Direkt zum Hauptbereich

Bereitungstellung von RDS-Programmen per GPO

remote_desktop_services

In diesem Artikel möchte ich beschreiben, wie man mit Bordmitteln den Benutzern die Verknüpfungen zu den Remote Desktop Service (RDS)-Programmen auf den Desktop bzw. in das Startmenü legt. Voraussetzung hierfür sind die Remote Desktop Services unter Windows Server 2008 R2.

Die Installation per GPO hat den Vorteil, das sie unbemerkt im Hintergrund stattfindet und keinerlei Aktion des Benutzers erfordert. Dies hebe ich besonders als Vorteil heraus, da ich vorher versucht habe die Programme per Desktop Authority zu verteilen (Application Launcher), dies führte allerdings immer zu Nachfragen der UAC, was nicht das gewünschte Ergebnis war.

Ich habe bereits zwei RDS-Server sowie einen RD Connection Broker installiert, es läuft ein Network Load Balancing-Cluster und auf den RDS-Servern ist bereits Office 2010 und der C-Entron-Client installiert. Auf beiden RDS-Servern müssen nun die gewünschten Programme im RemoteApp-Manager freigegeben werden, und es muss für jedes Paket, was freigegeben werden soll, ein Windows Installer-Paket erstellt werden.

Server-2008-R2-Bereitstellung-von-RDS-Programmen-per-GPO-01

Zur Erstellung der Installer-Pakete ein paar Infos und Tipps:

  • Der Name der Desktop-Verknüpfung und der Name im Startmenü ist der, der im RemoteApp-Manager eingetragen ist. Ich habe zur Verdeutlichung, das es sich um RDS-Programme handelt, an den Namen ein “- RDS” angehangen.
  • Das Zertifikat, was hier eingetragen ist, wird mit in das Paket gepackt. Wir haben bei uns und bei den Kunden, bei denen wir die Remote Desktop Services im Einsatz haben, eine PKI (Private Key Infrastruktur) laufen, mit der wir Zertifikate erstellen können, die ein Single-Sign-On erlauben. In meiner Umgebung ist es besonders wichtig, das für den Namen des Clusters ein Zertifikat erstellt wird, d.h. meine RDS-Umgebung hört auf den Namen “RDSFarm.rachfahl.de”. Wenn ich das Zertifikat nicht ändere oder ein Zertifikat nehme, welches auf den Namen des Servers ausgestellt wird, kommt es zu Problemen. Daher muss VOR der Erstellung der Pakete ein funktionierendes Zertifikat erzeugt und eingespielt werden!
  • Wenn man einen Doppelklick auf eines der Programme macht, bekommt man das Eigenschaften-Fenster angezeigt. In diesem Fenster gibt es das Feld “Alias”. Die msi-Datei wird später den Namen haben, der im Feld “Alias” eingetragen wurde, standardmäßig steht oder der Name der Datei, z.B. “Winword.exe”.
  • Man kann mehrere Windows Installer-Pakete gleichzeitig erzeugen, einfach alle Programme markieren und den Menüpunkt “Windows Installer-Paket erstellen” auswählen.

Hier noch zwei Screenshots von den Einstellungen, die vorgenommen werden können:

Server-2008-R2-Bereitstellung-von-RDS-Programmen-per-GPO-02

Server-2008-R2-Bereitstellung-von-RDS-Programmen-per-GPO-03

Nachdem wir die benötigten msi-Dateien erstellt haben, gehen wir auf einem Domänen-Controller in die “Gruppenrichtlinienverwaltung”. Dort erstellen wir unter “Gruppenrichtlinienobjekte” ein neues Objekt, ich habe es “RDS-Installation – Paketname” genannt.

Wichtig: Ich hatte mit der Installation der Pakete nur Erfolg, wenn ich pro GPO nur ein Paket installiert habe. Ist laut Microsoft auch Empfehlung.

Wir öffnen nun das Objekt und navigieren zu “Benutzerkonfiguration” – “Richtlinien” – “Softwareeinstellungen” – “Softwareinstallation

Server-2008-R2-Bereitstellung-von-RDS-Programmen-per-GPO-04 Dort gehen wir im Kontextmenü auf “Neu” – “Paket…”

Es öffnet sich ein Fenster, in dem wir das zu installierende Paket suchen und auswählen. Im sich öffnenden Fenster wählen wir die Option “Zugewiesen” aus.

