bersi23

Was soll ich machen?

Ich hab den Artikel bereits zwei mal aufmerksam durchgelesen und konnte leider keine eindeutige Antwort auf meine Frage finden. Ich kann nur Vermutungen aufstellen und das bringt mich nicht wirklich weiter. Ich würde mich freuen, wenn sich jemand meiner erbarmt und es etwas genauer beschreibt.

Wie legt man denn fest, auf welches GPO die im Central Store vorhandenen Templates angewendet werden? Oder wirken die auf alle GPOs?

Hallo, gibt es eine Möglichkeit, für die RDS-User bestimmte Downloads über den IE9 zu sperren? Sodass man z.B. nur kleine (gar keine geht auch) Dateien runterladen darf? Die Einstellungen im GPO unter Internet Explorer\Sicherheitsfunktionen\Dateidownloads einschränken verhindern ja lediglich die nicht vom Benutzer gestarteten Downloads und die auf dem Screenshot gezeigte Einstellung zeigt leider keine Wirklung: LG, bersi23

Achso, das ist auch ne Möglichkeit. Ich habe gehofft, dass es mit weniger Aufwand geht. Es wäre so schön, wenn man im vorhandenen GPO eine Kategorie anklicken und daraus ein neues GPO mit dem angeklickten Inhalt erzeugen könnte. Oder irgendwie mit Copy&Paste halt schneller ans Ziel kommen, ohne dieses mühsame rumklicken. Die ADMX Templates sind doch dazu da, GPO-Einstellungen zu exportieren/importieren. Ich hab es mir so vorgestellt, dass man ein neues GPO erstellt und die ADMX + ADML Dateien in einen Unterordner im Ordner des neuen GPOs reinkopiert und schon erscheinen die Einstellungen im neuen GPO.

Beim Kopieren eines GPOs wird ja der komplette Inhalt mitkopiert und ich wollte ein bestehendes GPO nach Themenbereichen in mehrere Einzel-GPOs splitten, um dann das ursprüngliche GPO zu löschen. Sodass die ganzen Gruppenrichtlinien modular aufgebaut sind.

Also, hier die Einzelheiten: Ich möchte gerne aus einem GPO die Konfiguration eines bestimmten Abschnitts (inetres.admx) in ein anderes GPO übertragen. Klar, die Konfiguration ist ja schon da und die ADMX Dateien stellen nur eine Übersicht dar. Aber ich würde gerne folgendes machen: Im GPO Nummer 1 sämtliche GPO-Einstellungen im Bereich Windows Komponenten\Internet Explorer händisch auf Deaktiviert setzen und die im GPO 1 deaktivierten Einstellungen im GPO Nummer 2 setzen. Das Setzen klappt ja mithilfe einer ADMX Datei, nur das Entfernen nicht. Ich möchte aus einem GPO mehrere machen, ohne mir die Arbeit zu machen, mir Einstellungen im ersten GPO zu merken, um sie dann händisch in den neuen GPOs zu setzen.

Hallo, ich habe hier ein kleines Problem, das sich, hoffentlich, schnell klären lässt. Wenn man z.B. den Abschnitt Windows Komponenten\Internet Explorer in mehreren GPOs bearbeitet, werden die ganzen Änderungen aus allen GPOs in der Datei %windir%\PolicyDefinitions\intetres.admx festgehalten. Ich möchte den Abschnitt Windows Komponenten\Internet Explorer aus einem GPO rauskopieren und eine ADMX Datei daraus machen, die ich dann auf ein neues GPO anwende. Ich stehe nun vor den folgenden Problemen: 1. Ich weiss nicht, wie man ein ADMX Template aus dem GPO-Abschnitt Abschnitt Windows Komponenten\Internet Explorer erzeugt (die vorhandene inetres.admx beinhaltet ja die Konfig aus allen GPO). Geht das überhaupt, ohne auf ein Tool wie ADMX Migrator etc. zurückgreifen zu müssen? Bzw. kann man das mit wenig Aufwand hinkriegen, ohne die einzelnen Registry-Key händisch niederzuschreiben etc.? 2. Ich weiss nicht, wo dann das neue ADMX Template hinkommt. So sieht die Verzeichnisstruktur eines GPOs aus: Wo müsste dann die neue ADMX Datei hinkommen? Gruß, bersi23

