Fragen zu Remotedesktopdiensten

[Cryer 17]

Ich möchte bei uns Remotedesktopdienste bereit stellen. Das Grobe funktioniert schonmal, also Server rennt und man kann sich als Remotebenutzer anmelden.

Zum Einsatz kommt Windows Server 2016 als RDS und ein Windows Server 2012 R2 ist der DC.

Bereitstellungsszenario ist Sitzungsbasierte Desktopbereitstellung

 

Drei Dinge stören mich jetzt erstmal:

 

1) Es wird mein normales AD-Profile geladen, obwohl ich bei mir beim Benutzer im Reiter "Remotedesktopdienste-Profil" einen anderen Ordner angegeben habe. Das ist in sofern unschön, dass unter anderem Programmverknüpfungen geladen werden, zu Programmen, die auf dem RDS gar nicht installiert sind.

 

2) Ich weis nicht, wie ich den Benutzern die zugewiesenen Programme auf das Desktop legen kann. Gerne würde ich auch Laufwerksverknüpfungen auf das Desktop legen.

 

3) Es stehen (im Startmenü) Programme zur Verfügung, die man als normaler Benutzer nicht sehen sollte, beispielsweise der Server-Manager. Es soll im Grunde alles raus, bis auf die zugewiesenen Programme.

 

Wäre klasse, wenn ihr mir helfen könntet.

[Nobbyaushb 1.484]

Ihr verwendet Roaming Profiles?

Sonst würde das meiner Meinung nach nicht auftreten.

 

[daabm 1.366]

Hast Du das Profil nur im AD-Konto definiert? Das kann man auch per GPO (computerbezogen) festlegen...

https://gpsearch.azurewebsites.net/#2587

https://gpsearch.azurewebsites.net/#2500

 

bearbeitet 22. Juli 2019 von daabm

[Cryer 17]

Also ich habe bei den Benutzern einen normalen Profilpfad eingetragen und eben im Reiter "Remotedesktopdienste-Profil" einen anderen Ordner.

Wenn ich Roaming Profile aktiviert habe (unwissentlich und bislang war's auch egal), kann ich das ja über die GPO (https://www.windows-faq.de/2017/10/24/nur-lokale-benutzerprofile-zulassen/) wieder deaktivieren. Was passiert dann mit den vorhandenen Profilen, wenn sich die Benutzer an ihren Rechnern anmelden? Wäre ja doof, wenn die plötzlich mit neuem Profil da stehen würden.

 

Zudem habe ich in den RDS-Profileordner, den ich bei "Remotedesktopdienste-Profil" eingetragen habe reingeschaut. Der Server legt dort aber kein Profil an.

Ich habe also zwei Ordner

"Profile" für das normale AD-Profile

"RDS-Profile" soll bei der Verwendung der Remotedesktopdienste verwendet werden.

bearbeitet 22. Juli 2019 von Cryer

[NorbertFe 2.089]

vor 2 Minuten schrieb Cryer:

Wenn ich Roaming Profile aktiviert habe (unwissentlich

Wieso unwissentlich?

 

vor 2 Minuten schrieb Cryer:

Also ich habe bei den Benutzern einen normalen Profilpfad eingetragen

 

[daabm 1.366]

vor 10 Minuten schrieb Cryer:

Zudem habe ich in den RDS-Profileordner, den ich bei "Remotedesktopdienste-Profil" eingetragen habe reingeschaut. Der Server legt dort aber kein Profil an.

Das macht ja auch nicht der Server, das macht der User. Sind die Rechte da so gesetzt, wie es für die Auto-Erstellung von RUP-Ordnern erforderlich ist? https://docs.microsoft.com/de-de/windows-server/storage/folder-redirection/deploy-roaming-user-profiles

[Cryer 17]

vor 17 Minuten schrieb daabm:

Das macht ja auch nicht der Server, das macht der User. Sind die Rechte da so gesetzt, wie es für die Auto-Erstellung von RUP-Ordnern erforderlich ist? https://docs.microsoft.com/de-de/windows-server/storage/folder-redirection/deploy-roaming-user-profiles

Ich habe mich natürlich mit dem entsprechenden Benutzer angemeldet. Danach müsste ja eigentlich ein Profil erstellt worden sein. Wird es aber nicht, stattdessen wird das normale AD-Profile genommen.

vor 26 Minuten schrieb NorbertFe:

Wieso unwissentlich?

