Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Terminalserver - USB-Stick nur durchschleifen bei bestimmten ThinClients?

Mitglied: AlbertMinrich

AlbertMinrich (Level 2) - Jetzt verbinden

29.12.2014 um 23:51 Uhr, 3220 Aufrufe, 5 Kommentare

Hallo,

wir haben Windows 7 Embedded Clients. Daran meldet sich automatisch ein festgelegter autologon-User in der Domäne an und es wird eine Remotedesktop-Verbindung auf einen Terminalserver gestartet, wo sich dann individuelle User anmelden.
USB-Sticks (genauer gesagt USB-Massenspeichergeräte) sind sowohl bei den ThinClients als auch für die Remotedesktop-Verbindung gesperrt.

Wir wollen erreichen, dass nur für ganz bestimmte ThinClients USB-Sticks in die Remotedesktop-Verbindung durchgeschliffen werden. Dazu muss:
1. Am ThinClient USB freigeschaltet werden
2. Das Durchschleifen von USB-Sticks in die Remotedesktop-Verbindung freigeschaltet werden, aber nur, wenn die Session von bestimmten ThinClients gestartet wird

Punkt 1 ist ja nicht weiter schwierig. Alle gewünschten ThinClients in eine AD-Gruppe. Für diese Gruppe USB per GPO freischalten.
Aber für Punkt 2 fällt mir im Moment nichts sinnvolles ein. Freischalten würde ich das Durchschleifen von USB zum Terminalserver ebenfalls per GPO. Aber wie sage ich der GPO, dass sie nur greifen soll, wenn die Session von einem bestimmten ThinClient gestartet wurde? Per WMI-Filter könnte ich vielleicht den Clientname abfragen aber wie überprüfe ich, ob dieser Clientname Mitglied in einer bestimmten AD-Gruppe ist?

Erwähnen will ich noch, dass es nicht um rdp-, sondern um ica-Anmeldungen geht (Citrix Xen App 6.5), aber das ändert, denke ich, nichts an dem Problem.

Habt ihr Ideen?
Danke und Gruß
Martin
Mitglied: Forseti2003
30.12.2014 um 09:24 Uhr
Hallo Martin,

bei einer RDS-Farm unter W2012R2 würde ich einfach zwei Sitzungen anlegen mit jeweils zwei Rechten:
Sitzung 1: NoUSB mit dem Benutzerrecht Usr_NoUSB
Sitzung 2: USB mit dem Benutzerrecht Usr_USB

Bei Sitzung 1 wird USB bei Verbindung deaktiviert (also serverseitig in der Sitzung)
Bie Sitzung 2 wird USB aktiviert

Melden sich nun die User an, wird anhand des Userrechts USB aktiv oder deaktiv gefahren.

Insofern ich bei ICA den Verbindungsauffbau ähnlich wie bei RDP steuern kann, müsste das auch vom Prinzip dort funktionieren.

Grüsse
Forseti
Bitte warten ..
Mitglied: emeriks
LÖSUNG 30.12.2014, aktualisiert 05.01.2015
Hi,
bei Citrix kann man das über die Citrix Richtlinien steuern.

Oder ganz anders: Wenn als Clients nur "echte" ThinClients zum Einsatz kommen, so sollte man das doch über die Clients selbst steuern können, bzw. über deren zentrale Management Console. Also nur an bestimmten Clients werden überhaupt lokal USB-Massenspeicher zugelassen. Dann könnte man pauschal das Durchreichen der lokalen Laufwerke aktivieren. Nicht so schön, aber machbar.

E.
Bitte warten ..
Mitglied: AlbertMinrich
03.01.2015 um 13:53 Uhr
Zitat von Forseti2003:

Hallo Martin,

bei einer RDS-Farm unter W2012R2 würde ich einfach zwei Sitzungen anlegen mit jeweils zwei Rechten:
Sitzung 1: NoUSB mit dem Benutzerrecht Usr_NoUSB
Sitzung 2: USB mit dem Benutzerrecht Usr_USB
Bei Sitzung 1 wird USB bei Verbindung deaktiviert (also serverseitig in der Sitzung)
Bie Sitzung 2 wird USB aktiviert

Melden sich nun die User an, wird anhand des Userrechts USB aktiv oder deaktiv gefahren.

