Softwarebeschränkung für OU und Usergruppe

[Drillsergeant 10]

Guten morgen,

 

ich möchte auf unserem Terminalserver Office nur für bestimmte User freigeben. Der Terminalserver liegt in der OU Firma --> Computers --> Terminalserver. An der OU Terminalserver habe ich die GPO verknüpft und unter Computerkonfiguration..... eine Pfadregel "%PROGRAMFILES(X86)%\Microsoft Office\Office14" Zugrif verweigert angelegt. Lasse ich die GPO auf Authetifizierte Benutzer wird die GPO gezogen, es kann aber niemand Office starten. Füge ich die Gruppe hinzu die Office nicht starten soll wird die GPO nicht gezogen. Ist es nicht möglich eine GPO mit Computerkonfig einer Gruppe zuzuordnen?

 

Gruß

 

Stephan

[testperson 1.548]

Hi,

 

das passiert weil in den "Authentifizierten Benutzern" das Computerkonto des TS enthalten ist und in der Gruppe der Office User nicht. Der Teil der "Computerkonfiguration" in der GPO wird auch nur auf Computer angewandt und nicht auf User.

 

Warum möchtest du Office nur für bestimmte User auf dem TS freigeben? Um Lizenzkosten zu sparen?

[lizenzdoc 199]

hi Stephan,

 

lizenzrechtliche Betrachtung:

Bedenke aber, dass Office ausschließlich der Device-Lizenzierung unterliegt, sprich, Du musst für jede eigene MAC-IP-Adresse ein Office lizenzieren, welche doch das Office "nutzen" kann.

Anders, von einem Device-XX, von dem der User-A zwar nicht "Office nutzen darf" laut GPO, wohl aber ein User-B, diesem Device muss Du dennoch ein Office lizenztechnisch zuweisen und somit lizenzieren.

Schaffst Du eine Device-Zugriffs-Regelung (ergo auf Basis MAC/IP-Level) dann benötigst Du keine Lizenz.

 

Technisch habe ich dazu keine Kenntnis, nur lizenzrechtlich. sorry!

VG, Franz

[Drillsergeant 10]

Ja die Lizenzen sind der Hintergrund. An unserem Standort arbeiten alle lokal auf ihrem PC allerdings soll die ein oder andere Anwendung in Zukunft auf dem TS abgebildet werden. Somit wollte ich nur dem entfernten Standort Zugriff auf Office gewähren.

@Franz: Hast du einen Link wo diese Art der Filterung ein Stück weit beschrieben wird?

@testperson: warum wird die GPO nicht bei der Benutzerkonfiguration gezogen? Kann ich eine "Benutzer GPO" nicht an eine OU mit Computer verknüpfen? Aus meiner Sicht wäre das "Am PC A wird die GPO nur gezogen wenn der User in Gruppe A liegt"

 

Gruß Stephan

[testperson 1.548]

Hi,

 

wenn nur der Remote Standort auf Office auf dem TS zugreifen soll, könntest du in der Firewall des Servers nur das Netz des entfernten Standortes für RDP erlauben.

Alternativ setzt du 2 Terminalserver auf. Einen mit Office einen ohne.

 

Die "Benutzerkonfiguration" wird nicht übernommen, da in der OU in der sich der TS befindet keine User befinden. Damit die User die sich am TS anmelden trotzdem die Einstellungen ziehen, musst du den Loopbackverarbeitungsmodus aktivieren.

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

[Drillsergeant 10]

Ok dann werde ich mich mit dem Thema noch etwas mehr beschäftigen. Eine Anwendungseinschränkung wie bei Citrix gibt es nicht zufällig unter MS RDP? Dort kenne ich eine einfache Rechtevergabe pro Anwendung oder Ordner mit Anwendungen...

 

Gruß Stephan

[lizenzdoc 199]

Hi Stephan,

 

"@Franz:

Hast du einen Link wo diese Art der Filterung ein Stück weit beschrieben wird?"

 

Sorry, ich bin technisch "unbegabt" :)

 

ich kann dir nur aufzeigen, was lizenzrechtlich bewertet wird.

 

Und wenn Du eine User-Zugriffsregelungen betreibst,

die aber keine Devicee-Zugriffsregelungen bewirken,

dann wäre dies immer ein erheblicher Punkt bei einem Audit.

Darauf "warten" die Prüfer sehr gerne.

 

Es gibt ja Profile, in dem ein User keinen Office-Zugriff hat.

Dann setze ich mich genau an den selben PC und darf mit meinem Profile Office nutzen.

Also muss dieser PC auch eine Lizenz haben ...

 

Hoffe, dass hier Dir jemand mit einer sauberen Lösung helfen kann, ich leider nicht.

 

VG, Franz