bersi23

Ich bedanke mir nochmals für eure Antworten, das war jetzt richtungsweisend :)

Du wolltest einfach ja oder nein. Da du aber eine Oder-Frage gestellt hast, waren das sogar zwei Antworten in einem Posting. Genau das hat dir auch Nils mitgeteilt.

 

Bye

Norbert

Nein, Nils hat mir eine nette und gut gemeinte Antwort gegeben. Im Gegensatz zu dir, leider. Ich danke dir aber für deine Zeit trotzdem, musst wohl irgendwie gereizt gewesen sein.

Moin,

 

ja.

 

(Es könnte sein, dass "einfach ja oder nein" als Antwort auf eine Oder-Frage nicht weiterhilft, daher hier noch etwas ausführlicher: Du kannst die vorhandenen GPOs problemlos beibehalten. Wenn du sie nachträglich um neue Einstellungen oder GPPs erweitern möchtest, ist das problemlos möglich. GPOs haben keine "technische Version".)

 

Gruß, Nils

Vielen Dank Nils, das hilft mir ungemein weiter.

Ja, nein.

 

Bye

Norbert

Wie darf ich das bitte verstehen?

So, hier bin ich wieder. Es freut mich, dass es einen Patch gibt, mit dem man die neuen CSEs in einer W2K3 Domäne nutzen kann. Die Anleitung ist auch verständlich geschrieben und mit vielen zahlreichen Links belegt.

Leider beantwortet all das meine eigentliche Frage nicht:

Nun stellt sich aber die Frage: Die alten GPOs werden mit Sicherheit auch in der Gruppenrichtlinienverwaltung des neuen W2K8 DCs zur Verfügung stehen, ABER: sind es dann immer noch die alten GPOs mit eingeschränktem Funktionsumfang oder fließen die alten "Bohrungen" in eine neue Vorlage ein, die dann die kompletten zusätzlichen Einstellungsmöglichkeiten eines W2K8 GPOs hat? Oder muss man das irgendwie händisch anstellen (z.B. GPO kopieren)?

Also, lassen sich die alten GPOs um neue CSEe erweitern und der vorhandene Inhalt von früher bleibt bestehen oder geht das nicht und man muss ein neues GPO zusammen klicken?

Bitte einfach ja oder nein sagen.

Hi Norbert und Danke für die Antwort!

ich bin gerade zuhause, fix und fertig nach nem harten Arbeitstag. Ich schau mir den Link später an und melde mich dann nochmal zu Wort.

Wie manch ein anderer Admin stehe derzeit auch ich vor dem Problem der Übertragung eines mühsam konfigurierten W2K3 GPOs in die W2K8 Umgebung. Die konventionelle Weg (import/export) ist zu umständlich also ist mir folgende Idee in den Sinn gekommen:

Man kann doch in die Domäne, die von mehreren W2K3 DCs gehostet wird, einen neuen W2K8 Server zunächst einmal als Mitgliedsserver aufnehmen und ihn dann zum DC aufstufen. Ggf. anschließend noch die Betriebsrollen übertragen.

Nun stellt sich aber die Frage: Die alten GPOs werden mit Sicherheit auch in der Gruppenrichtlinienverwaltung des neuen W2K8 DCs zur Verfügung stehen, ABER: sind es dann immer noch die alten GPOs mit eingeschränktem Funktionsumfang oder fließen die alten "Bohrungen" in eine neue Vorlage ein, die dann die kompletten zusätzlichen Einstellungsmöglichkeiten eines W2K8 GPOs hat? Oder muss man das irgendwie händisch anstellen (z.B. GPO kopieren)?

Vielen lieben Dank!

*schubs*

Ich danke euch für die vielen hilfreichen Antworten!

Es führt wirklich kein Weg daran vorbei, die RDS Maschine als einen Mitgliedsserver neu zu installieren.

