Jump to content
Sign in to follow this  
d.pabst

Server kann über Citrix-Sitzung heruntergefahren werden, ABER ...

Recommended Posts

Hallo alle zusammen,

 

wir nutzen aktuell Citrix-Clients. MetaFrameXP auf Windows2003Server. Soweit läuft alles, aber die verwendeten Accounts werden auch auf normelen Computern verwendet, da wir eine allgemeine Anmeldung verwenden, mit dem sich alle Benutzer an mehreren Systemen anmelden. Der einzigste Unterschied ist, die sich über Citrix anmelden haben ein TerminalProfil.

 

Das Lustige ist nun folgendes. Wir wollen auf normalen Computern weiterhin den Herunterfahren-Button verwenden, aber auf den ThinClients soll dieser beim gleichen Benutzer nicht zu sehen sein.

 

Warum das alles? Am ThinClient, wenn die Schaltfläche herunterfahren existiert, hat jeder normale Benutzer die Möglichkeit den Server herunterzufahren. Das soll er natürlich nicht. Wenn wir dies per Richtlinie einschränken , kann der Server nicht heruntergefahren werden, aber dafür ist die Schaltfläche bei den Usern nicht mehr vorhanden. Die ist aber von den Usern gewünscht.

 

Das gleiche würden wir auch gerne mit der Schaltfläche ausführen machen. Ist hierbei aber nur nebensache.

 

Ich hoffe es jemand eine Idee.

 

SG d.pabst

Share this post


Link to post

du musst im Citrix Server konfigurieren:

 

User sollen nur die Möglichkeit zum abmelden haben und fallen dann ins Menü des ThinClients zurück, den sie dort herunterfahren können !!

 

Admins sollen natürlich von diesen Regeln ausgenommen werden !!

 

Das ganze kannst du IMHO per Gruppenrichtlinie definieren !!!

 

! Domain User sollen auf den Citrix Server diese und jene Buttons nicht sehen !

Natürlich nur auf den Citrix Servern und nicht im ganzen Netz anwenden !

Share this post


Link to post

@ d.pabst

 

Milla hat recht.

 

Ich würde es wie folgt machen.

 

Eine OU erstellen, da die ganzen Citrix Server reinschmeissen. Dann für diese OU eine Gruppenrichtlinie erstellen und dort diese Sachen verbieten.

Die Berechtigung von der Group Policy wie folgt.

Normale User & Citrix Server das Ausführen Recht für die Policy geben, den Admins aber verbieten!!!

Somit dürfen die Admins die Policy net ausführen, damit haben die auch noch den Button!

Andere dürfen dei Policy ausführen und haben den somit net!

 

Hoffe das hilft Dir weiter!

 

Gruß

 

HG

Share this post


Link to post

Ganz so einfach geht das dann doch nicht. Man braucht dazu unterschiedliche Benutzerrichtlinien (meine GPOs mit Benutzereinstellungen) auf der TS-OU und der "normalen" Benutzer OU. Auf der TS-OU muss dann noch der Loopbackverarbeitungsmodus (Boardsuche!) eingeschaltet werden, am besten im Modus "Ersetzen".

 

 

grizzly999

Share this post


Link to post

Also, wenn ich auf der TS-OU Solche Gruppenrichtlinien mache (Start Ausführen entfernen, Abemelden entfernen), dann sind das Benutzerrichtlinien. Die ziehen schon mal so lange nicht, wie sich kein User in der OU befindet. Das ist Fakt. Wennman die Userkonten jetzt auch noch in die OU schiebt, bekommen die die Richtlinie, aber IMMER, egal, ob auf dem TS oder der lokalen Maschine angemeldet. Und da helfen nur zwei GPOs und der Loopbackverarbeitungsmodus. Und wenn du das nicht so hast, dann läuft es bei dir, aber es läuft nicht im gewünschten Sinne von d.pabst.

 

grizzly999

Share this post


Link to post

@grizzly999

 

Ich versteh Deine Einwände, geht bei uns (uns anderen) aber trotzdem so! :cool:

 

Die TS Server sind in der OU! Die User haben ausführen für die Richtilinie hinterlegt.

 

Sobald sich jetzt ein User an einem TS Server aus der OU anmeldet greift die Richtlinie! (Bei Admins net, da die die Richtlinie nicht ausführen dürfen!)

An anderen Rechnern greift Sie nicht, da diese nicht in der OU sind.

