none
Gruppenrichtlinien erstellen WinSrv 2012 R2 Standard RRS feed

  • Frage

  • Hallo an alle, habe ein kleines Problem wo ich irgendwie nicht mehr durchblicke oder einfach die falschen Artikel gelesen habe. Hatte bisher auch noch nicht so ein Projekt mit so komplexen einstellungen.

    Folgendes besteht bisher:

    User:
    Administrator, U1, U2, U3, U4, U5, U6, U7, U8, U9

    Gruppen:
    G1 G2 G3

    In Gruppe G1 sind: U1, U2, U3

    In Gruppe G2 sind: U4, U5, U6

    In Gruppe G3 sind: U7, U8, U9

    Die Domäne an meinem Terminal Server 2012 steht. Komme irgendwie nicht mit den Gruppenrichtlinien klar. Möchte folgendes erreichen:

    Gruppe G1 soll auf folgende Software Zugriff erhalten:
    Word, Excel, Outlook, IE, Software1 und Software2

    Gruppe G2 soll auf folgende Software Zugriff erhalten:
    Software1 und Software2

    Gruppe G3 soll auf folgende Software Zugriff erhalten:
    Software2 und Excel

    Bin über jede Antwort oder Link der sich auf mein Problem begibt froh. Also ich bin nicht lesefaul. Dankbar bin ich auch wenn Bilder dabei sind den Bilder sagen ja mehr als tausend Worte.

    Mit freundlichen Grüßen

    Markus Böhm

    Mittwoch, 9. September 2015 15:45

Antworten

  • Hi,
     
    Am 09.09.2015 um 17:45 schrieb MarkusBöhm:
    > Gruppe G1 soll auf folgende Software Zugriff erhalten:
    > Word, Excel, Outlook, IE, Software1 und Software2 [...]
     
    Du könntest es über NTFS Berechtigungen am RDS Server lösen, die du per
    GPO verteilen kannst. Anschliessend anhand der Sicherheitsgruppe die
    DesktopIcons über die GPP ShortCuts/Verknüpfungen und deren Item Level
    Targeting verteilen.
     
     
     
    Alternativ:
    RemoteApplications des RDS nutzen. Kein Full RDP an die Clients
    verteilen, sondern nur die Anwendung. Dafür musst du nur in deiner
    Sammlung auf dem Server die einzelnen Programme mit Sicherheitsgrupppen
    Filtern und diese dann im Web Access für RemoteApp veröffentlichen
    Wenn du dann Win8.1 Clients hast, kannst du die WebFeed.aspx dieser
    Seite per GPO an die Clients verteilen, der Client abonniert sie und läd
    die für ihn gültigen Anwendungen automatisch als Verknüpfung ins Startmenü.
    Vorteil: Der User merkt garnicht, das die Anwendung auf dem RDS läuft,
    sie verhält sich (scheinbar) wie eine lokal installierte.
     
    Bei Win7 Clients musst du das "Abo" manuel händisch eintragen, da sie
    die GPO nicht akzeptieren.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 9. September 2015 16:59
  • Am 09.09.2015 schrieb Mark Heitbrink [MVP]:
    Hi,

    Du könntest es über NTFS Berechtigungen am RDS Server lösen, die du per
    GPO verteilen kannst.

    Als Anmerkung, wenn der Grund dieser Anforderung die Lizenzierung der Software sein sollte (bspw. Office), dann ist der Lösungsansatz mit hoher Wahrscheinlichkeit nicht zielführend.

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable application of high explosives.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Mittwoch, 9. September 2015 18:50
    Moderator

Alle Antworten

  • Hi,
     
    Am 09.09.2015 um 17:45 schrieb MarkusBöhm:
    > Gruppe G1 soll auf folgende Software Zugriff erhalten:
    > Word, Excel, Outlook, IE, Software1 und Software2 [...]
     
    Du könntest es über NTFS Berechtigungen am RDS Server lösen, die du per
    GPO verteilen kannst. Anschliessend anhand der Sicherheitsgruppe die
    DesktopIcons über die GPP ShortCuts/Verknüpfungen und deren Item Level
    Targeting verteilen.
     
     
     
    Alternativ:
    RemoteApplications des RDS nutzen. Kein Full RDP an die Clients
    verteilen, sondern nur die Anwendung. Dafür musst du nur in deiner
    Sammlung auf dem Server die einzelnen Programme mit Sicherheitsgrupppen
    Filtern und diese dann im Web Access für RemoteApp veröffentlichen
    Wenn du dann Win8.1 Clients hast, kannst du die WebFeed.aspx dieser
    Seite per GPO an die Clients verteilen, der Client abonniert sie und läd
    die für ihn gültigen Anwendungen automatisch als Verknüpfung ins Startmenü.
    Vorteil: Der User merkt garnicht, das die Anwendung auf dem RDS läuft,
    sie verhält sich (scheinbar) wie eine lokal installierte.
     
