Zentrale TerminalServer-Profile trotz Domänenvetrauenstellung nutzen

Wer schon einmal eine oder mehrere weitere Domänen an die Hauptdomäne eines Windows Netzwerkes angebunden hat, weiß das es viele kleine Sachen gibt, die man beachten muss.
Bei dem letzten Projekt hatten wir eine weitere Domäne für eine ausländische Niederlassung über eine Vertrauenstellung anbinden wollen. Die Benutzer sollten mit RemoteApps (Windows Server 2008 Terminal Services) an dem entfernten Hauptstandort arbeiten. Das Problem welches nun bestand war, dass sich das Benutzerkonto in einer anderen Domäne befindet, als der Computer (TerminalServer) an dem sich angemeldet wird.

Beispiel :
Benutzer ist in Domäne D-2
Computer ist in der Domäne D-1
Beide Domänen sind über eine Vertrauensstellung verbunden

Bei Anmeldung des Users aus der anderen Domäne (D-2), wurde dem Benutzer immer ein temporäres Profil auf dem TerminalServer (D-1) untergeschoben und man konnte dadurch natürlich keine Benutzereinstellungen tätigen und speichern.

Die Lösung ist aber denkbar einfach… sofern man weiß, wo die verantwortliche Policy zu finden ist:

Ort: Computer Konfiguration / Administrative Vorlagen / System / Gruppenrichtlinien
Name: „Gesamtstrukturübergreifende Benutzerrichtlinien und Servergespeicherte Benutzerprofile zulassen“

Erklärung der GPO (Windows Server 2003):

Lässt benutzerbasierte Verarbeitung von Richtlinien, servergespeicherte Profile und Benutzerobjektanmeldeskripts für gesamtstrukturübergreifende interaktive Anmeldungen zu.
Diese Einstellung ist für alle Benutzerkonten, die sich interaktiv an einem Computer in einer anderen Gesamtstruktur anmelden, wirksam, wenn eine domänenübergreifende oder gegenseitige Vertrauensbeziehung besteht.
Wenn Sie diese Einstellung nicht konfigurieren, – werden keine benutzerbasierten Richtlinieneinstellungen von der Gesamtstruktur des Benutzers angewendet, – erhalten Benutzer keine servergespeicherten Profile, sondern ein lokales Profil von der lokalen Struktur auf ihren Computer. Der Benutzer erhält eine Warnung und Meldung 1529 wird in das Ereignisprotokoll geschrieben. – wird die Loopback-Gruppenrichtlinienverarbeitung angewendet. Dies geschieht mit Hilfe von computerbezogenen Gruppenrichtlinienobjekten. – wird Meldung 1109 (Loopback wurde in Ersetzungsmodus aufgerufen) in die Ereignisprotokollierung geschrieben.
Wenn Sie diese Einstellung aktivieren, ist das Verhalten wie bei Windows 2000 Server-Produktfamilie, d.h. die Benutzerrichtlinie wird angewendet und ein servergespeichertes Profil wird vom der Vertrauensstruktur zugelassen.
Wenn Sie diese Einstellung deaktivieren, erhalten Sie das gleiche Verhalten wie wenn Sie sie nicht konfiguriert haben.

Diese Policy einfach auf dem TerminalServer aktivieren und schon funktioniert die Anmeldung des Benutzers aus der Domäne die per Vertrauensstellung angebunden ist, ohne dass dieser User ein temporäres Profil zugeordnet bekommt, welches bei der Abmeldung vom TerminalServer automatisch gelöscht wird.

