Server kann über Citrix-Sitzung heruntergefahren werden, ABER ...

[d.pabst 10]

Hallo alle zusammen,

 

wir nutzen aktuell Citrix-Clients. MetaFrameXP auf Windows2003Server. Soweit läuft alles, aber die verwendeten Accounts werden auch auf normelen Computern verwendet, da wir eine allgemeine Anmeldung verwenden, mit dem sich alle Benutzer an mehreren Systemen anmelden. Der einzigste Unterschied ist, die sich über Citrix anmelden haben ein TerminalProfil.

 

Das Lustige ist nun folgendes. Wir wollen auf normalen Computern weiterhin den Herunterfahren-Button verwenden, aber auf den ThinClients soll dieser beim gleichen Benutzer nicht zu sehen sein.

 

Warum das alles? Am ThinClient, wenn die Schaltfläche herunterfahren existiert, hat jeder normale Benutzer die Möglichkeit den Server herunterzufahren. Das soll er natürlich nicht. Wenn wir dies per Richtlinie einschränken , kann der Server nicht heruntergefahren werden, aber dafür ist die Schaltfläche bei den Usern nicht mehr vorhanden. Die ist aber von den Usern gewünscht.

 

Das gleiche würden wir auch gerne mit der Schaltfläche ausführen machen. Ist hierbei aber nur nebensache.

 

Ich hoffe es jemand eine Idee.

 

SG d.pabst

[Milla 10]

du musst im Citrix Server konfigurieren:

 

User sollen nur die Möglichkeit zum abmelden haben und fallen dann ins Menü des ThinClients zurück, den sie dort herunterfahren können !!

 

Admins sollen natürlich von diesen Regeln ausgenommen werden !!

 

Das ganze kannst du IMHO per Gruppenrichtlinie definieren !!!

 

! Domain User sollen auf den Citrix Server diese und jene Buttons nicht sehen !

Natürlich nur auf den Citrix Servern und nicht im ganzen Netz anwenden !

[Coolman 10]

warum arbeitest du nicht mit published applications ???

[Schorschinio 10]

@ d.pabst

 

Milla hat recht.

 

Ich würde es wie folgt machen.

 

Eine OU erstellen, da die ganzen Citrix Server reinschmeissen. Dann für diese OU eine Gruppenrichtlinie erstellen und dort diese Sachen verbieten.

Die Berechtigung von der Group Policy wie folgt.

Normale User & Citrix Server das Ausführen Recht für die Policy geben, den Admins aber verbieten!!!

Somit dürfen die Admins die Policy net ausführen, damit haben die auch noch den Button!

Andere dürfen dei Policy ausführen und haben den somit net!

 

Hoffe das hilft Dir weiter!

 

Gruß

 

HG

[grizzly999 11]

Ganz so einfach geht das dann doch nicht. Man braucht dazu unterschiedliche Benutzerrichtlinien (meine GPOs mit Benutzereinstellungen) auf der TS-OU und der "normalen" Benutzer OU. Auf der TS-OU muss dann noch der Loopbackverarbeitungsmodus (Boardsuche!) eingeschaltet werden, am besten im Modus "Ersetzen".

 

 

grizzly999

[Schorschinio 10]

@grizzly999

 

Seltsam, beim mir läuft das ohne Probleme... ...ales in einer Richtlinie mit den genannten Allow/Deny Einstellungen...

 

CU HG

[grizzly999 11]

Also, wenn ich auf der TS-OU Solche Gruppenrichtlinien mache (Start Ausführen entfernen, Abemelden entfernen), dann sind das Benutzerrichtlinien. Die ziehen schon mal so lange nicht, wie sich kein User in der OU befindet. Das ist Fakt. Wennman die Userkonten jetzt auch noch in die OU schiebt, bekommen die die Richtlinie, aber IMMER, egal, ob auf dem TS oder der lokalen Maschine angemeldet. Und da helfen nur zwei GPOs und der Loopbackverarbeitungsmodus. Und wenn du das nicht so hast, dann läuft es bei dir, aber es läuft nicht im gewünschten Sinne von d.pabst.

 

grizzly999

[Schorschinio 10]

@grizzly999

 

Ich versteh Deine Einwände, geht bei uns (uns anderen) aber trotzdem so! :cool:

 

Die TS Server sind in der OU! Die User haben ausführen für die Richtilinie hinterlegt.

 

Sobald sich jetzt ein User an einem TS Server aus der OU anmeldet greift die Richtlinie! (Bei Admins net, da die die Richtlinie nicht ausführen dürfen!)

An anderen Rechnern greift Sie nicht, da diese nicht in der OU sind.

