Jump to content

Server kann über Citrix-Sitzung heruntergefahren werden, ABER ...


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo alle zusammen,

 

wir nutzen aktuell Citrix-Clients. MetaFrameXP auf Windows2003Server. Soweit läuft alles, aber die verwendeten Accounts werden auch auf normelen Computern verwendet, da wir eine allgemeine Anmeldung verwenden, mit dem sich alle Benutzer an mehreren Systemen anmelden. Der einzigste Unterschied ist, die sich über Citrix anmelden haben ein TerminalProfil.

 

Das Lustige ist nun folgendes. Wir wollen auf normalen Computern weiterhin den Herunterfahren-Button verwenden, aber auf den ThinClients soll dieser beim gleichen Benutzer nicht zu sehen sein.

 

Warum das alles? Am ThinClient, wenn die Schaltfläche herunterfahren existiert, hat jeder normale Benutzer die Möglichkeit den Server herunterzufahren. Das soll er natürlich nicht. Wenn wir dies per Richtlinie einschränken , kann der Server nicht heruntergefahren werden, aber dafür ist die Schaltfläche bei den Usern nicht mehr vorhanden. Die ist aber von den Usern gewünscht.

 

Das gleiche würden wir auch gerne mit der Schaltfläche ausführen machen. Ist hierbei aber nur nebensache.

 

Ich hoffe es jemand eine Idee.

 

SG d.pabst

Link zu diesem Kommentar

du musst im Citrix Server konfigurieren:

 

User sollen nur die Möglichkeit zum abmelden haben und fallen dann ins Menü des ThinClients zurück, den sie dort herunterfahren können !!

 

Admins sollen natürlich von diesen Regeln ausgenommen werden !!

 

Das ganze kannst du IMHO per Gruppenrichtlinie definieren !!!

 

! Domain User sollen auf den Citrix Server diese und jene Buttons nicht sehen !

Natürlich nur auf den Citrix Servern und nicht im ganzen Netz anwenden !

Link zu diesem Kommentar

@ d.pabst

 

Milla hat recht.

 

Ich würde es wie folgt machen.

 

Eine OU erstellen, da die ganzen Citrix Server reinschmeissen. Dann für diese OU eine Gruppenrichtlinie erstellen und dort diese Sachen verbieten.

Die Berechtigung von der Group Policy wie folgt.

Normale User & Citrix Server das Ausführen Recht für die Policy geben, den Admins aber verbieten!!!

Somit dürfen die Admins die Policy net ausführen, damit haben die auch noch den Button!

Andere dürfen dei Policy ausführen und haben den somit net!

 

Hoffe das hilft Dir weiter!

 

Gruß

 

HG

Link zu diesem Kommentar

Also, wenn ich auf der TS-OU Solche Gruppenrichtlinien mache (Start Ausführen entfernen, Abemelden entfernen), dann sind das Benutzerrichtlinien. Die ziehen schon mal so lange nicht, wie sich kein User in der OU befindet. Das ist Fakt. Wennman die Userkonten jetzt auch noch in die OU schiebt, bekommen die die Richtlinie, aber IMMER, egal, ob auf dem TS oder der lokalen Maschine angemeldet. Und da helfen nur zwei GPOs und der Loopbackverarbeitungsmodus. Und wenn du das nicht so hast, dann läuft es bei dir, aber es läuft nicht im gewünschten Sinne von d.pabst.

 

grizzly999

Link zu diesem Kommentar

@grizzly999

 

Ich versteh Deine Einwände, geht bei uns (uns anderen) aber trotzdem so! :cool:

 

Die TS Server sind in der OU! Die User haben ausführen für die Richtilinie hinterlegt.

 

Sobald sich jetzt ein User an einem TS Server aus der OU anmeldet greift die Richtlinie! (Bei Admins net, da die die Richtlinie nicht ausführen dürfen!)

An anderen Rechnern greift Sie nicht, da diese nicht in der OU sind.