In welchen Domänengruppen sind die User?

in Domänen-Benutzer und in Remotedesktop-Benutzer

Eine letzt Frage hätte ich noch: Wie stellt man Usern die RemoteApps zur Verfügung? Man kann ja die Apps in die Liste aufnehmen aber wie kann man die App denn einem User als Link zur Verfügung stellen?

Moin,

 

ein DC ist ein DC ist ein DC. Er ist kein Terminalserver und kein anderer Server.

Ebenso ist ein Terminalserver ein Terminalserver.

 

Wenn der User sich direkt am TS anmeldet, sieht er dessen Desktop und kann alles nutzen, worauf er Rechte hat. RemoteApps sind dafür da, dass ein User eben nicht den ganzen Desktop bekommt, sondern nur eine einzelne Applikation. In dem Fall muss er dann die RemoteApp starten (per RDS-Verknüpfung, per MSI oder per Web-GUI) und nicht den Server-Desktop.

 

Berechtigungen werden über RemoteApps nicht automatisch vergeben, das müsste man bei Bedarf separat tun.

 

Gruß, Nils

Hallo Nils und Danke für Deine Antwort,

Du hast vollkommen Recht, ein DC sollte aus Sicherheitsgründen und aus Gründen der unnötigen Leistungsverschwendung keine anderen Rollen haben. In meinem Fall ist das aber nun mal so, dass der DC andere Dienste hostet, bitte gönne mir diesen schwachsinnigen Luxus vorerst :) Ich werde die Umgebung wahrscheinlich eh neu aufbauen und den RDS nur als einen Mitgliedsserver ohne zusätzliche Rollen aufstellen.

Nun, Leider verstehe ich nicht ganz, was genau Du sagen möchtest. ich habe ja das Problem beschrieben und kann deinen Text in Bezug auf das im OT beschriebene Problem nicht ganz nachvollziehen.

Wenn der User sich direkt am TS anmeldet, sieht er dessen Desktop und kann alles nutzen, worauf er Rechte ha

Der User meldet sich aber nicht "direkt" an. Er meldet sich am RDS Server remote an, per RDP. Und hat auf alles Vollzugriff. Ich würde gerne wissen, ob sich dieser Vollzugriff irgendwie nur auf die freigeschalteten RemoteApps minimieren lässt. Innerhalb der RDP Sitzung.

Ja gut, das klingt logisch. Aber ist das denn jetzt wirklich so, dass der Remotezugriff per RDP immer ein Vollzugriff ist? Kann nicht sein, oder?

Wenn ich die RDP Verbindung über die wnos.ini (eine Script-Datei, die automatisch mehrere Parameter setzt) starte und beim Anmelden am RDS z.B. den IE9 starten lasse, wird nichts anderes ausser des IE angezeigt - nur blanker Hintergrund ohne Startleiste etc. Beim Schließen des IE wird der User automatisch abgemeldet.

Das könnte ich, es würde jedoch ein zusätzlicher Aufwand sein. Ich werde die aktuelle Installation vermutlich plattmachen und alles komplett neu installieren, falls der Remoteuser auch weiterhin auf alles Vollzugriff hat. Dann kann ich den RDS Server in eine andere Domäne aufnehmen, in der es restriktive GPOs gibt.

Ich verstehe den Sinn der RemoteApps nicht ganz. Oder sind sie etwa nur für den Zugriff übers Web gedacht?

/EDIT

Hier hab ich einen Thread entdeckt, in dem ein anderer User vor genau demselben Problem stand:

http://meinews.niuz.biz/terminal-t210381.html?

Das ist richtig.

Hallo allerseits,

die SuFu ergab leider nichts sinnvolles. Auch beim googeln wurde ich nicht fündig, deshalb nun dieser Thread.

Ich habe hier einen 2K8R2 RDS Server mit folgenden Rollen:

- DC

- IIS

- DNS

- DHCP

- RDS Lizenzserver mit 20 aktivierten Lizenzen

Es gibt 20 WTOS Thin Cliens der Serie T10.

Im Moment befindet sich die ganze Umgebung in der Aufbauphase. Ich bin beim Feintuning.