 

Ich weiß auch das es da noch andere Modelle gibt, aber das ist (meiner Meinung nach) das einfachste. Und das es funktiniert, seh ich jeden Tag ;)

[grizzly999 11]

Wie bitte soll die Richtlinie, verlinkt an der TS-OU, mit Benutzereinstellungen auf Benutzer wirken, wenn deren Konten in einer anderen OU sind? Geht technisch nicht, und da macht mir keiner ein X für ein U vor.

 

grizzly999

[Schorschinio 10]

Der Benutzer meldet sich an dem TS Server aus der OU an. Dort ist die Policy für den Computer und User hinterlegt. Jeweils mit ausführen rechte für User und Computer. Verboten ist die Ausführung für Admins.

Wenn der User sich anmeldet greit die Policy, da der Server als Objekt in der OU ist. Da auch das Ausführenrecht für diesen User (Gruppe) vergeben ist zieht der sich die Policy auch!

 

Ich hab die selber bei uns so eingerichtet und die geht! Was soll ich sonst noch dazu sagen??? :suspect:

Ich will hier sicher keine Unwahrheiten verbreiten wenn Du das meinst!

 

Test es mal so und Du wirst sehen das es geht!

 

Gruß HG

[grizzly999 11]

Frage: In welcher OU liegen die Benutzerkonten?

 

grizzly999

[frieda 10]

Auszug aus http://www.gruppenrichtlinien.de

 

"In der "OU-Terminalserver" wird eine Policy definiert in welcher der Loopbackmodus aktiviert ist. Außerdem werden in dieser Policy die Benutzereinstellungen sehr restriktiv eingestellt - obwohl sich in der „OUTerminalserver“ gar kein Userkonto befindet.

 

 

 

Meldet sich jetzt ein Benutzer irgendwo an einer Workstation an, wirkt die Policy die in seiner OU für ihn gemacht ist. Meldet er sich aber an einem TerminalServer aus der OU-Terminalserver an, wirken wegen des Loopbackmodus auf ihn die Einstellungen, die in der OU-Terminalserver unter den Benutzereinstellungen definiert sind.

 

"

[grizzly999 11]

Meine Rede ....

 

grizzly999

[d.pabst 10]

Hallo alle zusammen,

 

Großen Dank für die vielen Antworten.

 

Das mit dem Loopbackverarbeitungsmodus habe ich wohl die ganze Zeit falsch verstanden. Loopbackmodus funktioniert ja wie folgt: Die Vererbung der Berechtigung beginnt in der Domäne, dann Standort, OU etc. und am Ende ist der Computer, nicht wie sonst der User.

 

Aber ich dachte immer, das nur die Einstellung in der OU für die Computerkonfiguration am Ende zum Einsatz kommt. Nicht die Userkonfiguration. Wenn ich das hier so lese, werden doch die Einstellungen in der Benutzerkonfiguration übernommen.

 

Auf http://www.gruppenrichtlinien.de/HowTo/Terminal_Server.htm

und auf http://www.tsfaq.de/pages/tse_tt_inhalt.htm

 

wird das ja beschrieben, aber es hat noch nicht geklappt.

 

 

Die Citrix-Server befinden sich in einer eigenen OU. Die Richtlinienvererbung ist deaktiviert. In der OU der TS habe ich eine GPO erstellt. Unter Computerkonfiguration -> Administrative Vorlagen -> System -> Gruppenrichtlinien, den Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie" aktiviert. Ich habe mich hierbei für ersetzen entschieden. In der gleichen GPO habe ich unter Benutzerkonfigration -> Administrative Vorlagen -> Desktop, zum Testen den Papierkorb vom Desktop entfernen aktiviert. Die Filterung der Gruppenrichtlinie ist nur für meinen Test-Benutzer aktiviert und für einen TS. Auf dem Server habe ich gpupdate ausgeführt.

 

Danach habe ich mehrmals auf den Server über meinen Citrix-ICA-Client zugegriffen, aber leider bisher ohne Erfolg.

 

Natürlich wirken die Gruppenrichtlinien nicht immer sofort. Bei einem normalen Computer muss dieser ja teilweise zwei-, dreimal neu gestartet werden, damit diese auch wirklich greift. Aber ich will nicht meinen TS neu starten, da ja alle Benutzer noch mit diesem Arbeiten. 24h am Tag. Wie kann ich das nun am besten erledigen, zumal das Testen einige Versuche bedarf, bis man zufrieden ist.

 

Ach ja! Die User befinden sich in einer anderen OU, ohne Vererbungsunterbrechung. Zu dem gehören diese zur Gruppe TS-User.

 

SG d.pabst

[grizzly999 11]

Das funktioniert genauso wie du es beschreibst und offensichtlich gemacht hast. Ich arbeite gerade auf einem Citrix Server, bei dem das SO funktioniert.

 

Prüfe als Benutzer doch mal gpresult.exe für den Test-User, ob er die Richtlinie auch bekommt.

 

 

grizzly999