 

Ich weiß auch das es da noch andere Modelle gibt, aber das ist (meiner Meinung nach) das einfachste. Und das es funktiniert, seh ich jeden Tag ;)

Link zu diesem Kommentar

Der Benutzer meldet sich an dem TS Server aus der OU an. Dort ist die Policy für den Computer und User hinterlegt. Jeweils mit ausführen rechte für User und Computer. Verboten ist die Ausführung für Admins.

Wenn der User sich anmeldet greit die Policy, da der Server als Objekt in der OU ist. Da auch das Ausführenrecht für diesen User (Gruppe) vergeben ist zieht der sich die Policy auch!

 

Ich hab die selber bei uns so eingerichtet und die geht! Was soll ich sonst noch dazu sagen??? :suspect:

Ich will hier sicher keine Unwahrheiten verbreiten wenn Du das meinst!

 

Test es mal so und Du wirst sehen das es geht!

 

Gruß HG

Link zu diesem Kommentar

Auszug aus http://www.gruppenrichtlinien.de

 

"In der "OU-Terminalserver" wird eine Policy definiert in welcher der Loopbackmodus aktiviert ist. Außerdem werden in dieser Policy die Benutzereinstellungen sehr restriktiv eingestellt - obwohl sich in der „OUTerminalserver“ gar kein Userkonto befindet.

 

 

 

Meldet sich jetzt ein Benutzer irgendwo an einer Workstation an, wirkt die Policy die in seiner OU für ihn gemacht ist. Meldet er sich aber an einem TerminalServer aus der OU-Terminalserver an, wirken wegen des Loopbackmodus auf ihn die Einstellungen, die in der OU-Terminalserver unter den Benutzereinstellungen definiert sind.

 

"

Link zu diesem Kommentar

Hallo alle zusammen,

 

Großen Dank für die vielen Antworten.

 

Das mit dem Loopbackverarbeitungsmodus habe ich wohl die ganze Zeit falsch verstanden. Loopbackmodus funktioniert ja wie folgt: Die Vererbung der Berechtigung beginnt in der Domäne, dann Standort, OU etc. und am Ende ist der Computer, nicht wie sonst der User.

 

Aber ich dachte immer, das nur die Einstellung in der OU für die Computerkonfiguration am Ende zum Einsatz kommt. Nicht die Userkonfiguration. Wenn ich das hier so lese, werden doch die Einstellungen in der Benutzerkonfiguration übernommen.

 

Auf http://www.gruppenrichtlinien.de/HowTo/Terminal_Server.htm

und auf http://www.tsfaq.de/pages/tse_tt_inhalt.htm

 

wird das ja beschrieben, aber es hat noch nicht geklappt.

 

 

Die Citrix-Server befinden sich in einer eigenen OU. Die Richtlinienvererbung ist deaktiviert. In der OU der TS habe ich eine GPO erstellt. Unter Computerkonfiguration -> Administrative Vorlagen -> System -> Gruppenrichtlinien, den Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie" aktiviert. Ich habe mich hierbei für ersetzen entschieden. In der gleichen GPO habe ich unter Benutzerkonfigration -> Administrative Vorlagen -> Desktop, zum Testen den Papierkorb vom Desktop entfernen aktiviert. Die Filterung der Gruppenrichtlinie ist nur für meinen Test-Benutzer aktiviert und für einen TS. Auf dem Server habe ich gpupdate ausgeführt.

 

Danach habe ich mehrmals auf den Server über meinen Citrix-ICA-Client zugegriffen, aber leider bisher ohne Erfolg.

 

Natürlich wirken die Gruppenrichtlinien nicht immer sofort. Bei einem normalen Computer muss dieser ja teilweise zwei-, dreimal neu gestartet werden, damit diese auch wirklich greift. Aber ich will nicht meinen TS neu starten, da ja alle Benutzer noch mit diesem Arbeiten. 24h am Tag. Wie kann ich das nun am besten erledigen, zumal das Testen einige Versuche bedarf, bis man zufrieden ist.

 

Ach ja! Die User befinden sich in einer anderen OU, ohne Vererbungsunterbrechung. Zu dem gehören diese zur Gruppe TS-User.

 

SG d.pabst

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...