Folgendes Problem:

Wenn sich ein Remoteuser am ThinClient per RDP auf den RDS Server drauf schaltet, hat er Zugriff auf alles ohne Einschränkungen. Die konfigurierten RemoteApps sowie alles andere steht ihm frei zur Verfügung. Selbst wenn ich die RemoteApps aus der Liste am Server entferne, hat der User trotzdem vollen Zugriff auf sämtliche Programme wie Windows-Funktionen.

Bitte sagt mir was ich falsch konfiguriert habe.

Im Voraus herzlichen Dank!

Schade, dass meine Frage nicht beantwortet werden kann. Ich danke trotzdem vielmals für die geleistete Unterstützung. Da die Frage sowieso zu einfach war, werde ich sicher selber fündig. Wenn nicht, melde ich mich nochmal :D

@Dr. Melzer: Danke!

Das hast du bestimmt überlesen, hier:

Wie sieht es aber mit den Terminalserverlizenzen aus? Wie werden sie eingegeben und aktiviert? Das ist jetzt bestimmt eine triviale Frage, eine Antwort würde mir an dieser Stelle dennoch etwas mehr Klarheit verschaffen.

 

Hallo, hier bin ich wieder. Tut mir leid, dass ich mich so lange nicht gemeldet habe, wir haben gerade eine heisse Phase auf der Arbeit.

Die normalen User/Device CALs müssen ja wohl einfach vorhanden sein, um bei einer Kontrolle nachweisen zu können, dass alles rechtens ist. Das gleiche gilt anscheinend auch für die Office Lizenzen.

Terminalserverlizenzen sind im Falle von W2K8 R2 die RDS CALs. Das sind die Lizenzen, die man im Lizenzserver auf dem RDS Server eingeben muss. Ich würde gerne wissen, wie das aussieht, wie/wo man sie eingibt etc. Ein Link wäre vielleicht auch nicht schlecht, so auf Anhieb konnte ich beim googlen nichts brauchbares finden.

Hi Dr.Melzer,

erstmal Danke für Deine ausführliche Antwort. In der Tat, an MS Office habe ich gar nicht gedacht. Sind es dann 20 ganz normale MS Office Lizenzen, die wir brauchen oder gibt es eine besondere Form von Terminallizenzen für MS Office?

Die Lizenzenzuweisung der CALs ist klar, also eine einfache Liste. Genauso wird es wohl auch bei den MS Office Lizenzen sein.

Wie sieht es aber mit den Terminalserverlizenzen aus? Wie werden sie eingegeben und aktiviert? Das ist jetzt bestimmt eine triviale Frage, eine Antwort würde mir an dieser Stelle dennoch etwas mehr Klarheit verschaffen.

LG,

bersi23

Hi Leute,

ich habe mich bereits einigermassen informiert. Dennoch möchte ich auf Nummer sicher gehen und es mir von euch bestätigen lassen, ob alles korrekt ist.

Also, ich bin im Moment dabei, in einem Teilsegment unserer Netzwerkumgebung eine RDP Terminallösung zu implementieren, bestehend aus folgenden Komponenten:

- 1x Microsoft W2K8 R2 Server Enterprise

- 20x Thin Clients

Das ganze wird in einem unserer Computerräume zum Surfen im Intra- und Internet eingesetzt.

Ist es richtig, dass folgendes an Lizenzen erforderlich ist:

1x W2K8 R2 Produktlizenz

20x User/Device CALs

20x Terminalserverlizenzen?

Es wäre außerdem sehr nett, wenn jemand beschreiben könnte, an welcher Stelle und wie genau die CALs sowie die Terminalserverlizenzen angegeben/aktiviert werden. Sind das Zahlenfolgen und/oder wie verfährt man damit? Werden diese Lizenzen nach der erstmaligen Benutzung hardwaregebunden oder lassen sie sich später mit anderen Clients benutzen?

