bersi23

Was soll ich machen?

Ich hab den Artikel bereits zwei mal aufmerksam durchgelesen und konnte leider keine eindeutige Antwort auf meine Frage finden. Ich kann nur Vermutungen aufstellen und das bringt mich nicht wirklich weiter. Ich würde mich freuen, wenn sich jemand meiner erbarmt und es etwas genauer beschreibt.

Wie legt man denn fest, auf welches GPO die im Central Store vorhandenen Templates angewendet werden? Oder wirken die auf alle GPOs?

Hallo,

gibt es eine Möglichkeit, für die RDS-User bestimmte Downloads über den IE9 zu sperren? Sodass man z.B. nur kleine (gar keine geht auch) Dateien runterladen darf? Die Einstellungen im GPO unter Internet Explorer\Sicherheitsfunktionen\Dateidownloads einschränken verhindern ja lediglich die nicht vom Benutzer gestarteten Downloads und die auf dem Screenshot gezeigte Einstellung zeigt leider keine Wirklung:

LG,

bersi23

Achso, das ist auch ne Möglichkeit. Ich habe gehofft, dass es mit weniger Aufwand geht. Es wäre so schön, wenn man im vorhandenen GPO eine Kategorie anklicken und daraus ein neues GPO mit dem angeklickten Inhalt erzeugen könnte. Oder irgendwie mit Copy&Paste halt schneller ans Ziel kommen, ohne dieses mühsame rumklicken.

Die ADMX Templates sind doch dazu da, GPO-Einstellungen zu exportieren/importieren. Ich hab es mir so vorgestellt, dass man ein neues GPO erstellt und die ADMX + ADML Dateien in einen Unterordner im Ordner des neuen GPOs reinkopiert und schon erscheinen die Einstellungen im neuen GPO.

Beim Kopieren eines GPOs wird ja der komplette Inhalt mitkopiert und ich wollte ein bestehendes GPO nach Themenbereichen in mehrere Einzel-GPOs splitten, um dann das ursprüngliche GPO zu löschen. Sodass die ganzen Gruppenrichtlinien modular aufgebaut sind.

Also, hier die Einzelheiten:

Ich möchte gerne aus einem GPO die Konfiguration eines bestimmten Abschnitts (inetres.admx) in ein anderes GPO übertragen. Klar, die Konfiguration ist ja schon da und die ADMX Dateien stellen nur eine Übersicht dar. Aber ich würde gerne folgendes machen:

Im GPO Nummer 1 sämtliche GPO-Einstellungen im Bereich Windows Komponenten\Internet Explorer händisch auf Deaktiviert setzen und die im GPO 1 deaktivierten Einstellungen im GPO Nummer 2 setzen. Das Setzen klappt ja mithilfe einer ADMX Datei, nur das Entfernen nicht.

Ich möchte aus einem GPO mehrere machen, ohne mir die Arbeit zu machen, mir Einstellungen im ersten GPO zu merken, um sie dann händisch in den neuen GPOs zu setzen.

Hallo,

ich habe hier ein kleines Problem, das sich, hoffentlich, schnell klären lässt.

Wenn man z.B. den Abschnitt Windows Komponenten\Internet Explorer in mehreren GPOs bearbeitet, werden die ganzen Änderungen aus allen GPOs in der Datei %windir%\PolicyDefinitions\intetres.admx festgehalten.

Ich möchte den Abschnitt Windows Komponenten\Internet Explorer aus einem GPO rauskopieren und eine ADMX Datei daraus machen, die ich dann auf ein neues GPO anwende.

Ich stehe nun vor den folgenden Problemen:

1. Ich weiss nicht, wie man ein ADMX Template aus dem GPO-Abschnitt Abschnitt Windows Komponenten\Internet Explorer erzeugt (die vorhandene inetres.admx beinhaltet ja die Konfig aus allen GPO). Geht das überhaupt, ohne auf ein Tool wie ADMX Migrator etc. zurückgreifen zu müssen? Bzw. kann man das mit wenig Aufwand hinkriegen, ohne die einzelnen Registry-Key händisch niederzuschreiben etc.?

2. Ich weiss nicht, wo dann das neue ADMX Template hinkommt. So sieht die Verzeichnisstruktur eines GPOs aus:

Wo müsste dann die neue ADMX Datei hinkommen?