    Bei Win7 Clients musst du das "Abo" manuel händisch eintragen, da sie
    die GPO nicht akzeptieren.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 9. September 2015 16:59
  • Am 09.09.2015 schrieb Mark Heitbrink [MVP]:
    Hi,

    Du könntest es über NTFS Berechtigungen am RDS Server lösen, die du per
    GPO verteilen kannst.

    Als Anmerkung, wenn der Grund dieser Anforderung die Lizenzierung der Software sein sollte (bspw. Office), dann ist der Lösungsansatz mit hoher Wahrscheinlichkeit nicht zielführend.

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable application of high explosives.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Mittwoch, 9. September 2015 18:50
    Moderator
  • Am 09.09.2015 schrieb Mark Heitbrink [MVP]:
    Hi,

    Du könntest es über NTFS Berechtigungen am RDS Server lösen, die du per
    GPO verteilen kannst.

    Als Anmerkung, wenn der Grund dieser Anforderung die Lizenzierung der Software sein sollte (bspw. Office), dann ist der Lösungsansatz mit hoher Wahrscheinlichkeit nicht zielführend.

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable application of high explosives.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Beim Office habe ich genau diese Schematik bzgl. Lizenzierung. Was wäre dann Zielführend?

    • Bearbeitet MarkusBöhm Donnerstag, 10. September 2015 06:38
    Donnerstag, 10. September 2015 06:16
  • Am 10.09.2015 schrieb MarkusBöhm:
    Hi Markus,

    Als Anmerkung, wenn der Grund dieser Anforderung die Lizenzierung der Software sein sollte (bspw. Office), dann ist der Lösungsansatz mit hoher Wahrscheinlichkeit nicht zielführend.

    Beim Office habe ich genau diese Schematik bzgl. Lizenzierung. Was wäre dann Zielführend?

    Da Office (mit Ausnahme von Office 365) immer pro Gerät lizenziert wird, hilft dir das Einschränken von Programmzugriffsrechten auf NTFS Basis nicht weiter, da das dann "Nutzerbeschränkungen" wären. Weiterhin bezweifle ich, dass du damit bei einem Lizenzaudit bestehen würdest, da die Gruppenmitgliedschaftsänderung viel zu einfach änderbar wäre (und wie gesagt, sie zielt ja auch NUtzer und NICHT wie notwendig auf den Computer). Du müßtest auf einem Terminalserver also den Zugriff von Clients verhindern, die über keine gültige Office Lizenz verfügen. Soweit ich weiß, kann man das ggf. über ein Logonscript abfangen, und den Nutzer wieder abmelden, sollte er von einem RDP Client aus zugreifen, der nicht berechtigt ist.
    Schau mal u.a. hier: http://www.mcseboard.de/topic/202787-office-auf-terminalserver/

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Donnerstag, 10. September 2015 09:28
    Moderator
  • Hi
     
    Am 09.09.2015 um 20:50 schrieb Norbert Fehlauer [MVP]:
    > Als Anmerkung, wenn der Grund dieser Anforderung die Lizenzierung der
    > Software sein sollte (bspw. Office), dann ist der Lösungsansatz mit
    > hoher Wahrscheinlichkeit nicht zielführend.
     
    Das ist sogar SICHER nicht zielführend. Das ist klar geregelt. Auf einem
    TS/RDS muss schon die richtige Office Version zum Einsatz kommen, die
    auch VDI/RDS/Re-Imaging etc erlaubt und das Office auf dem RDS stellt
    eine "zusätzliche" erlaubte Installation zur DesktopLizenz des Clients dar.
     Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 10. September 2015 09:43
  • Am 10.09.2015 schrieb Mark Heitbrink [MVP]:
    Hi Mark,

    Das ist sogar SICHER nicht zielführend. Das ist klar geregelt. Auf einem

    Das ist mir schon klar, allerdings begegne ich regelmässig ähnlichen Meinungen bei Kunden. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Donnerstag, 10. September 2015 20:09
    Moderator
  • Also heißt es zum Ende hin ich muss einen Terminal-Server mit Office machen und einen Terminal-Server ohne Office!?

    Gruß Markus

    Freitag, 11. September 2015 06:25
  • Am 11.09.2015 um 08:25 schrieb MarkusBöhm:
    > Also heißt es zum Ende hin ich muss einen Terminal-Server mit Office
    > machen und einen Terminal-Server ohne Office!?
     
    Ja.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Freitag, 11. September 2015 09:17
  • Am 11.09.2015 schrieb MarkusBöhm:

    Also heißt es zum Ende hin ich muss einen Terminal-Server mit Office machen und einen Terminal-Server ohne Office!?

    Korrekt. Zumindest wenn die Leute an PCs ohne Office auch auf einem Terminalserver arbeiten müssen. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Freitag, 11. September 2015 09:37
    Moderator