Weil mir nicht klar war, dass mit der Angabe eines Profilpfades automatisch das Roaming aktiviert wird. Ich hatte dem damals aber auch keine weitere Beachtung geschenkt.

vor 29 Minuten schrieb Cryer:

Was passiert dann mit den vorhandenen Profilen, wenn sich die Benutzer an ihren Rechnern anmelden? Wäre ja doof, wenn die plötzlich mit neuem Profil da stehen würden.

Habs grad selbst gelesen. Scheinbar ist es überhaupt keine gute Idee das Roaming nun im Nachhinein zu deaktivieren:

Zitat

Wenn Ihr diese GPO aktiviert, so werden auf dem PC immer nur lokale Profile erstellt. Sollte der Anwender über ein servergespeichertes Profil im Active Directory verfügen, so wird diese Einstellung verworfen und der Anwender wird trotzdem mit einem neuen, lokalen Profil angemeldet. Evtl. vorhandene Informationen aus seinem gespeicherten Profil vom Server werden nicht geladen.

 

bearbeitet 22. Juli 2019 von Cryer

[daabm 1.366]

vor 17 Minuten schrieb Cryer:

Ich habe mich natürlich mit dem entsprechenden Benutzer angemeldet.

 

Ja, schön Und welche Rechte hat dieser User auf dem Profilshare/-verzeichnis? (Also Share- und NTFS-Rechte...)

[Cryer 17]

Habe ich auf Standard gelassen. Ordner als Administrator angelegt und dann in der Freigabe Vollzugriff für "Jeder". UZnter Sicherheit habe ich nichts verändert.

Der Server erstellt dann ja automatisch die Unterordner mit den Benutzerprofilen bei der ersten Anmeldung der Benutzer, wo dann nur diese darauf Zugriff haben. Beim Anmelden auf dem RDS gibt es ja auch keine Fehlermeldung oder Warnung. Der Server greift sich das normale Profil und ignoriert meine Angabe aus dem Reiter "Remotedesktopdienste-Profil"

 

[daabm 1.366]

Die Ordner erstellt nicht der Server, sondern der User. Hast Du meinen Link mal aufmerksam gelesen? Ich weiß grad nicht, was Windows bei fehlschlagenden RDS-Profilen macht - wenn ich das programmiert hätte, würde ich einen Fallback auf das "normale" Profil implementieren.

[Cryer 17]

vor 6 Minuten schrieb daabm:

Die Ordner erstellt nicht der Server, sondern der User. Hast Du meinen Link mal aufmerksam gelesen? Ich weiß grad nicht, was Windows bei fehlschlagenden RDS-Profilen macht - wenn ich das programmiert hätte, würde ich einen Fallback auf das "normale" Profil implementieren.

Wie meinst du das? Also die Profile sind so eingetragen worden:

Zitat

\\S-SERVER-DC\TS-Profile\%username%

Nach dem Klick auf "Übernehmen" macht dann der Server daraus

Zitat

\\S-SERVER-DC\TS-Profile\benutzername

 

bearbeitet 22. Juli 2019 von Cryer

[daabm 1.366]

Ich glaub, ich red grad chinesisch... Wichtig ist grad nicht, was im Profilpfad im AD steht, sondern welche NTFS-Rechte auf \\Server\TS-Profile vergeben wurden. Du willst nicht lesen, oder? Steht alles in dem MS-Artikel oben...

[Cryer 17]

Du meinst das hier?

 

[daabm 1.366]

Ja. Der unterste Eintrag wäre jetzt interessant. Aber egal was in dem drin steht, falsch ist es auf jeden Fall

[testperson 1.728]

Hi,

 

falls das RDSH Profil nicht per GPO gesetzt wird: Ab Windows Server 2016 wird der Eintrag im AD-Objekt für RDS Profile solange ignoriert, bis ein Registry-Key (https://support.microsoft.com/en-us/help/3200967/changes-to-remote-connection-manager-in-windows-server) auf den RDSHs gesetzt ist.

 

Gruß

Jan