[W2K TS] TS client settings exporteren - Serversoftware en clouddiensten

maandag 28 april 2003 19:07

Acties:

Topicstarter

Ik heb het volgende probleem: We gebruiken een Win2k Terminal Server en bieden hierop 1 applicatie aan, waar zo'n 150 gebruikers gebruik van maken. Alle gebruikers loggen in op de TS met hetzelfde account (allemaal XP clients). Tot nu toe hebben we gebruik gemaakt van de ingebouwde TS client van XP (ook bekend als Remote Desktop), en gebruikers hebben dus op hun desktop een RDP-bestandje staan met de juiste settings, incl. username en password.

Aangezien we binnenkort gaan migreren van NT4 naar Win2k AD domein, en gebruikers daar een nieuw account krijgen (dus met een andere SID, eigenlijk niet echt gemigreert dus. Dit staat al vast, is wel onhandig maar helaas..), krijgen ze op hun XP bakken dus ook een nieuw profiel. Nu was al langer bekend dat het niet werkt om het RDP-bestand met user/pw gegevens via het netwerk naar alle clients te verspreiden, omdat het wachtwoord gekoppeld lijkt te zijn aan de gebruiker die het aangemaakt heeft en alleen zal werken als die gebruiker ingelogd is (het wachtwoord van het account voor TS willen we persé niet vrijgeven aan gebruikers). Maar met een nieuwe SID voor alle gebruikers moeten dus op alle clients de settings van het RDP-bestandje weer aangepast worden in de nieuwe profielen.

Voorheen hebben we NT4 TS gebruikt met de daarbij behorende TS client (staat trouwens nog steeds op alle clients geinstalleerd), daarbij kan je wel settings exporteren met behoud van wachtwoord. Maar eigenlijk willen we niet teruggaan naar de oude TS clients. Heeft iemand een idee of het mogelijk is om het wachtwoord te behouden met de nieuwe XP TS client, danwel een manier om automatisch in te loggen (kix, batchfile o.i.d) op de terminal server zonder het wachtwoord vrij te geven?

Dit zou mij en mijn collega's veel tijd besparen..

[ Voor 3% gewijzigd door Jiboom op 28-04-2003 19:27 ]

maandag 28 april 2003 21:44

Acties:

DiGuru

Je hoeft tijdens een TS sessie niet per se hetzelfde account te gebruiken, maar je moet natuurlijk wel inloggen op het domein. Dat kun je op de server regelen.

Om de nieuwe client settings te verspreiden, kun je er met bijvoorbeeld Wise een MSI pakketje van maken en dat via de AD verspreiden. Wise is wel duur, maar het is de beste oplossing als je wilt beginnen zulke dingen te doen.

Je kunt op dezelfde manier eigenlijk alles distribueren, als je een conversietraject ingaat is het zeer zeker de moeite waard om daar eens naar te kijken en indien mogelijk ook de andere onderdelen zoals de applicaties te packagen en distribueren.

Dat is niet zo moeilijk, maar de initiele drempel is best hoog, omdat je op een heel andere manier over het beheer moet gaan nadenken.

maandag 28 april 2003 22:23

Acties:

Jiboom

Topicstarter

Uiteraard weet ik dat ik niet perse hetzelfde TS account hoef te gebruiken. Momenteel wordt dit echter al een tijdje gebruikt en in principe naar tevredenheid: het grote voordeel is dat je zeker weet dat iedereen dezelfde settings heeft en dat je als beheerder maar 1 profiel hoeft in te stellen en bij te houden (printer settings etc.). Op zich zou zoiets als het gebruik van mandatory profiles uitgaande van een goed "Default User" profiel ook een optie zijn, maar eigenlijk lost deze keuze het probleem met de TS client settings niet op: we willen dat meteen bij het starten van de TS sessie de (enige) applicatie wordt gestart zonder verdere input van gebruikers (dus niet hoeven uit te leggen hoe ze in moeten loggen etc.)

Het gebruik van MSI-packages lost het probleem ook niet op, want volgens mij kun je een package niet dusdanig instellen dat je het RDP-bestand goed geconfigureerd installeert bij clients: de vervelende eigenschap dat het opgeslagen wachtwoord in het RDP-bestand gebruikerafhankelijk is, blijft.

Ik denk trouwens dat Microsoft dit als een feature beschouwt, en niet als een bug, omdat het met de NT4 TS client wel mogelijk was/is.. het is op zich natuurlijk ook een beveiligingsrisico dat je niet hoeft in te loggen, maar ja.. voor ons wel zo praktisch. Nog even ter info: ik heb ervaring met het verspreiden van msi packages via AD, en ook een beetje met bouwen/ombouwen ervan (ik heb Wise Installer 4.0 ook uitgeprobeerd, is wel een goed pakket).

Als het aan mij ligt gaan we inderdaad veelvuldig gebruik maken van MSI's, hoewel de meeste zaken met KiX ook goed te regelen zijn. Maar da's een beetje off-topic..

Maar i.i.g. bedankt voor het meedenken

maandag 28 april 2003 23:12

Acties:

DiGuru

Ik ben ook begonnen met kiXtart. Het maakt inderdaad weinig uit welke hulpmiddelen je gebruikt, het gaat er maar om wat je er mee doet en hoe je dat doet. En ik heb van iedere gelegenheid gebruik gemaakt on het te automatiseren en distribueren.

Met Wise heb je echt helemaal de keuze. En die is nu bij versie 9, de oudere versies zijn lang niet zo flexibel en makkelijk als de huidige. Daar ga je echt van smullen.

