[W2K3 server] Aanmaken logon script - Windows clients

dinsdag 10 augustus 2004 09:27

Acties:

Topicstarter

Ik heb een W2K3 server met daarop een aantal applicaties geinstalleerd. De server gaat een Thin Office rol vervullen, maar dan met RDP i.p.v. met Citrix.

Nu wil ik het zo gaan maken dat als gebruikers, die tot de groep "Microsoft_Office_users" behoren, aanloggen via RDP, een voorgedefinieerd startmenu krijgen met bijvoorbeeld alleen de buttons voor Office, zodat ze alleen maar Office op kunnen starten en niets anders.

Is dit "The way to go" of zijn er nog veel betere manieren? Ik ben me langzaam een weg door de diverse Microsoft sites aan het lezen, maar het is nogal complex als je er voor de eerste keer mee werkt.

Kan iemand me een beetje op gang helpen?

[ Voor 3% gewijzigd door GreenGolf3 op 10-08-2004 09:28 ]

Specs workstation Nikon D200 / 17-55 F/2.8 / SB-800 / 24-120

dinsdag 10 augustus 2004 09:29

Acties:

Han

Howto's & Guides

De how-to's al doorgelezen over Win2k3?

Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.

dinsdag 10 augustus 2004 10:27

Acties:

GreenGolf3

Topicstarter

Da's best veel wat er staat

Ik ben mijn best aan het doen het allemaal door te worstelen, maar de start is erg traag. Ik zie vanalles over Terminal Server enzo, maar weet niet goed waar te beginnen.

Op dit moment heb ik het voor elkaar dat de gebruiker het pakket niet op kan starten als hij niet in de juiste group zit. Maar er staat wel een icoon. Dit icoon is niet het standaard bijbehorende icoon, maar het icoon dat je ziet als hij de applicatie niet kan vinden. Die moet dus nog weg.

Specs workstation Nikon D200 / 17-55 F/2.8 / SB-800 / 24-120

dinsdag 10 augustus 2004 10:32

Acties:

Verwijderd

GreenGolf3 schreef op 10 augustus 2004 @ 10:27:
Da's best veel wat er staat

Ik ben mijn best aan het doen het allemaal door te worstelen, maar de start is erg traag. Ik zie vanalles over Terminal Server enzo, maar weet niet goed waar te beginnen.

Op dit moment heb ik het voor elkaar dat de gebruiker het pakket niet op kan starten als hij niet in de juiste group zit. Maar er staat wel een icoon. Dit icoon is niet het standaard bijbehorende icoon, maar het icoon dat je ziet als hij de applicatie niet kan vinden. Die moet dus nog weg.

Om die icoonen weg te krijgen moet je een leeg start menu creeeren en via een script wat checked op groep lid maatschap icoontjes toevoegd ...

dinsdag 10 augustus 2004 10:36

Acties:

alt-92

ye olde farte

Je zou ook met mandatory profiles kunnen werken + per groep een andere GPO kunnen laten gelden waar je verdere settings in het profile kan laten gelden.
In een GPO kun je ook weer verschillende scripts zetten om die shortcuts neer te zetten, per groep een ander GPO + script.
ook op GPOs kun je rechten zetten btw; dus je kan er ook voor zorgen dat ze onderling niet alle GPOs voor hun kiezen krijgen maar alleen die van welke groep ze lid zijn.

In ieder geval is het aan te raden goed te kijken naar hoe Windows omgaat met userprofiles (met name de volgorde van toepassen mandatory / default user / local / serverprofiles).

Welke literatuur heb je tot je beschikking?
Persoonlijk kan ik je Mastering 2003 Server (Mark Minasi) aanraden als aanvulling op de standaard MSpress literatuur, dat boek is zn geld dubbel en dwars waard.

[ Voor 25% gewijzigd door alt-92 op 10-08-2004 10:40 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 10 augustus 2004 11:18

Acties:

GreenGolf3

Topicstarter

BackSlash32 schreef op 10 augustus 2004 @ 10:36:
Welke literatuur heb je tot je beschikking?
Persoonlijk kan ik je Mastering 2003 Server (Mark Minasi) aanraden als aanvulling op de standaard MSpress literatuur, dat boek is zn geld dubbel en dwars waard.

Ik heb helaas alleen maar de set MSpress boeken van W2K voor de hand. De set van W2K3 moet nog een keer komen

Specs workstation Nikon D200 / 17-55 F/2.8 / SB-800 / 24-120

dinsdag 10 augustus 2004 11:32

Acties:

vso

tja...

ik denk idd dat een mandatory profile voor de gebruikers die van de TS gebruik maken (apart profiel mogelijk) wel handig is.

waarom zou je eigenlijk office op een TS sessie draaien dat is vragen om problemen IMHO op een server. zeker als deze meerdere taken heeft. als ik je zo hoor dan zou ik eerst maar eens in de TS wereld verdiepen en zeker de DO'S and DONT'S

Tja vanalles

dinsdag 10 augustus 2004 11:38

Acties:

GreenGolf3

Topicstarter

vso schreef op 10 augustus 2004 @ 11:32:
ik denk idd dat een mandatory profile voor de gebruikers die van de TS gebruik maken (apart profiel mogelijk) wel handig is.

waarom zou je eigenlijk office op een TS sessie draaien dat is vragen om problemen IMHO op een server. zeker als deze meerdere taken heeft. als ik je zo hoor dan zou ik eerst maar eens in de TS wereld verdiepen en zeker de DO'S and DONT'S

We hebben hier een Citrix Thin Office omgeving. En die willen ze eventueel gaan vervangen door een W2K3 omgeving met RDP toegang.