Gruß,

bersi23

Naja, so schlimm ist das in meinen Augen nicht wirklich. Die Abmeldung kann ruhig da bleiben wo sie ist, man kann sich die Thin Clients zentral sofort wieder wieder anmelden lassen, wenn sich ein User abmeldet - dazu gibt es eine Konfigurationseinstellung in der wnos.ini: reconnect=yes oder =Zeit in Sekunden von 1 bis 3600.

Sicher, im Nachhinein ist man immer schlauer. Aber aus Fehlern lernt man.

Darüber hinaus vertete ich eine andere Ansicht, was die Sicherheit unserer Umgebung angeht. Sämtliche ausführbaren Programme sind gesperrt, es lässt sich nicht ausführen. Der Zugriff auf die Fesplatte ist gesperrt und die Ansicht ist ausgeblendet. Im großen und ganzen ist das GPO dermassen restriktiv konzipiert, dass man am Terminal gar nichts mehr machen kann. Die Softwareeinschränkung ist ja auch noch da und die Standardregel ist "Nicht erlaubt". Es sind per Pfadregel nur Programme unter %windir% frei geschaltet (Wobei alle Shells nochmal extra gesperrt sind) sowie der IE und alles was unter %programfiles/MS office/Office14 liegt.

Aber die user haben eh keine Schreibrechte, weder unter %windir% noch unter %programfiles%. Sicher, irgendein professioneller Hacker wäre rein theoretisch in der Lage, etwas zu machen. Nur, von außen wirds kaum gehen, dazu müsste er an unserer Firewall vorbei kommen. Es wäre nur ein Man-in-the-Middle Angriff möglich, aber das ist in unserer Umgebung eher unwahrscheinlich.

Ich will jetzt nur sagen, dass ein Terminaluser nichts machen kann. Das ist zu 99,99% sicher.

Bist du dir sicher, dass es an den Ports liegt? Bei DNS Problemen kann es zu diesem Hinweis ebenfalls kommen, dass der RPC Server nicht erreichbar ist.

Leider unterstützen unsere Thin Clients keine Remote Apps. Es handelt sich um Wyse T10 Modelle mit WNOS als OS. Diese Geräte müssen sich irgendwo draufschalten, um Softwareausführung wiedergeben zu können.

Das reicht doch auch für Remote App, les mal den Link dazu den ich oben gepostet habe.

 

Grüsse

 

Gulp

Jop, mach ich sofort, danke übrigens!

/EDIT:

Gulp, ich dachte schon, ich hätte bzgl. der RemoteApps etwas wichtiges außer Acht gelassen. Aber das scheint nicht der Fall zu sein. Ein RemoteApp muss entweder im Browser oder im Kontext einer aktuellen Benutzersitzung ausgeführt werden:

Das RemoteApp-Programm wird dem Benutzer nicht im Kontext des Desktops des Remoteterminalservers angezeigt, sondern es ist in den Desktop des Clients integriert und wird dort in einem eigenen Fenster mit veränderbarer Größe und mit einem eigenen Eintrag auf der Taskleiste ausgeführt. Benutzer können RemoteApp-Programme parallel zu den lokalen Programmen ausführen.

Somit geht das in meinem Fall gar nicht, da unsere Thin Client weder einen Browser noch eine eigene Benutzersitzung haben. Sprich, kein Desktop des Clients ist vorhanden, wenn man die Microsoft-Terminologie verwendet.

Die Thin Clients haben kein Betriebssystem im Sinne eines Betriebssystems, unter dem man arbeiten kann. Es handelt sich vielmehr um eine Konfugurationsoberfläche. Man kann darunter entweder eine RDP oder eine ICA Verbindung herstellen, um sich irgendwo draufzuschalten.

/NACHTRAG

Ich bin gerettet!!! Es gibt einen Konfigurationsparameter für die zentrale Konfiguration der Thin Clients über die wnos.ini, mit dem ein automatisches Reconnecten nach x Sekunden möglich ist. Ok, Problem gelöst, auch ohne Microsoft :)

Hmm, das verstehe ich jetzt leider nicht ganz. Wenn es kein Bug ist, warum wird dann empfohlen, gleich die komplette Netzwerkumgebung auszublenden?

/EDIT: Aha, so etwas habe ich mir auch gedacht. Früher gab es ja diese Schaltfläche nicht, nur einen Ordner.

Wir setzen Thin Clients ein, die als Basis-OS eine Eigenentwicklung auf UNIX-Basis haben (WNOS). RemoteApp sind ja dazu da, innerhalb einer Windows-Umgebung entfernte Applikationen zur Vefügung zu stellen :(

Danke für die Links, Dukel. Ich werde den Einsatz von Drittanbietersoftware in Erwägung ziehen, vllt. ist das für uns auch eine geeignete Lösung.

