GPO Anmeldescript problem

[Ripper 10]

Hallo Zusammen

 

Ich baue zurzeit eine neue Win 2003 Terminalserverumgebung mit Citrix Presentation server 4.0 auf.

Mit Citrix ist es möglich einzelen Applikationen Benutzern über über das Feature "Published applications" zur Verfügung zustellen.

So wird nur die gewünschte Applikation gestartet und nicht nochmals die gesammte Windowsumgebung mit Startmenü im hintergrund mit.

 

Dies setzen wir bei uns für Fat und ThinClients ein.

 

Mein Problem besteht darin, dass wir von der Geschäftsleitung her in unsere standard Benutzer GPO, die für alle Benutzer gilt, ein Anmeldescript einbauen mussten, dass bei jeder Windowsanmeldung den Internetexplorer mit unserer Intranetpage startet.

 

Für meine Terminalserverfarm habe ich eine GPO mit einer Loopbackverarbeitung eingerichtet, in der die Benutzerrichtlinien zusammengeführt werden. Die Benutzerrichtlinie des Terminalservers überschreibt so ungewünschte Einstellungen von der standard BenutzerGPO .

 

Das Problem ist aber, dass auch bei Thinclients, auf denen nur gewisse Applikationen ausgeführt werden, ebenfalls der Internetexplorer mit gestartet wird. Auch von einem Fat-Client aus wird jedes mal, wenn eine published Application gestartet wird, zusätzlich noch ein IE gestartet.

 

Nun suche ich eine Lösung um diesen anmeldescript, für bestimmte Benutzer Gruppen im AD, die mit published Applications arbeiten zu deaktivieren.

 

Erschwerend kommt hinzu, dass zusätzlich auch gewisse Benutzer mit dem "Published Desktop" auf dem ThinClientarbeiten, also mit der vollen Windowsoberfläche, bei denen der Script ausgeführt werden muss.

Ich habe versucheshalber eine zweite GPO erstellt, die nur die gewünschten Benutzergruppen berechtigt sind zu lesen, welche über published Applications arbeiten. In dieser GPO habe ich nur die Loopbackverarbeitung aktiviert und bei der Benutzerseitigen Einstellungen ein anderes Scrip eingetragen, das testweise einfach mal MSPAINT startet, in der Hoffnung, dass dieser andere Scriptpfad, den eingetragenen scriptpfad in der standard Benutzer GPO mittels der Loopbackverarbeitung ersetzt, mit dem tragischen erbebnis, dass der IE und das MS Paint gestartet wird. Diese GPO habe ich höher gestuft als meine erste Terminalserver GPO und erzwingen aktiviert.

 

Leider ohne erfolg.

 

Ich hofffe, jemand kann mir weiter helfen.

 

Mit bestem Dank

 

Remo Schlosser

[Hirgelzwift 10]

in der 1. GPO wird ja der IE gestartet und in der 2. mspaint. daher werden beide ausgeführt, egal wie rum die stehen.

 

im grunde musst du 2 komplette sätze von GPO's machen die identisch sind bis auf den skript den sie starten und du musst zwei gruppen bauen und die jeweiligen gruppenmitglieder pflegen. der jeweils anderen gruppe verweigerst du das anwenden. bei autentifizierten benutzern machst du in beiden GPO's den hacken für "anwenden" weg, aber ja nicht verweigern.

 

loopbackmodus aktiviert machst du natürlich in beiden GPO's.

[Ripper 10]

Wie meinst du das mit zei kompletten sätzen an GPO's.

 

In der Benutzer OU sind alle unsere allgemeinen GPO's gesetzt

 

Der gleiche Benutzer arbeitet aber auch an Thin Clients und hat ein Windows Fatclient mit Published application.

Egal wo er sich anmeldet, der Benutzer kommt immer aus der selben Benutzer OU mit ca 8 GPO's. Wie schaffe ich, dass er bei der Anmeldung am Terminalserver das normale benutzer GPO mit dem aufruf des IE nicht lädt.