Het is dus de bedoeling dat gebruikers met RDP een sessie opzetten naar de server en daar een desktop krijgen. En hoe die desktop eruit ziet, word dan bepaald aan de hand van de groepen waar de gebruikers in zitten. Dat is het idee erachter.

Specs workstation Nikon D200 / 17-55 F/2.8 / SB-800 / 24-120

dinsdag 10 augustus 2004 12:38

Acties:

nextware

Group Policies ?

dinsdag 10 augustus 2004 13:47

Acties:

mutsje

Certified Prutser

users dus aangepaste start menu's geven per groep een startmenu maken(thanks elevator voor de tip

) Of met VBS scripts gaan werken om user X startmenu voor user X te geven...laden gaat veel langer duren.(wederom thanks to elevator).

je kunt in ieder geval genoeg informatie op www.microsoft.com/technet vinden hoe hiermee om te gaan zie ook HOWTO:Terminal Server Configureren 'RDP-tcp' connector onderaan staat url naar Terminal Server 2003.

Ook is het handig drives hidden te maken... [rml][ Windows 2003] Howto: Hide drives voor TS gebruikers[/rml]

policy voor folder redirecten \start menu

User Configuration\Windows Settings\Folder Redirection\Start Menu. Hier kun je per groep een alternative start menu instellen. Let wel 1x per OU. 2 verschillende start menu's per OU gaan niet werken(ben hier langs 4 uur lang mee aan het expirimenteren geweest om het voor elkaar te krijgen).

[ Voor 43% gewijzigd door mutsje op 10-08-2004 13:53 ]

woensdag 11 augustus 2004 08:18

Acties:

GreenGolf3

Topicstarter

mutsje schreef op 10 augustus 2004 @ 13:47:
users dus aangepaste start menu's geven per groep een startmenu maken(thanks elevator voor de tip ) Of met VBS scripts gaan werken om user X startmenu voor user X te geven...laden gaat veel langer duren.(wederom thanks to elevator).

je kunt in ieder geval genoeg informatie op www.microsoft.com/technet vinden hoe hiermee om te gaan zie ook HOWTO:Terminal Server Configureren 'RDP-tcp' connector onderaan staat url naar Terminal Server 2003.

Ook is het handig drives hidden te maken... [rml][ Windows 2003] Howto: Hide drives voor TS gebruikers[/rml]

policy voor folder redirecten \start menu

User Configuration\Windows Settings\Folder Redirection\Start Menu. Hier kun je per groep een alternative start menu instellen. Let wel 1x per OU. 2 verschillende start menu's per OU gaan niet werken(ben hier langs 4 uur lang mee aan het expirimenteren geweest om het voor elkaar te krijgen).

Ik had inderdaad je stukjes over Terminal Server en hiding van Drive letters gelezen. Alleen zorgt het hiden van drives ervoor dat ik als Administrator de drives niet meer zie. En dat vinden ze hier geen goed idee

Ik heb gpedit.msc gestart, want ik denk dat je die bedoelt om het alternatieve startmenu in te stellen. Alleen kom ik niet verder dan User Configuration\Windows Settings\ Daaromder tref ik aan:

Remote Installation Services
Scripts (Logon/Logoff)
Security Settings
Internet Explorer Maintenance

Of bedoelde je niet de gpedit.msc?

Ik wil dus users een apart startmenu geven aan de hand van hun groep. Op technet is inderdaad veel te vinden, zoveel dat je als newby door de bomen het bos niet meer ziet. Zou je me een paar pointers kunnen geven?

Specs workstation Nikon D200 / 17-55 F/2.8 / SB-800 / 24-120

woensdag 11 augustus 2004 08:31

Acties:

mutsje

Certified Prutser

Je maakt in de sysvol\sysvol\ directory bijvoorbeeld een groep Everyone aan. Hier copyeer je startmenu items heen(uit je all users profiel of ander profiel). deze koppel je aan een OU middels de policy redirection.

Verder kun je beter Group Policy Management Console gebruiken zie [rml][ windows 2003]Howto: policies en tools[/rml] deze howto geeft je hints en tips hoe er mee om te gaan en kun je zien als eerste opstap om ermee te gaan werken.