Insofern ich bei ICA den Verbindungsauffbau ähnlich wie bei RDP steuern kann, müsste das auch vom Prinzip dort
funktionieren.
Man kann bei ICA schon unterschiedliche Anwendungen anlegen. Aber die weist man Usern, nicht Computern zu. Und ich sehe auch keine Möglichkeit, bei der Anwendung festzulegen, ob USB aktiviert/deaktiviert ist. Das kann ich nur in der GPO.


Oder ganz anders: Wenn als Clients nur "echte" ThinClients zum Einsatz kommen, so sollte man das doch über die Clients selbst steuern können,
bzw. über deren zentrale Management Console. Also nur an bestimmten Clients werden überhaupt lokal USB-Massenspeicher zugelassen.
Dann könnte man pauschal das Durchreichen der lokalen Laufwerke aktivieren. Nicht so schön, aber machbar.
Das hab ich mir auch schon überlegt. Aber es gibt auch einige User, die von Ihren privaten Home-PC´s eine Sitzung starten und bei denen ist lokal USB natürlich erlaubt und somit dann auch in der Citrix-Session.

Aber ich denke grad noch an eine andere Möglichkeit. Letztendlich sind die USB-GPO´s ja nur Registry-Einträge. man könnte also auch per Login-Script überprüfen, ob der clientname in einer bestimmten AD-Gruppe ist und darauhin die entsprechenden Reg-Keys setzen.
Bitte warten ..
Mitglied: emeriks
03.01.2015 um 15:23 Uhr
Hi,
Aber ich denke grad noch an eine andere Möglichkeit. Letztendlich sind die USB-GPO´s ja nur Registry-Einträge. man
könnte also auch per Login-Script überprüfen, ob der clientname in einer bestimmten AD-Gruppe ist und darauhin die
entsprechenden Reg-Keys setzen.
Jain. Musst Du schauen, ob Du das vom Timing her hinbekommst.

E.
Bitte warten ..
Mitglied: AlbertMinrich
05.01.2015 um 17:14 Uhr
Nachdem ich mich jetzt mal ein wenig genauer mit den Citrix-GPO´s beschäftigt habe, hab ich gesehen, dass man diese u.a. auch nach Clientname filtern kann. Man kann zwar keine Gruppe angeben, in der alle gewünschten ThinClients sind, sonder man muss jeden Clientname direkt in der GPO hinterlegen, aber damit können wir leben.

Gruß
Martin
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk

WIndows Terminalserver - Linux (ThinClient) OS

Frage von TlBERlUSLinux Netzwerk6 Kommentare

Hallo Zusammen, ich habe einen Terminalserver Windows Server 2008R2 und will einige unserer FatClients/Intel NUCS unter Linux aufsetzen, damit ...

Linux

ThinClient mit zwei TerminalServer Verbindungen gleichzeitig

gelöst Frage von DoctorLucsLinux4 Kommentare

Hallo, ein Kunde hat einen HP ThinClient T520 mit einem HP ThinPro Betriebssystem im Einsatz, der auf zwei Terminalserver ...

Grafikkarten & Monitore

ThinClient Bildschirm funktioniert nicht vor einer bestimmten Uhrzeit

Frage von P.SodemannGrafikkarten & Monitore5 Kommentare

Hallo, ich stehe vor einem mir komplett nicht greifbaren Problem. In einer Remotedesktopserver-Umgebung hat bei ungefähr 15 Usern nur ...

Digitiales Fernsehen

QNAP NAS - USB Gerät durchschleifen VM für TVHEADEND

Frage von 72-dpijunkieDigitiales Fernsehen4 Kommentare

Hallo liebe Community, ich wollte mein Smart Home etwas aufrüsten und habe mir einen PCTV DVB-S2 Stick gekauft, da ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing17 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...