RemoteApps von/auf 2 Servern

[cj_berlin 1.323]

vor 2 Stunden schrieb Quirk18231:

@jcb: Wir wollen das die User nur die RemateApp-Programme öffnen dürfen und sonst nicht - alles andere soll gesperrt werden, ist per GPO verriegelt.

Die Frage war jedoch nicht, was für Maßnahmen ihr ergreift, sondern, welcher konkreten - oder meinetwegen auch abstrakten - Gefährdung ihr damit vorbeugen wollt. Aber Deine Nicht-Antwort ist genau das, was ich erwartet hatte. Ihr wisst es nicht, denkt aber, dass wenn die IT einen Desktop-Lockdown-Krieg gegen die eigenen User anfängt, alles irgendwie sicherer wird.

[Quirk18231 0]

Hallo,

 

öeider habe ich jetzt das Problem, dass die GPO nicht zieht welche die RemoteApps auf die Rechner verteilt. 

 

Wenn ich den Link aus der GPO in Systemsteuerung RA einfüge klappt das wunderbar, nur leider nicht über die GPO Benutzer->AdminV->windowsK->RemoteDD->RemoteAPP- &DV-> Standardverbindungsurl

 

Das Zertifikat vom Server ist per GPO verteilt und in der GPO bei Computer und Benutzer mit Hash benannt. 

 

Die kopierten Links auf dem Desktop laufen auch, nur leider werden ohne die korrekte Einbindung nicht die Datei-Zuordnungen gesetzt.

 

Wie kann ich dies hier prüfen/fixen?

 

Danke 

Ich stelle gerade fest, dass die Datei-Zuordnung auch nicht mehr mit dem manuellem Einfügen funktionieren  - die RemoteApps gehen nur die Zuordnung nicht, obwohl diese eingestellt sind?

 

2 Probs:

 

- Einfügen über GPO weebfeed geht nicht 

- Programme werden selbst bei manuellem einfügen nicht als Progs zum Öffnen mit RemotaApp erkannt - dies ist in den Remoteapp-Eigenschaften aber konfiguriert

bearbeitet 7. Dezember 2021 von Quirk18231

[Quirk18231 0]

noch eine Frage: wie kann ich heraus finden, ob sich GPOs gegenseitig blockieren?

 

Danke

[cj_berlin 1.323]

vor 23 Minuten schrieb Quirk18231:

noch eine Frage: wie kann ich heraus finden, ob sich GPOs gegenseitig blockieren?

GPRESULT und https://techcommunity.microsoft.com/t5/microsoft-security-baselines/new-tool-policy-analyzer/ba-p/701049 

[Quirk18231 0]

Morgen,

 

also GPResult sagt das die GPO angewendet wurde - nur leider stimmt das nicht - die Remoteapps wurden nicht über den weebfeedlink gesetzt. 

 

Der PA war super, nur leider habe ich dort auch keine Fehler gefunden, d.h. GPOs die das verhindern sollten.

 

Habt ihr noch weitere Ideen?

[Sunny61 806]

Ist das ein Windows 10 1703? Falls ja, dann liegt im 1703 der Fehler. Kannst Du den Link denn als Admin erfolgreich einfügen und die Apps abrufen? Was passiert als User? Fehlermeldung?

[Quirk18231 0]

Hi Sunny,

 

nein es ist ein 21H2 aktuellste Version.

 

Ja die GPO greift laut GPResult, der Link/RemoteApps webfeed wird aber leider nicht konfoguriert.

Manuell kann ich den Link über die Systemsteuerung einfügen. Dann laufen die RA.

 

Danke Dir

[Sunny61 806]

Wird er nicht eingefügt oder was passiert nicht? Ist es egal mit welchem Benutzer auf diesem Client? Gibt es Tasks die regelmäßig ein Update der Connection durchführen?

[meinerjunge 10]

Hallo,

 

bei mir hat es einmal geholfen unter "c:\Windows\System32\GroupPolicy\Machine\" die "Registry.pol" umzubenennen/löschen und die Maschine neu zu starten.

 

Im gpresult wurden auch alle Richtlinien "angewendet" aber im RSOP.msc waren keine Änderungen.

 

 

MfG Meiner

[Quirk18231 0]

hi,

 

habe ich versucht, das Problem tritt aber selbst bei neu aufgesetzten Rechnern auf.

 

Manuelles Einfügen+ ein gpupdate direkt danach führt zum erwünschten Ergebnis.

[Nur leider ist das echt anstrengend bei allen Usern manuell zu machen .... ;( ]

 

Bei Einigen wenigen (2) funktionierte es beim Löschen der User im Userverzeichnis +regedit Profillist + Löschen der beiden PolicyOrdner - hier wurden aber vorher schon beim die RA im Profil hinterlegt, ich weiß nicht ob er sich das irgendwie irgendwo gemerkt hat ???

 

Danke für eure Hilfe !

bearbeitet 9. Dezember 2021 von Quirk18231

[Sunny61 806]

Funktioniert es denn wenn der User lokaler Admin ist? Das ist nur zum Test. Bei 1703 gab es den Bug, dass es nur bei Benutzern funktionierte, die lokaler Admin waren. Also testen bitte.

[Quirk18231 0]

Hey Sunny,

 

BINGO! - mit lokalen Adminrechten läuft es !.

 

Bekommt man diese jetzt zum Laufen und den Usern diese zu geben? Gibt es hier eine Workaround?

 

Die Maschinen sind komplett durchgepatcht, also auf jeden Fall kein 1703 mehr irgendwo - ich habe einige auch neu mit 21H2 aufgesetzt - also an Altlasten kann es auch nicht liegen.

 

Danke!!!

Licht am Ende des Ts ... - hoffe ich :)

 

Q

 

 

bearbeitet 12. Dezember 2021 von Quirk18231

[Sunny61 806]

Dann geh einfach immer eine Version retour. Probier es mit 21H1, 20H2, 20H1. 1909 funktioniert, die haben wir im Einsatz.

Wenn Du zurück gehst, unbedingt mit RTM testen und dann mit dem letzten CU testen. Wenn es mit RTM NICHT funktioniert, aber mit dem letzten CU, weißt Du es wurde zwischenzeitlich repariert.

 

Nebenbei ein Ticket bei MSFT eröffnen, das ist ein richtiger Bug, ohne wenn und aber.

[Quirk18231 0]

Ich habe auf Grund Deiner Hilfe das hier gefunden:

 

https://www.ajtek.ca/guides/remoteapp-and-desktop-connections/

 

mit der Änderung hier hat es dann auch funktioniert:

 

http://www.andrewparisio.com/2012/08/automatically-add-remote-app-connector.html

 

 

ein Prob habe ich noch: Wie und wo kann ich im Skript den Parameter WCXPath setzen und die manuelle Userabfrage abschalten?

 

Hier den Pfad eintragen bringt nichts .. ??

 

Param( 
    [parameter(Mandatory=$true,Position=0)] 
    [string] 
    $WCXPath

)

bearbeitet 12. Dezember 2021 von Quirk18231

[Quirk18231 0]

PS Microsoft.PowerShell.Core\FileSystem::\\dc\sysvol\domain\scripts\> \\dc\sysvol\domain\scripts\script.ps1
Cmdlet skript.ps1 an der Befehlspipelineposition 1
Geben Sie Werte für die folgenden Parameter an:
WCXPath: 

 

---

 

Param( 
    [parameter(Mandatory=$true,Position=0)] 
    [string] 
    $WCXPath = "\\dc\SYSVOL\domain\scripts\script.wcx"
)