none
Windows Server 2016 Anwendung von GPP und ITL funktioniert nur bedingt RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Morgen in die Runde,

    langsam beginne ich an meinem Verstand zu zweifeln. Wir wollen in Q1/19 damit beginnen eine neue TS Farm auf Basis Server 2016 auszurollen. Die ersten Validierungsläufe sind positiv und vielversprechend allerdings klemmts technisch an den GPP´s.

    1. Anwendung von GPP´s

    Wir veröffentlichen Anwendungen als Verknüpfung im Startmenü. Beispiel, ist ein User in der Gruppe app-dienstplan bekommt er eine entsprechende Verknüpfung erstellt. Hat er die Gruppe verlassen soll diese Verknüpfung wieder entfernt werden (entfernen wenn nicht mehr angewendet).

    Das Funktioniert nicht. Die GPP wird angewendet, die Verknüpfung erstellt, allerdings wird sie nicht entfernt wenn die Gruppenzugehörigkeit nicht mehr gegeben ist.

    Gleiches gilt für Netzlaufwerke. Hier verfahren wir ebenso, klappt auch nicht.

    Workarounds die das kaschieren hätte ich parat. Aber die will ich nicht einsetzen.

    2. Doppelete Sitzungen zerpflücken die GPPs

    Meldet sich ein Benutzer einmal an, werden unter den Einschränkungen von oben, die GPP´s entsprechend angewendet und er hat seine parametrisierte Umgebung. Meldet sich der User ein zweites Mal auf einer neuen Sitzung an (Grund egal, Doppelanmeldungen in einer TS Farm müssen funktionieren) dann werden die GPP´s wieder nicht richtig angewendet und der Benutzer hat z.B. keine Netzlaufwerke.

    Diese Art und Weise der Veröffentlichung setzen wir seit 5 Jahren auf unserer 2008R2 Farm erfolgreich ein und es gab nie Probleme. Die Systematik der GPP´s ist ja nun auch nicht so komplex das man da groß was falsch machen könnte.

    Erstellt und editiert werden die GPO´s auf Server 2012R2 Maschinen. Der Funktionslevel ist 2012. Ich glaub jedoch nicht das das was damit zu tun hat. Die Ereignislogs der TS ist Fehlerfrei in Bezug auf die Anwendung von GPP´s. Langsam gehen mir die Ideen zum Debugging aus.

    Jemand eine zündende Idee?

    freundliche Grüße Thomas

    Samstag, 15. Dezember 2018 08:55
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Nochmal: wir setzen das schon so ein und es funktioniert. Nur eben auf dem 16er nicht mehr. Vermutlich ist das ein Bug. Ich will nur erstmal alles abklopfen bevor ich bei MS einen CAL aufmache.

    Nee, das ist leider eher ein "Feature". Du hast ja anscheinend die Misere mit dem 2012er in der gleichen Konstellation übersprungen, sonst würde es Dich beim 2016er nicht mehr wundern. Aber mach ruhig 'nen Call auf, vielleicht kommt ja sogar was dabei raus.

    Mehrere Anmeldungen eines Users am gleichen Server verbieten, aber mehrere pro Session Collection erlauben ist übrigens möglich, vorgesehen und funktioniert auch nach wie vor. Aber den Grund, warum bei euch mehrere Anmeldungen pro SC unbedingt notwendig sind, würde ich sehr gern hören - man lernt in unserer Branche schließlich nie aus!

    Anwendungen in mehreren SCs bereitstellen (In der Citrix-Welt nennt man das gerne "Silo") kann auch sachliche Gründe haben und ist in vielen Umgebungen die Basis fürs Design. Drei der Gründe sind: 1. zwei Anwendungen können nicht auf der gleichen Maschine, müssen aber vom gleichen Nutzerkreis benutzt werden,  2. CPU- und RAM-Ressourcen einer Anwendung von den anderen abgrenzen, und 3. "unberechtigten" Usern *wirklich* verbieten, ein Programm zu starten (im Gegensatz zu: es vor ihnen verstecken).