LG,

bersi23

So, es führt wirklich kein Weg daran vorbei und man muss mit einer ini Datei arbeiten, wnos.ini

KeySequence=yes Ctrl+Alt+Up=no Ctrl+Alt+Down=no

Ctrl+Alt+Left=no Ctrl+Alt+Right=no

Hier ein Überblick:

http://www.freewysemonkeys.com/products/1000/VMware%20View-WTOS-BestPracticesGuide.pdf

Ja, anscheinend führt da kein Weg dran vorbei...

Es handelt sich um WYSE Thin-Clients der T-Serie (T-10) mit WYSE Thin-OS als Betriebssystem in der Version 7.1_111. Der Basisfunktionsumfang dieses OS lässt die von mir gesuchte Einstellung nicht zu, hierzu ist die Einbindung von zusätzlichen Scripts erforderlich. Dies wollte ich ja vermeiden, indem ich es über den Win 2K8R2 einstelle. Falls es möglich ist, versteht sich.

Hallo allerseits,

ich habe in unserer kleinen Testumgebung mit dem 2K8R2 RDP Terminalserver folgendes Problem:

Ich muss einige Tasten deaktivieren, sodass die TS-User an ihren Thin-Clients z.B. keine ALT-Taste drücken können, um eine Tastenkombo STRG+ALT+DOWN auszuführen. Am besten wäre es natürlich, sämtliche Spezialtasten zu deaktivieren.

Es ist an sich kein Problem, die Tasten über die Registry zu deaktivieren, mit diesem .REG-Script:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]

"Scancode Map"=hex:00,00,00,00,00,00,00,00,09,00,00,00,00,00,5b,e0,00,00,5c,e0,00,00,5d,e0,00,00,44,00,00,00,1d,00,00,00,38,00,00,00,1d,e0,00,00,38,e0,00,00,00,00

Leider funktioniert das lediglich lokal am Server, die per Netzwerk von einem Terminal übertragenen Tastendrücke werden komplett durchgelassen und am TS-Server ausgeführt.

Bevor ich mich mit dem Scripting der WYSE-Thinclients zu beschäftigen anfange, würde ich gerne wissen, ob mein Problem sich doch nicht mit boardeigenen Mitteln lösen lässt.

Im Voraus vielen Dank für die Antworten!

Lass es einfach sein. Ich wünsche dir vom ganzen Herzen, dass du das gleiche im gleichen Tonfall von jemandem zu hören bekommst, wenn du dich irgendwo nicht auskennst und Hilfe brauchst.

Es wird mir echt langsam zu **** hier.

Ciao.

Du hast nicht verstanden, was ein adm Template überhaupt ist:

Wie funktioniert ein ADM Template Wie funktioniert ein ADM Template?

Du ziehst aber sehr schnell Rückschlüsse, ohne es wenigstens zu versuchen, mich zu verstehen. Ich habe sehr wohl verstanden, was ein ADM Template ist.

Um auf das Beispiel mit der mehrfach durchgebohrten Schablone zu kommen: Meine Schablone hat kein einziges Loch. Ich nehm meine Schablone (das ADM Template) und will sie auf die neue Registry vom W2K8 legen, um da Löcher reinzubohren. Es geht aber nicht, weil die Schablone kein einziges Loch hat und sozusagen jungfäulich ist.

Und selbst wenn ich etwas wirklich nicht verstehe, wäre es echt prima, wenn du mir einfach sagst wo ich falsch liege, anstatt so unfreundlich und destruktiv zu schreiben "Du hast es nicht verstanden".

 

Nein, du hast es nicht verstanden. Die neue GPMC zieht sich die Templates aus dem Central Store anstatt entweder in die GPOs (wie das bei adms früher so war) oder in den lokalen Bereich auf c:\windows\... zu schauen.

 

Bye

Norbert

Tut mir leid, ich habe es wirklich nicht verstanden. Was ist der Sinn des Central Store, wenn jede Änderung einer Richtlinie sämtliche GPOs betrifft, sogar die DC Defaults?