 

Ich weiß auch das es da noch andere Modelle gibt, aber das ist (meiner Meinung nach) das einfachste. Und das es funktiniert, seh ich jeden Tag ;)

Share this post


Link to post

Wie bitte soll die Richtlinie, verlinkt an der TS-OU, mit Benutzereinstellungen auf Benutzer wirken, wenn deren Konten in einer anderen OU sind? Geht technisch nicht, und da macht mir keiner ein X für ein U vor.

 

grizzly999

Share this post


Link to post

Der Benutzer meldet sich an dem TS Server aus der OU an. Dort ist die Policy für den Computer und User hinterlegt. Jeweils mit ausführen rechte für User und Computer. Verboten ist die Ausführung für Admins.

Wenn der User sich anmeldet greit die Policy, da der Server als Objekt in der OU ist. Da auch das Ausführenrecht für diesen User (Gruppe) vergeben ist zieht der sich die Policy auch!

 

Ich hab die selber bei uns so eingerichtet und die geht! Was soll ich sonst noch dazu sagen??? :suspect:

Ich will hier sicher keine Unwahrheiten verbreiten wenn Du das meinst!

 

Test es mal so und Du wirst sehen das es geht!

 

Gruß HG

Share this post


Link to post

Auszug aus http://www.gruppenrichtlinien.de

 

"In der "OU-Terminalserver" wird eine Policy definiert in welcher der Loopbackmodus aktiviert ist. Außerdem werden in dieser Policy die Benutzereinstellungen sehr restriktiv eingestellt - obwohl sich in der „OUTerminalserver“ gar kein Userkonto befindet.

 

 

 

Meldet sich jetzt ein Benutzer irgendwo an einer Workstation an, wirkt die Policy die in seiner OU für ihn gemacht ist. Meldet er sich aber an einem TerminalServer aus der OU-Terminalserver an, wirken wegen des Loopbackmodus auf ihn die Einstellungen, die in der OU-Terminalserver unter den Benutzereinstellungen definiert sind.

 

"

Share this post


Link to post

Hallo alle zusammen,

 

Großen Dank für die vielen Antworten.

 

Das mit dem Loopbackverarbeitungsmodus habe ich wohl die ganze Zeit falsch verstanden. Loopbackmodus funktioniert ja wie folgt: Die Vererbung der Berechtigung beginnt in der Domäne, dann Standort, OU etc. und am Ende ist der Computer, nicht wie sonst der User.

 

Aber ich dachte immer, das nur die Einstellung in der OU für die Computerkonfiguration am Ende zum Einsatz kommt. Nicht die Userkonfiguration. Wenn ich das hier so lese, werden doch die Einstellungen in der Benutzerkonfiguration übernommen.

 

Auf http://www.gruppenrichtlinien.de/HowTo/Terminal_Server.htm

und auf http://www.tsfaq.de/pages/tse_tt_inhalt.htm

 

wird das ja beschrieben, aber es hat noch nicht geklappt.

 

 

Die Citrix-Server befinden sich in einer eigenen OU. Die Richtlinienvererbung ist deaktiviert. In der OU der TS habe ich eine GPO erstellt. Unter Computerkonfiguration -> Administrative Vorlagen -> System -> Gruppenrichtlinien, den Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie" aktiviert. Ich habe mich hierbei für ersetzen entschieden. In der gleichen GPO habe ich unter Benutzerkonfigration -> Administrative Vorlagen -> Desktop, zum Testen den Papierkorb vom Desktop entfernen aktiviert. Die Filterung der Gruppenrichtlinie ist nur für meinen Test-Benutzer aktiviert und für einen TS. Auf dem Server habe ich gpupdate ausgeführt.

 

Danach habe ich mehrmals auf den Server über meinen Citrix-ICA-Client zugegriffen, aber leider bisher ohne Erfolg.

 

Natürlich wirken die Gruppenrichtlinien nicht immer sofort. Bei einem normalen Computer muss dieser ja teilweise zwei-, dreimal neu gestartet werden, damit diese auch wirklich greift. Aber ich will nicht meinen TS neu starten, da ja alle Benutzer noch mit diesem Arbeiten. 24h am Tag. Wie kann ich das nun am besten erledigen, zumal das Testen einige Versuche bedarf, bis man zufrieden ist.

 

Ach ja! Die User befinden sich in einer anderen OU, ohne Vererbungsunterbrechung. Zu dem gehören diese zur Gruppe TS-User.

 

SG d.pabst

Share this post


Link to post

Das funktioniert genauso wie du es beschreibst und offensichtlich gemacht hast. Ich arbeite gerade auf einem Citrix Server, bei dem das SO funktioniert.

 

Prüfe als Benutzer doch mal gpresult.exe für den Test-User, ob er die Richtlinie auch bekommt.

 

 

grizzly999

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...