    @Winfried: Verknüpfungen auf Desktop gruppenabhängig steuern --> Alle Verknüpfungen einmal erstellen und dann GPP mit ILT (Dateien kopieren, ersetzen bzw. löschen)

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Samstag, 15. Dezember 2018 19:24
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    meine persönliche Erfahrung und meine persönliche Meinung besagt, dass bei den sogenannten "modernen Betriebssystemen" die Gruppenrichtlinien als Mittel zur Desktop-Gestaltung ausgedient haben, abgesehen vielleicht vom Wallpaper. Aber Startmenü/Startscreen kann man damit wirklich nicht mehr sinnvoll konfigurieren.

    In einigen Umgebungen, wo keine anderen Hilfsmittel (WEM, RES, AppSense usw.) zur Verfügung stehen, sind wir dazu übergegangen, Verknüpfungen statt in Start* auf den Desktop zu schieben. Das funktioniert immerhin noch.

    Zum Nebenthema "Doppelte Anmeldungen auf der Farm". Ich vermute stark, dass das von Dir beobachtete Verhalten der GPPs nur dann vorkommt, wenn die doppelten Sitzungen nicht bloß auf der Farm, sondern tatsächlich *auf dem selben Terminalserver* laufen. Und die Sinnhaftigkeit hiervon bin ich jederzeit bereit in Zweifel zu ziehen - Grund mag egal sein, aber für zwei Sitzungen auf derselben Maschine kann es keinen vernünftigen Grund geben. Davon abgesehen, mir hat bisher noch niemand einen wirklich stichhaltigen Grund für zwei Sitzungen innerhalb derselben Session Collection nennen können. Und solltest Du Hilfsmittel wie User Profile Disk einsetzen wollen, so funktioniert es schon gar nicht - es können nicht zwei Terminalserver dieselbe VHDX zum Schreiben mounten.

    Insofern kannst Du meiner unmaßgeblichen Meinung nach anfangen, Deine Workarounds auszupacken oder ein Third Party-Tool zur Desktop-Gestaltung zu suchen. Alternativ machst Du deine TS-Farm etwas komplexer und gibst den Nutzern einen nackten Desktop und injizierst in diesen alle Applikationen aus einer anderen Session Collection als RemoteApp. Wenn Du dann per GPO den Usern noch den Webfeed unterschiebst, kommen die Verknüpfungen für die verfügbaren Ressourcen über den Feed ins Startmenü - und auch wieder raus, wenn sie nicht mehr drauf berechtigt sind...

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Samstag, 15. Dezember 2018 14:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 15.12.2018 schrieb Evgenij Smirnov:

    suchen. Alternativ machst Du deine TS-Farm etwas komplexer und gibst den Nutzern einen nackten Desktop und injizierst in diesen alle Applikationen aus einer anderen Session Collection als RemoteApp. Wenn Du dann per GPO den Usern

    Oder nur als RemoteApp, da bin ich gerade dran.

    noch den Webfeed unterschiebst, kommen die Verknüpfungen für die verfügbaren Ressourcen über den Feed ins Startmenü - und auch wieder raus, wenn sie nicht mehr drauf berechtigt sind...

    Hast Du auch einen Tipp wie man die Verknüpfung, außer per Script, auf
    den Desktop des Users, und wieder runter kriegt, wenn er nicht mehr
    berechtigt ist?

    @Thomas Proehl
    Entschuldigund für die OT Frage an Evgenij. ;)