Naja, so schlimm ist das in meinen Augen nicht wirklich. Die Abmeldung kann ruhig da bleiben wo sie ist, man kann sich die Thin Clients zentral sofort wieder wieder anmelden lassen, wenn sich ein User abmeldet - dazu gibt es eine Konfigurationseinstellung in der wnos.ini: reconnect=yes oder =Zeit in Sekunden von 1 bis 3600. Sicher, im Nachhinein ist man immer schlauer. Aber aus Fehlern lernt man. Darüber hinaus vertete ich eine andere Ansicht, was die Sicherheit unserer Umgebung angeht. Sämtliche ausführbaren Programme sind gesperrt, es lässt sich nicht ausführen. Der Zugriff auf die Fesplatte ist gesperrt und die Ansicht ist ausgeblendet. Im großen und ganzen ist das GPO dermassen restriktiv konzipiert, dass man am Terminal gar nichts mehr machen kann. Die Softwareeinschränkung ist ja auch noch da und die Standardregel ist "Nicht erlaubt". Es sind per Pfadregel nur Programme unter %windir% frei geschaltet (Wobei alle Shells nochmal extra gesperrt sind) sowie der IE und alles was unter %programfiles/MS office/Office14 liegt. Aber die user haben eh keine Schreibrechte, weder unter %windir% noch unter %programfiles%. Sicher, irgendein professioneller Hacker wäre rein theoretisch in der Lage, etwas zu machen. Nur, von außen wirds kaum gehen, dazu müsste er an unserer Firewall vorbei kommen. Es wäre nur ein Man-in-the-Middle Angriff möglich, aber das ist in unserer Umgebung eher unwahrscheinlich. Ich will jetzt nur sagen, dass ein Terminaluser nichts machen kann. Das ist zu 99,99% sicher.

Bist du dir sicher, dass es an den Ports liegt? Bei DNS Problemen kann es zu diesem Hinweis ebenfalls kommen, dass der RPC Server nicht erreichbar ist.

Leider unterstützen unsere Thin Clients keine Remote Apps. Es handelt sich um Wyse T10 Modelle mit WNOS als OS. Diese Geräte müssen sich irgendwo draufschalten, um Softwareausführung wiedergeben zu können.

Jop, mach ich sofort, danke übrigens! /EDIT: Gulp, ich dachte schon, ich hätte bzgl. der RemoteApps etwas wichtiges außer Acht gelassen. Aber das scheint nicht der Fall zu sein. Ein RemoteApp muss entweder im Browser oder im Kontext einer aktuellen Benutzersitzung ausgeführt werden: Somit geht das in meinem Fall gar nicht, da unsere Thin Client weder einen Browser noch eine eigene Benutzersitzung haben. Sprich, kein Desktop des Clients ist vorhanden, wenn man die Microsoft-Terminologie verwendet.

Die Thin Clients haben kein Betriebssystem im Sinne eines Betriebssystems, unter dem man arbeiten kann. Es handelt sich vielmehr um eine Konfugurationsoberfläche. Man kann darunter entweder eine RDP oder eine ICA Verbindung herstellen, um sich irgendwo draufzuschalten. /NACHTRAG Ich bin gerettet!!! Es gibt einen Konfigurationsparameter für die zentrale Konfiguration der Thin Clients über die wnos.ini, mit dem ein automatisches Reconnecten nach x Sekunden möglich ist. Ok, Problem gelöst, auch ohne Microsoft :)

Hmm, das verstehe ich jetzt leider nicht ganz. Wenn es kein Bug ist, warum wird dann empfohlen, gleich die komplette Netzwerkumgebung auszublenden? /EDIT: Aha, so etwas habe ich mir auch gedacht. Früher gab es ja diese Schaltfläche nicht, nur einen Ordner.

Wir setzen Thin Clients ein, die als Basis-OS eine Eigenentwicklung auf UNIX-Basis haben (WNOS). RemoteApp sind ja dazu da, innerhalb einer Windows-Umgebung entfernte Applikationen zur Vefügung zu stellen :(