deswegen auch das Script, das wäre aufwändig ja, aber eindeutig !

 

VG, Franz
 

 

 

[m0insen 1]

Oha, nein danke... ich hab schon beim Inhaltsverzeichnis Mitleid mit den Verfassern. Lesen muss nun wirklich nicht sein. :-)