none
Clientnamen von RDP-Sitzungen in GPO verwenden RRS feed

  • Frage

  • Wir haben noch einige Igel, die per Citrix auf unsere Farm zugreifen.

    Allerdings wollen wir unser ANmeldeskript durch GPO ablösen.

    Ich komme allerdings nicht an den Namen des Clients, wie dieser sich an der RDP-Farm meldet.

    Gibt es hier eine Möglichkeit oder muss ich da mein Anmeldeskript behalten ?

    Donnerstag, 29. November 2018 15:11

Alle Antworten

  • Am 29.11.2018 um 16:11 schrieb schwarzchr:
    > Ich komme allerdings nicht an den Namen des Clients, wie dieser sich an der
    > RDP-Farm meldet.
     
    im Item Level Targeting der Group Policy PReferences gibt es die
    Möglichkeit den Namen abzufragen.
     
    In "normalen" GP Filtern (Sicherheitsgruppe/WMI) geht es nicht.
     
    Tschö
    Mark
    --
    Mark Heitbrink
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10
     
    Donnerstag, 29. November 2018 15:40
  • Das kann man in der RDP-Sitzung per %CLIENTNAME%-Variable ermitteln.
    I.d.R. ist es der Computername des Users.
    Donnerstag, 29. November 2018 17:38
  • @Mark: Greift das ILT auch korrekt bei Wiederverbinden von einem anderen Gerät? Die Umgebungsvariable wird meiner Erfahrung nach bei der ersten Verbindung gesetzt und bleibt für die Dauer der Sitzung unverändert, auch wenn diese getrennt und von einem anderen Client übernommen wird.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 29. November 2018 20:15
  • Nachdem die in Logonskripts ohnehin nicht verwendbar ist (wird zu spät gesetzt) und auch in einem geplanten Task "bei der Anmeldung" noch nicht zur Verfügung steht: Ich hole mir das aus Volatile Environment\<Session>, und da wird es aktualisiert.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Freitag, 30. November 2018 07:58
    Beantworter
  • Hi,
     
    Am 29.11.2018 um 21:15 schrieb Evgenij Smirnov:
    > @Mark: Greift das ILT auch korrekt bei Wiederverbinden von einem anderen Gerät?
     
    Ja, AFAIK nehmen sie es auf dem Volatile Environment
    ILT cann ja zB auch RDP und ICA unterscheiden.
     
    Tschö
    Mark
    --
    Mark Heitbrink
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10
     
    Samstag, 1. Dezember 2018 09:47
  • Vielleicht könnt Ihr dann einem Dummy-Admin noch sagen, wie ich dann die Info aus Volatile Environment in den Richtlinien abfragen kann ?

    Ich weiß es leider nicht.

    Die Variable %clientname% funktioniert leider nicht. Abfrage nach Netbios-Name auch nicht.

    Montag, 3. Dezember 2018 12:18
  • Moin,

    Du sollst Group Policy Preferences und da das "Item Level Targeting" verwenden:

    Da kann man auch den Clientnamen und ein Paar Dinge mehr abfragen.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.



    Montag, 3. Dezember 2018 12:52
  • Eben das funktioniert nicht, das es keine NETBIOS Clientnamen gibt und auch keinen DNS-Namen, das sind thinclients.

    IP bringt nichts, da es Aussenstellen sind.

    Montag, 3. Dezember 2018 15:09
  • Eben das funktioniert nicht, das es keine NETBIOS Clientnamen gibt und auch keinen DNS-Namen, das sind thinclients.

    IP bringt nichts, da es Aussenstellen sind.

    Moin,

    *selbstverständlich* haben Thin Clients in einer wohlgemanagten Umgebung DNS-Namen. Und wenn es Außenstellen sind, kann gerade die IP ja vermutlich die eine von der anderen unterscheiden.

    Vielleicht solltest Du eine Anforderung etwas präzisieren. Bisher habe ich verstanden:

    • Du hast Thin- und Fat-Clients
    • Thin-Clients sollen innerhalb einer XenApp-Sitzung ein anderes Anmeldeskript (bzw. äquivalente Funktionalität per GPP) erhalten als Fat-Clients --> warum???
    • dabei spielt es keine Rolle, aus welchem IP-Bereich der Client kommt, sondern nur, ob er Thin oder Fat ist

    Nun natürlich die Gegenfrage: Und wie habt ihr das in euerm Anmeldeskript unterschieden?


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 3. Dezember 2018 15:25
  • Wir hatten das konkret als Anforderung: Fat Client hat eigenen Screensaver, Thin Client hat keinen. Im Published Desktop sollte deshalb auf Fat Client der Screensaver aus sein, im Thin Client sollte er an sein. Unterscheidung per Clientname war zum Glück möglich... Also Scheduled Task beim Wiederverbinden.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Montag, 3. Dezember 2018 16:15
    Beantworter
  • Den Clientnamen hole ich mir im Anmeldeskript (Kix-Skript) über das Programm clientinfo.exe

    Hier der Code:

    SHELL "CMD.EXE /C %logonserver%\netlogon\ClientInfo.exe > " + %temp% + "\clientinfo.txt"
              $Client = ReadProfileString(%temp% + "\clientinfo.txt", "WfClientNFO", "WFClientName")

    Wir wollen das Anmeldeskript so gut es eben geht durch gpos ablösen. Die GPOS gelten sowohl für die RDS als auch für die Fat-Clients, wir wollen keine Unterscheidung.

    Allerdings habe ich vielleicht kein "gut" gemanaged System mit DNS-Namen für meine ThinClients.

    Ich bekomme den Clientnamen nicht in meine GPOs. In diesen sollen auch bestimmte Aktionen durchgeführt werden, wenn ein bestimmter Clientname da ist.

    Dienstag, 4. Dezember 2018 12:04
  • ...aber irgendwas wird doch bei Dir in %CLIENTNAME% stehen. Was für Werte siehst Du da, wenn Du eine Sitzung vom Thin Client aufgebaut hast? Genau nach diesem Wert kannst Du wie oben beschrieben filtern. Auch wenn er für den interaktiven Zugriff zu spät gesetzt wird, Item Level Targeting kann laut Mark auch vorher schon darauf zugreifen.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 4. Dezember 2018 12:15
  • Das ist ja der "Witz". Wenn ich als Benutzer set aufrufe sehe ich in %Clientname" tatsächlich den Namen des ThinClients, aber die GPO funktioniert leider nicht.

    Mittwoch, 5. Dezember 2018 11:08
  • Hab ich oben schon geschrieben - Kontext und Thread Environment Vererbung sind das Stichwort.

    Die GP-Engine kommt an den Clientnamen nicht ran, weil der benutzerspezifisch ist und im Volatile Environment liegt. Zudem wird er so spät gesetzt, daß er im Kontext der GP-Engine nicht sichtbar ist. WMI geht auch nicht, weil Win32_Environment das Volatile Environment nicht sieht. Also skripten und per Scheduled Task beim Connect ausführen mit einem Delay von 10 bis 15 Sekunden.


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Mittwoch, 5. Dezember 2018 15:25
    Beantworter