Verder moet je nooit inloggen als "administrator" maar een user (jij dus) in de administrators groep plaatsen. Op het account Adminstrator zet je dan een heel erg sterk password en dat sla je op in bv een programma als Passkeeper.exe(freeware) Ook kun je accounts als service accounts (voor backupexec en dergelijke programma's) en users met administrator rechten beter in een andere OU zetten dan waar de normale gebruikers in zitten. Als een user in een OU zit en jij zet daar een policy op krijgt die user deze policy.

woensdag 11 augustus 2004 08:52

Acties:

GreenGolf3

Topicstarter

mutsje schreef op 11 augustus 2004 @ 08:31:
Je maakt in de sysvol\sysvol\ directory bijvoorbeeld een groep Everyone aan. Hier copyeer je startmenu items heen(uit je all users profiel of ander profiel). deze koppel je aan een OU middels de policy redirection.

Verder kun je beter Group Policy Management Console gebruiken zie [rml][ windows 2003]Howto: policies en tools[/rml] deze howto geeft je hints en tips hoe er mee om te gaan en kun je zien als eerste opstap om ermee te gaan werken.

Verder moet je nooit inloggen als "administrator" maar een user (jij dus) in de administrators groep plaatsen. Op het account Adminstrator zet je dan een heel erg sterk password en dat sla je op in bv een programma als Passkeeper.exe(freeware) Ook kun je accounts als service accounts (voor backupexec en dergelijke programma's) en users met administrator rechten beter in een andere OU zetten dan waar de normale gebruikers in zitten. Als een user in een OU zit en jij zet daar een policy op krijgt die user deze policy.

Ik had de Group Policy Management Console al geinstalleerd op het systeem, maar die kan blijkbaar alleen gebruikt worden als je aanlogt met een Domain User account. En dat heb ik niet, want het is een stand-alone server.

Het aanloggen als Administrator is nu maar tijdelijk. Dit is ook een testmachine in een testnetwerk. Als de machine uiteindelijk in gericht gaat worden, krijgt hij inderdaad een user die lid is van de administrators groep. Is wel zo veilig, dat klopt.

Specs workstation Nikon D200 / 17-55 F/2.8 / SB-800 / 24-120

woensdag 11 augustus 2004 09:32

Acties:

mutsje

Certified Prutser

maar het is wel een domain controller ??? met active directory anders heb je namelijk ook geen OU's en dergelijke.

woensdag 11 augustus 2004 09:42

Acties:

GreenGolf3

Topicstarter

mutsje schreef op 11 augustus 2004 @ 09:32:
maar het is wel een domain controller ??? met active directory anders heb je namelijk ook geen OU's en dergelijke.

Dat kun je niet menen?!

Het is inderdaad geen DC. Hij komt dadelijk in een domain te hangen, maar nu nog niet, omdat het een testomgeving is. En hier hebben ze geen testfarm (test forest) ofzo waar hij in kan hangen.

Nou, alle moeite voor niets. Nha ja, ik weet nu wel waar ik het moet gaan zoeken zodra hij AD snapt. Ik heb er wel veel van geleerd. $_/-\o_$ Eens kijken of ik hem toch niet stiekem in zijn domain kan hangen. Dan kan ik ten minste verder.

Specs workstation Nikon D200 / 17-55 F/2.8 / SB-800 / 24-120

woensdag 11 augustus 2004 10:59

Acties:

mutsje

Certified Prutser

waarom bouw je geen test domain controller. Je kunt hier met policies expirimenteren en deze exporteren en importeren in de live omgeving na grondige testen(motivatie om testomgeving te investeren).

Ook zonder active directory kun je start menus aanpassen alleen moet je zorgen dat je de administrator access is denied geeft op de policy folder net als je apparte policies wilt zetten voor gebruikers op een WindowsXP machine.

[ Voor 37% gewijzigd door mutsje op 11-08-2004 11:00 ]

woensdag 11 augustus 2004 11:24

Acties:

GreenGolf3

Topicstarter

Ik heb er geen hardware voor. Dan zou die aangeschaft moeten worden. Kan ik anders deze machine niet even als DC laten werken en dan alsnog met de policy's aan de slag gaan?

Specs workstation Nikon D200 / 17-55 F/2.8 / SB-800 / 24-120

woensdag 11 augustus 2004 12:29

Acties:

alt-92

ye olde farte

VMware is je vriendje

Bak pakken met minimaal 512 erin, testinstall doen, configgen, domaintje maken en spelen maar.
Desnoods trek je een trial van windows 2003 server naar beneden bij MS.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 11 augustus 2004 13:24

Acties:

GreenGolf3

Topicstarter

HHmm, dat is ook een idee. Ik heb hier een quad P4 met 4Gb geheugen

. Zou dat voldoende zijn ?

Specs workstation Nikon D200 / 17-55 F/2.8 / SB-800 / 24-120

donderdag 12 augustus 2004 11:18

Acties:

Verwijderd

Ik heb zelf ook 5 pc's met vmware.
Elke pc heeft minimaal 512 mb geheugen.
Kan ik makkelijk 2 a 3 servers per pc emuleren.
Clusters opzetten enz. enz

Echt vmware is een super product.

donderdag 12 augustus 2004 13:32

Acties:

Verwijderd

Toch maar Citrix met Powerfuse eroverheen? Scheelt je een heleboel werk en scheelt je een hoop bandbreedte, zeker als je met office apps gaat werken