none
Utenti Terminal RRS feed

  • Domanda

  • forse mi sto perdendo in un bicchier d'acqua... ma sto creando un terminal (2008), il mio dubbio è questo

    le persone che accedono hanno un loro account es. MARIO.ROSSI per il loro pc per accesso completo (diciamo quasi) e devono avere accesso anche al terminal.

    è logico creare 2 account oppure uno solo? il terminal però deve essere completamente "blindato" nel senso che ci deve essere 1 icona + il log off!

    in ambianete di prova se creo un utente a parte es. MARIO.ROSSI.TERMINAL e creo un criterio di gruppo con restrinzione massime funziona, ma se mi loggo con l'utente princiapale, non riesco a trovare le impostazioni per limitare tutto questo.

    come potrei fare?

    lunedì 28 marzo 2011 14:13

Risposte

  • Ciao,

    Devi creare come prima GPO la loopback:

    http://support.microsoft.com/kb/231287

    http://support.microsoft.com/kb/260370

    Saluti.

    lunedì 28 marzo 2011 21:15
  • L'indicazione di _Samu è quella corretta.

    Per applicare una policy utente in base alla macchina su cui ci si connette serve il loopback della GPO

    Nel tuo caso devi mettere il terminal server nella O.U. e applicare la policy con loopback a quella O.U.

    E' pratica comune per i servizi terminal :-)


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 29 marzo 2011 13:22

Tutte le risposte

  • Ciao Mattia,

    è logico creare un solo utente (poi dipende da cosa devi/vuoi fare).

    Esempio logico:

    Mario.rossi si collega sul pc desktop (è già un utente limitato, volendo al logon può essere lanciato subito l'rdp per il TS).

    Poi Mario.rossi si collega al terminal server è li ha il desktop limitato.

    In Active Directory devi creare una Unità Organizzativa e devi metterci il Terminal Server così puoi fare le GPO per la restrizione di tutti gli utenti TS.

    Saluti.

    lunedì 28 marzo 2011 14:21
  • se non hai un dominio e non sfrutti il single sign on, anche se gli account locali e quelli del terminal hanno lo stesso username, di fatto sono account diversi pertanto la risposta (se non hai un dominio) è usa 2 account diversi.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 28 marzo 2011 14:24
    Moderatore
  • ok, fino qui l'avevo già fatto, ma su che criteri devo agire per far si che vengano applicati se MARIO.ROSSI si logga solo sul terminal?

    x esempio se creassi un'utente vado in configurazione utente/criteri/modelli amministrativi/desktop , pannello di controllo etc etc...

     

    lunedì 28 marzo 2011 14:29
  • il dominio è unico..

    lunedì 28 marzo 2011 16:06
  • allora ho fatto varie prove...

    creato Unità Organizzativa nuova,

    spostato al suo interno il computer

    assegnato una nuova policy group dove ho modificato le impostazioni utente in modo che non possa visualizzare il pannello di controllo (x prova)

    in teoria accedendo a quel computer con un normalissimo utente dovrebbe funzionare.. invece NO =(

    funziona solo ed esclusivamente se sposto l'utente nella UO... ma purtroppo questo utente fa già parte di un'altra UO...

    dove sbaglio? ho anche provato a creare nella nuova UO un nuovo Gruppo (TERMINAL) che a sua volta ho assegnato all'utente...

    ma non cambia nulla...

    lunedì 28 marzo 2011 19:54
  • Ciao,

    Devi creare come prima GPO la loopback:

    http://support.microsoft.com/kb/231287

    http://support.microsoft.com/kb/260370

    Saluti.

    lunedì 28 marzo 2011 21:15
  • il dominio è unico..


    cosa vuol dire "il dominio è unico" ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 29 marzo 2011 08:48
    Moderatore
  • allora ho fatto varie prove...

    creato Unità Organizzativa nuova,

     

    quindi hai un dominio ?

    allora i clients sono joinati al dominio oppure no ?

    puoi evitare di farci tirare ad indovinare descrivendo la tua situazione nei dettagli ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 29 marzo 2011 08:50
    Moderatore
  • si hai ragione....

    rete con dominio

    1 DC + 1 TERMINAL

    al DC si loggano tutti i client

    a sua volta alcuni client (loggati già loggati al DC) devono accedere tramite Terminal alla macchina inserita nel dominio.

    devo acquistare le licenze CAL terminal ovviamente, ma prima devo rispolvere questo problema...

    martedì 29 marzo 2011 12:15
  • L'indicazione di _Samu è quella corretta.

    Per applicare una policy utente in base alla macchina su cui ci si connette serve il loopback della GPO

    Nel tuo caso devi mettere il terminal server nella O.U. e applicare la policy con loopback a quella O.U.

    E' pratica comune per i servizi terminal :-)


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 29 marzo 2011 13:22
  • Risolto!

    il terminal non aggiurnava le GPO e di conseguenza non mi applicava il criterio...

    grazie a tutti per la disponibilità!

    martedì 29 marzo 2011 14:11
  • Ciao Mattia,


    La prossima volta se vuoi "aggiornare" velocemente la gpo da cmd>> gpupdate /force

    Saluti

    martedì 29 marzo 2011 17:09
  • scusa Samu, però ora ho questo problema... se accedo come utente ok... mi rende "blindato" il terminal, ma se accedo come administrator o account con privilegi di administrators mi resta blindato.

    come devo fare per impedire che se accede administrator no mi applica la GPO?

    mercoledì 30 marzo 2011 10:30
  • Ciao Mattia,

    Devi andare nalla GPO (quella che blinda non nella loopback) vai in Delega >> Avanzate (in basso a destra) >> Gruppo Domain Admins >> Applica Criterio di gruppo (è sotto ci devi andare con la barra) >> NEGA fleggalo.

    Questo vuol dire che al gruppo domain admins non applica quella GPO.

    Saluti.

    mercoledì 30 marzo 2011 10:49
  • ops... aspetta.. forse ho sbagliato io...

    allora per quella OU ho creato una GPO, nella stessa GPO ho abilitato abilitato l'elaborazione loopback del criterio di gruppo utente...

    non ne ho due...

     

    mercoledì 30 marzo 2011 11:06
  • Ciao Mattia,

    Fai sempre due GPO diverse.

    Per comodità..perchè così ti ricordi meglio se vai a riprendere le impostazioni dopo mesi...e x mille altri motivi.

    In particolare la loopback gpo deve essere distaccata da tutte le altre, devi creare una gpo apposta solo per quella e metterla al primo posto.

    Poi ne fai un altra con le restrizioni utente e applichi il nega sul gruppo domain admins ;)

    Naturalmente questo due gpo che crei devono essere linkate all'OU.

    Saluti.

     


    mercoledì 30 marzo 2011 12:23