Als je het wilt automatiseren, maakt het in principe niet uit hoe het werkt, als het maar werkt. En om te voorlomen dat er wat omvalt, distribueer je het pakketje gewoon elke keer als de gebruiker inlogt. Mocht je dan achteraf niet tevreden zijn en wat willen wijzigen, dan is dat een hele kleine moeite. En zolang je het oude pakketje bewaart, kan er weinig foutgaan: in het ergste geval zet je dat terug en vraag je of de mensen opnieuw inloggen.

En als je dat eenmaal aan de praat hebt, wil je gegarandeerd de rest ook doen!

dinsdag 29 april 2003 00:10

Acties:

Taigu

offtopic:
Diguru, waar slaat dit op ? Start lekker je eigen topic over Wise of wordt daar verkoper als je het daar de hele dag over wil hebben. Dit gaat over de RDP client, niet over distribueren. We weten inmiddels wel dat jij daar "goed" in bent. Als je hierop wilt reageren, mail me maar, niet in dit topic.

Na lang zoeken alleen op :

http://dev.remotenetworktechnology.com/tools.htm

uitgekomen, misschien kun je je eigen vb-applicatie rondt rdp bouwen. Het is iig echt niet mogelijk password op te slaan (niet alleen de snap-in, ook rdp client):

2.2.2 Note on Password Security (Terminal Services Connections Snap-in)

When you create a connection in the Terminal Services Connections snap-in, you have the option of supplying your user information, including your password, for automatic logon to the Terminal server. If you choose to enter password information in the connection dialog, your password is saved in encrypted form in the .MSC file. This encrypted password is protected, and can only be accessed by your user credentials.

If you choose not to supply your password in the connection dialog, the standard Windows logon dialog will appear when the session begins, and you can manually log on to the Terminal server. In this case, your password is not stored on your local computer in any form.

Of toch maar autologon aanzetten ?

[ Voor 14% gewijzigd door Taigu op 29-04-2003 00:12 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

dinsdag 29 april 2003 15:29

Acties:

Verwijderd

wat heeft de sid er mee te maken?
ik zie niks wat daar op lijkt in het rdpbestand

screen mode id:i:1
desktopwidth:i:1024
desktopheight:i:768
session bpp:i:16
winposstr:s:0,1,0,0,800,600
auto connect:i:0
full address:s:compname
compression:i:1
keyboardhook:i:2
audiomode:i:2
redirectdrives:i:0
redirectprinters:i:0
redirectcomports:i:0
redirectsmartcards:i:1
displayconnectionbar:i:1
autoreconnection enabled:i:1
username:s:USERNAAm
domain:s:domainname
alternate shell:s:
shell working directory:s:
disable wallpaper:i:1
disable full window drag:i:1
disable menu anims:i:1
disable themes:i:0
disable cursor setting:i:0
bitmapcachepersistenable:i:1

edit: nvm ik zie het al... het pw komt niet in het bestand...

[ Voor 7% gewijzigd door Verwijderd op 29-04-2003 15:34 ]

dinsdag 29 april 2003 18:36

Acties:

Jiboom

Topicstarter

buddhole: Jij bevestigt mijn vermoeden dat er inderdaad geen manier is om het pw op te slaan dusdanig dat alle gebruikers er wat mee kunnen. Helaas.. Ik ben bepaald geen VB wizard (en geen van m'n collega's), dus ik vrees dat zelf iets bouwen geen optie is. Bedankt voor de link trouwens

, er staan best leuke tooltjes op die site.

Of toch maar autologon aanzetten ?

Ik weet niet precies welke autologon jij bedoelt. Het opslaan aan de client kant (dus in het RDP-bestand) is wat dus juist niet werkt. Verder kun je op de server in de TS Configuration snap-in bij Logon Settings in de RDP-TCP properties wel kiezen om altijd met dezelfde user in te loggen, maar da's dus meteen voor de hele TS vastgelegd. We gebruiken nog wel andere accounts ook, dus dat is geen optie. Trouwens, even ter info, uiteraard staat het vinkje "Always prompt for pw" al uit (default is aan). Voor zover ik weet zijn er geen andere autlogon settings.

iis5_rulez: Als je ervoor kiest om het pw op te slaan, komt het wel degelijk in het bestand te staan, en wel encrypted (zoals het hoort). Hieruit is niet te achterhalen of er een SID in voorkomt (is slechts mijn vermoeden), maar in ieder geval werkt het niet als een andere gebruiker dan degene die het RDP-bestand aangemaakt heeft, probeert te verbinden met de TS zonder in te hoeven loggen (er wordt dus om een pw gevraagd).

screen mode id:i:1
desktopwidth:i:1024
desktopheight:i:768
session bpp:i:16
winposstr:s:0,3,0,0,800,600
auto connect:i:0
full address:s:computername
compression:i:1
keyboardhook:i:2
audiomode:i:0
redirectdrives:i:0
redirectprinters:i:0
redirectcomports:i:0
redirectsmartcards:i:1
displayconnectionbar:i:1
autoreconnection enabled:i:1
username:s:administrator
domain:s:domainname
alternate shell:s:
shell working directory:s:
password 51:b:01000000D08C9DDF0115D1118C7A00C04FC297EB01000000783D556D02630146A918878BF25BD0CF.....etc.
disable wallpaper:i:1
disable full window drag:i:1
disable menu anims:i:1
disable themes:i:0
disable cursor setting:i:0
bitmapcachepersistenable:i:1

Ik vrees dat we toch op alle clients met de hand de RDP-files goed moeten gaan instellen in het migratie weekend

Misschien nog iemand een ander ideetje?