    Servus
    Winfried

    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Samstag, 15. Dezember 2018 16:15
    |
  • Question
    Anmelden
    0
    Anmelden
    Vielen Dank für die umfangreiche Antwort die mir in der Umgebung aber nur wenig weiterhilft, dennoch werde ich mir das mal anschauen. Auch wenn es meinem Ansatz nicht unbedingt entspricht das ich Unzulänglichkeiten mit Software kaschiere die dann noch weitere Probleme nach sich ziehen kann wenn es das OS out of the Box kann. Ebensowenig bin ich ein Freund von hochkomplexen Lösungen die auch einfacher abzubilden sind. Aber da hat eben jeder seine Präferenzen. Verknüpfungen auf dem Desktop funktionieren übrigens auch nicht mehr. Es passiert das selbe wie im Startmenü. Die Aussagen zu den neuen Betriebssystemen kann ich auch nur bedingt mit tragen und das was du mit den Sammlungen ausführst ist auch nur ein Workaround. User Disks verwenden wir nicht, aus deinen ausgeführten Gründen. Und steuern das ein User wenn er schon an der Farm angemeldet ist dann auf einen anderen Server umgeleitet wird kann man auch nicht. Somit sind Doppelmeldungen auf eienm Server potenziell möglich und auch erforderlich wenn man mit Gruppenaccounts arbeitet - ob man das jetzt gut findet oder nicht. Meine Workarounds wären da übrigens simpler und einfacher zu realisieren: Alle *.lnk Dateien bei Anmeldung löschen per GPP, das funktioniert, Und bei den Netzlaufwerken einfach die Wiederverbinden Option deaktivieren, dann noch zwangsweise Mehrfachanmeldungen verbieten und fertig. Das erfordert zwar die Anpassung von Arbeitsprozessen funktioniert aber genauso. Nochmal: wir setzen das schon so ein und es funktioniert. Nur eben auf dem 16er nicht mehr. Vermutlich ist das ein Bug. Ich will nur erstmal alles abklopfen bevor ich bei MS einen CAL aufmache.
    Samstag, 15. Dezember 2018 16:35
    |
  • Question
    Anmelden
    0
    Anmelden
    Nochmal: wir setzen das schon so ein und es funktioniert. Nur eben auf dem 16er nicht mehr. Vermutlich ist das ein Bug. Ich will nur erstmal alles abklopfen bevor ich bei MS einen CAL aufmache.

    Nee, das ist leider eher ein "Feature". Du hast ja anscheinend die Misere mit dem 2012er in der gleichen Konstellation übersprungen, sonst würde es Dich beim 2016er nicht mehr wundern. Aber mach ruhig 'nen Call auf, vielleicht kommt ja sogar was dabei raus.

    Mehrere Anmeldungen eines Users am gleichen Server verbieten, aber mehrere pro Session Collection erlauben ist übrigens möglich, vorgesehen und funktioniert auch nach wie vor. Aber den Grund, warum bei euch mehrere Anmeldungen pro SC unbedingt notwendig sind, würde ich sehr gern hören - man lernt in unserer Branche schließlich nie aus!

    Anwendungen in mehreren SCs bereitstellen (In der Citrix-Welt nennt man das gerne "Silo") kann auch sachliche Gründe haben und ist in vielen Umgebungen die Basis fürs Design. Drei der Gründe sind: 1. zwei Anwendungen können nicht auf der gleichen Maschine, müssen aber vom gleichen Nutzerkreis benutzt werden,  2. CPU- und RAM-Ressourcen einer Anwendung von den anderen abgrenzen, und 3. "unberechtigten" Usern *wirklich* verbieten, ein Programm zu starten (im Gegensatz zu: es vor ihnen verstecken).

    @Winfried: Verknüpfungen auf Desktop gruppenabhängig steuern --> Alle Verknüpfungen einmal erstellen und dann GPP mit ILT (Dateien kopieren, ersetzen bzw. löschen)

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Samstag, 15. Dezember 2018 19:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 15.12.2018 schrieb Evgenij Smirnov:

    @Winfried: Verknüpfungen auf Desktop gruppenabhängig steuern --> Alle Verknüpfungen einmal erstellen und dann GPP mit ILT (Dateien kopieren, ersetzen bzw. löschen)

    Danke, da war ich schon und bin wieder davon abgekommen, warum kann
    ich dir nicht sagen. ;)

    Servus
    Winfried

    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Samstag, 15. Dezember 2018 20:07
    |
  • Question
    Anmelden
    0
    Anmelden
    Man kann das jetzt bestimmt stundenlang tot diskutieren, bringt mich aber einer Lösung trotzdem nicht näher. Beim 2012er und R2 funktionierts übrigens. Sonst würde ich mich ja nicht wundern. Hier gehts auch nicht darum ein Farm Design zu diskutieren oder zu verteidigen. Aber Danke für den Hinweis das ich die Anmeldungen doch steuern kann. Dann wirds eben doch der CAL oder es stolpert noch jemand vorbei der weiss wie man die Ursache findet und nicht die Syptome bekämpft.

    freundliche Grüße Thomas

    Samstag, 15. Dezember 2018 20:28
    |