Zu deiner Frage: Wir haben keine besonderen Anforderungen, es handelt sich lediglich um 20 Terminals, an denen gesurft und sehr oberflächlich mit Teilen von MS Office gearbeitet wird, nichts weiter. Keine lokalen Laufwerke, keine Netzlaufwerke, keine Drucker, gar nichts.

@mod: Ja, das habe ich verstanden.

Also, weiss jemand, ob es sich heirbei um einen Bug handelt?

Du gehst von einem Standardszenario aus, wenn ein Mitarbeiter an seinem Arbeitsplatz sitzt und am PC arbeitet. Es gibt aber auch ein anderes Szenario: Ein frei zugänglicher öffentlicher Internetraum, in dem z.B. Studenten rund um die Uhr die Möglichkeit haben müssen, mal eben E-Mails zu checken oder sich irgendwelche Seiten anzuschauen. Es meldet sich keiner an und auch nicht ab, jedes Terminal muss rund um die Uhr sofort zugänglich sein, sodass man sich einfach dran setzen und etwas machen kann. Und wenn ein Student die Sitzung abmeldet, ist das schon sehr schlecht, weil der nächste dann vllt. gar nicht weiss, wie man die Sitzung erneut startet. Wir sind keine technische Uni und bei uns sind viele Studenten, die keine Ahnung von der Technik haben.

Meine letzte Hoffnung ist die zentrale Konfiguration der Thin Clients, vllt. ist es von da aus möglich, den Abbruch einer RDP Sitzung abzuschalten oder eine automatische Neuanmeldung zu konfigurieren. Ich melde mich später nochmal und berichte von den neuesten Erkenntnissen...

Hmm, aber man kann den User auf genau eine einzige Session beschränken und dazu vllt. noch die max/min Zeiten einstellen bzw. einstellen, nach welcher Zeit eine inaktive Session beendet wird.

Außerdem gibt es mit Sicherheit Umgebungen, in denen der User sich nicht abmelden darf, damit er sich nicht unter einem anderen Namen anmelden kann.

/EDIT

Aber es muss doch irgendwelche Tricks geben... das krieg ich jetzt einfach nicht aus dem Kopf. Vllt. etwas anderes als Standardfunktion festlegen? Es gab doch da eine Einstellung im GPO.

Na toll :( Und was mach ich jetzt?

So, hier die angepassten Infos.

Im GPO ist folgendes aktiviert:

Und anschließend sieht es dann am Thin Client so aus:

Ist das hier auch ein "well-known" MS BUG?

Die Einstellung scheint erfolgreich angewendet zu sein:

Trotzdem ist die Schaltfläche "Abmelden" im Startmenü aktiv und bei einem Klick darauf wird man umgehend abgemeldet.

Im Eventlog sind keine Fehler zu finden, die mit diesem Thema zu tun haben (Nur sowas wie Fehler wegen fehlendem Druckertreiber etc.)

@Gulp: Für mich ist diese Diskussion beendet, führt eh zu keinem Ergebnis.

Was sagt Eventlog oder rsop? Kommt die Policy mit den Einstellungen am Benutzer an?

Da bin ich wieder.

rsop.msc meldet am Thin Client einen Fehler (Zugriff verweigert aufgrund fehlender Berechtigungen) und zeigt lediglich die Benutzerkonfig an, keine Computerkonfig. Mit gpresult habe ich mehr Glück und die Einstellung scheint erfolgreich angewendet zu sein:

Trotzdem ist die Schaltfläche "Abmelden" im Startmenü aktiv und bei einem Klick darauf wird man umgehend abgemeldet.

/EDIT:

Maan, jetzt hab ich die beiden Threads miteinander verwechselt! Bitte um Entschuldigung, ich werde es gleich anpassen.

Gut, werde ich machen und melde mich nachher nochmal.

Kleine Anmerkung: Es handelt sich um Benutzerkonten, die ausschliesslich für den Terminalserver gedacht sind, es wird damit sonst an keinen Workstations angemeldet.

Ich muss das GPO entweder entschärfen, sodass ich das rsop.msc starten kann oder eben ein Test-GPO nur mit der gewünschten Einstellung erstellen, um zu schauen, ob diese Einstellung ankommt. Wir haben jetzt Mittagspause, ich melde mich nachher.