Server-2008-R2-Bereitstellung-von-RDS-Programmen-per-GPO-05 Das Paket erscheint nun, und wir können mit einem Doppelklick die Eigenschaften des Pakets sehen. Als einzige Einstellung, die angepasst werden muss, wählen wir unter “Bereitstellung von Software” die Option “Anwendung bei Anmeldung installieren”. Das Fenster wird mit OK geschlossen, ebenso der Editor.

Das soeben erstellte GPO muss nun noch einer OU zugewiesen werden, und zwar dort, wo sich die Benutzer befinden, die das Paket bekommen soll. Weiterhin muss wahrscheinlich eine Sicherheitsfilterung erstellt werden die bestimmt, welche Benutzer das Paket erhalten. In meinem Fall sieht das ganze wie folgt aus:

Server-2008-R2-Bereitstellung-von-RDS-Programmen-per-GPO-06

Nun werden die Pakete ausgerollt, und die betreffenden Benutzer erhalten die Pakete.

Kommentare

Beliebte Posts aus diesem Blog

Microsoft Office 2013 aktivieren via Kommandozeile

Wie man das neue Microsoft Office 2013 aktiviert via Kommandozeile, das werde ich euch in dem folgenden Beitrag Schritt für Schritt erklären. Gerade in grösseren Systemumgebungen in welchen die Clients und Standard Software automatisiert installiert werden, kann das sehr hilfreich sein und erspart einem viel Arbeit nach der Installation des Clients. Das Ziel sollte sein, möglichst viel zu automatisieren und soweit möglich, wenig noch händisch zu konfigurieren. Da kommt dieser Beitrag sicherlich nicht ungelegen. Die folgenden Befehle könnte man beispielsweise ganz einfach in eine MDT (Microsoft Development Toolkit) Umgebung mit einbeziehen oder auch mit anderer Software benutzen. Wichtig zu wissen ist, dass dies nur dann funktioniert, wenn Microsoft Office 2013 über das Internet aktiviert wird. Hat man einen eigenständigen Aktivierungsserver (KMS), funktioniert dies nicht. Zudem müssen die Befehle alle mit Administrator Rechte ausgeführt werden. Normale Benutzerberechtigungen genügen …

Windows Domain Controller: Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar

Zurzeit häuft sich (warum auch immer) das Problem dass nach einem Neustart eines Windows Domain Controllers bei der Anmeldung die Fehlermeldung „Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar“ kommt und eine Anmeldung so nicht möglich ist Das Problem ist hierbei das der Domain Controller im Active Directory Reperatur Modus (Abgesicherter Modus) startet. Am einfachsten lässt sich dieses Problem folgendermaßen beheben: 1) Anmeldung mit dem DSRM (Directory Services Restore Mode) / Verzeichnisdienstwiederherstellungskennwort Falls die Anmeldung nicht funktioniert kann man einen Workaround wie hier beschrieben durchführen. 2) Systemkonfiguration mittels msconfig.exe aufrufen

WSUS won’t uninstall or re-install

Hat heute ein Problem mit WSUS unter Windows Server 2008 R2 bei einem Kunden. Das Problem - die Clients konnten keinen Verbindung zum WSUS Server herstellen. Die Deinstallation wurde unerwartet beenden mit folgender Fehlermeldung: Attempt to un-install Windows Server Update Services failed with error code 0x80070643. Fatal error during installation  Die Lösung: I don’t like Windows Server Update Services (WSUS), but it’s the free alternative many companies select over the higher cost alternatives like Intune or Systems Center. So, today I had to repair a damaged WSUS installation. Turns out someone uninstalled SQL Server 2005 Express not realizing WSUS was using it. Now firing up the WSUS console just yielded an error complaining about the missing SQL database. So like any good troubleshootin IT guy the first thing I tried was to uninstall WSUS…sadly, however the product would not uninstall or re-install. Here’s how I finally got rid of it: [the problem] WSUS 3.0 SP2 is missing SQL serv…