Hinweis: Der Tipp kam von IOK und war GOLD WERT!
Hier der KB-Artikel dazu: http://support.microsoft.com/kb/910206/en-us

TerminalServer 2008, Anmeldung nur mit temporärem Profil

Lieder gibt es Situationen, in denen Windows temporäre Profile anlegt…
So auch oft und gerne bei TerminalServer 2008 Sessions. Gründe dafür sind meist fehlender Userberechtigungen oder sonstige dummen Adminfehler (Jo, die gibt es auch 🙁 ). Im Eventlog erscheint dann eventuell solch eine Meldung:

Leider werden diese temporären Profile aber nicht immer unter Windows Server 2008 (kein R2) gelöscht und verbleiben sowohl im Filesystem als auch in der registry. Das ist natürlich alles andere als schön, denn wenn man den grundlegegenden Fehler behoben hat und anschließend das TerminalServer Profil einrichten will, kommt man immer wieder in dem lokalen temp. Konto raus.

Folgende Lösung hilft um jegliche temporären Profile zu killen und von neuem anzufangen :-):

  1. Den Profilordner unter C:Users löschen
  2. Das Profil unter Systemeigenschaften / Benutzerprofile löschen , sofern es noch da ist
    (rechte Maustaste auf dem Desktop auf das Icon Computer / Eigenschaften)
  3. regedit starten und zum Pfad „HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList“ navigieren.
    Dort wird nun für jeden User ein neuer Ordner angelegt. Am Wert „ProfileImagePath“ erkennt man welche SID zugeordnet ist.
  4. Einfach den Ordner des Users löschen… fertig!

Wer mehr als einen TerminalServer hat und zentrale Profile verwendet hat eventuell Pech und kann diesen Schritt auf allen TerminalServern durchführen.

 

RemoteApp Probleme beim Windows TerminalServer 2008

Bug oder Feature:
Warum zum Henker macht Microsoft bei den RemoteApp Manger ein Feld Aliases rein?

Durch ein Rechtschreibfehler war für die Hälfte der Außenstellen die RemoteApp für zwei Stunden nicht erreichbar.

Wenn man RemoteApps updatet sollte man unbedingt darauf achten, dass das Feld Aliases identisch mit dem RemoteApp Namen ist, ansonsten kommt andauernd die Meldung, dass die RemoteApp nicht auffindbar ist oder nicht authorisiert ist.

Automatische RDP Anmeldung (SingleSignOn) mit einer TS 2008 – RemoteApp von einem Win7 Client

Wenn man Mitarbeitern zu häufige Passworteingaben  ersparen möchte, trifft man in neueren Windows Server Umgebungen auf ungewohnte Probleme. Da der faule Mitarbeiter aber nun gerne ein SingleSignOn haben möchte, schafft ein kleiner Eintrag, den man per GPO verteilen kann oder direkt per gpedit.msc auf einem Win7 Client aktivieren kann, abhilfe.

Das Zauberwort, oder der Zauber-Schlüssel heißt:

„Delegierung von gespeicherten Anmeldeinformationen mit reiner NTLM-Serverauthentifizierung zulassen“.

Alle weiteren Einstellungen, die nötig sind hier im Screenshot:

CITRIX MetaFrame XP und wie gebe ich den Windows Explorer für Terminaluser frei

Seit langem versuche ich schon das Problem zu lösen, dass unsere Außendienstler über unseren CITRIX-Server, per Windows Explorer, auf ihre persönlichen Ordner auf einem Netzlaufwerk zugreifen können.

Bis heute ohne Erfolg!
Veröffentliche ich eine Andwenung und binde folgendes ein C:WINNTexplorer.exe /e, H: , kommt immer die Fehlermeldung, dass ein Pfad nicht gefunden wurde oder aber der komplette Desktop vom User erscheint…
… total wirr!

Aber egal, ich habe heute ein workaround geschaffen (jetzt über das folgende nicht lachen…!):

Man veröffentlicht eine neue Anwendung und wenn man zu dem Punkt Anwendungsstandort kommt, dann tippt man folgendes unter Befehlszeile ein:

C:ProgrammeInternet ExplorerIEXPLORE.EXE -e H:     //H ist hier der Netzlaufwerksbuchstabe
citrix windows explorer bug

Trick 17, oder?
Man startet den Windows Explorer einfach mit Hilfe vom Internet-Explorer 🙂