Login Script auf Terminalserver

[Schwarzwald 0]

Hallo zusammen,

 

folgendes Problem:

User melden sich in der Domäne an. -ok

Nun sollen beim Zugriff/Anmelden auf einen von zwei Terminalservern (Citrix) ein Script ausgeführt werden.

Dieses Script soll die Mac Adresse des Gerätes des zugreifenden Users ermitteln und dann mit

einer Liste von Mac Adressen vergleichen.

Ist der User (eigentlich nur das Gerät) nicht berechtigt, soll der Zugriff verweigert werden.

Der/Die andere(n) Terminalserver sollen von allen Geräten zugegriffen werden.

 

Die erste Frage dabei ist:

Wie kann ich das Script nur auf einem Terminalserver ausführen und wo muss das dann stehen?

 

Die Zweite ist dann, wie genau das Script aussehen kann. (das bekomme ich vielleicht selbst hin)

 

Hintergrund ist Office 2013 das auf einem Terminalserver läuft aber nur von einem Teil der Geräte

zugegriffen werden soll. (Lizenzproblematik)

 

Viele Grüße

 

Thomas

 

 

 

[tesso 384]

Ein entsprechendes Skript findest du hier im Forum.

 

Zur Frage wie ausführen: Beschäftige dich mit dem Loopback Modus. Das wurde hier auch schon erklärt.

[Sunny61 833]

Das mit den Scripten wurde dir doch schon im Lizenz Thread erklärt, oder nicht?

 

Hier noch etwas Lesestoff:

http://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/

http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

[Schwarzwald 0]

Hallo Sunny,

 

ja das stimmt.

Gruppenrichtlinien!

Ich muss aber gestehen, dass ich da fast bei NULL anfange.

Ich probier da mal selbst weiter zu kommen um auch etwas Erfahrung zu sammeln.

 

Denke wir sehen uns wieder. :(

 

Thomas

[Schwarzwald 0]

Hallo Sunny und tesso,

 

ich hab mich gestern Abend mal an den Gruppenrichtlinien probiert.

Eigentlich gar nicht so schwer.

Aber es zeigt keine Wirkung.

Was habe ich gemacht:

Auf dem AD eine OU angelegt "TerminalServerOffice".

Dort rein kam der Terminalserver der nur Office enthält und auf den nur bestimmte Geräte zugreifen dürfen.

Neue Richtlinie "Office_nur_fuer_bestimmt_Geraete_zulassen".

Diese verlinkt auf OU "TerminalServerOffice".

Darin ist beim Start ein Script hinterlegt.

Als Test soll es nur mal auf c:\test.txt schreiben.

Wenn ich  jetzt von meinem PC über Citrix eine veröffentlichte Anwendung auf diesem Terminalserver aufrufe (Word)

dann sollte doch das Script abgearbeitet werden.

Also müsste irgendwo die test.txt liegen. -> Tut sie aber nicht.

Was mach ich da falsch?

 

PS: Ich wollte ein Bild anhängen aber bekam: Es ist dir nicht erlaubt, diese Bildformat in dieser Community zu verwenden.

 

 

Thomas

[tesso 384]

Ich lese nichts von Verknüpfungen der GPOs.

 

Hast du das Loginskript für User oder für Computer erstellt?

 

Dir fehlt das Konzept der Loopbackverarbeitung.

[Sunny61 833]

Ersten fehlt Loopbackverarbeitung, zweites darf ein Benutzer wohl kaum auf c:\test.txt schreiben.

[Schwarzwald 0]

Hi,

 

danke erst mal für die Antworten. :)

@ tesso

Ich habe das Wort "verlinkt" benutzt. Sollte wohl verknüpft bedeuten. Mein Fehler

Und zwar so:

(Für Computer)

Office_nur_fuer_bestimmt_Geraete_zulassen

 - Richtlinien

  - Windows Einstellungen

   - Scripts

    - Start -> und hier ein office.cmd

Da brauche ich doch kein Loopback, oder???

 

@sunny

Ich bin der (test) Benutzer und hab Admin Rechte und sollte das dürfen.

 

Thomas

[tesso 384]

Verlinkt ist schon richtig. Ich habe es anscheinend überlesen.

 

Was soll das Skript als Computer? Computer GPOs werden ausgeführt, wenn der Rechner startet.

 

Du brauchst Loopback.

[Sunny61 833]

@sunny

Ich bin der (test) Benutzer und hab Admin Rechte und sollte das dürfen.

Schön, Du hast auch an die Benutzerkontensteuerung gedacht? Aber als Computerstartupscript wird es nicht ausgeführt wenn du dich anmeldest.

[Schwarzwald 0]

Ich glaube so langsam dämmerts mir.....

Computerstartupscript wird nicht beim Anmelden am Computer ausgeführt sondern beim Start von diesem. :o

Dann also doch Loopback.

Das muss ich mir erst noch anschauen.

 

Danke erst mal !!!

 

Ich fühl mich gerade wie ein Blinder der das erste mal auf die Straße kommt.

Ich hoffe ich bekomme mein "Augenlicht" zurück.

 

Thomas

[daabm 1.431]

Wenn Du noch Fragen zu Loopback hast:

 

http://evilgpo.blogspot.de/2012/02/loopback-demystified.html

http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx

 

:)

[Schwarzwald 0]

haleluja!

Script wird ausgeführt.

Das mit dem Loopback geht jetzt.

 

Bin ich froh-vielen Dank!

 

Nächster Akt:

 

Ich habe dabei das Problem, dass beim Anmelden der Clientname nicht erscheint. (%clientname% ist leer)

%computername% ist dabei der Servername.

Ohne Clientname keine MAC- :(  und dadurch keine weitere Verarbeitung.

Hab schon ein vbs Script integriert das über "objShell.ExpandEnvironmentStrings("%CLIENTNAME%")" den Namen ermitteln sollte.

Geht aber nicht.

 

Hat dazu jemand eine Idee?

 

Thomas

[daabm 1.431]

Aber klar doch :-)

 

%clientname% ist in der Session, in der Logon-Skripts laufen, noch nicht verfügbar. Wenn Du das brauchst, mußt Du Dir die Session-ID holen und dann unter HKCU\Volatile Environment\<Session-ID> den Wert von Clientname auslesen... Kann Dir am Montag mal nen VBS-Schnipsel dazu posten, wenn Du btauchst :)

[Schwarzwald 0]

Hi daabm,

 

sorry ich bin grad im Urlaub. ;)

Aber ich würde mich über das Script echt freuen.

 

Thomas