Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Java - Einstellung auf Terminalservern benutzerabhängig steuern

Frage Microsoft Windows Server

Mitglied: Doskias

Doskias (Level 1) - Jetzt verbinden

03.12.2014, aktualisiert 16:09 Uhr, 3579 Aufrufe, 12 Kommentare

Hallo zusammen,

ich habe folgende Ausgangslage:

- mehr als 10 Terminalserver im Endzustand (Windows 2012 R2)
- alle Programme werden ausschließlich via Citrix Reciver gestartet

Und ich habe passend dazu folgende Bedingung:

1. Java wird auf den Servern selbst nicht benötigt. Es muss daher nicht installiert werden, oder soll global deaktiviert werden.
2. Die Java-Plugins werden für bestimmte Websiten benötigt, die üer Citrix geöffnet werden können.
3. Die Anzahl der User, die via Citrix diese Websiten öffnen ist kleiner als 15.

Die Aufgabe ist nun dies irgendwie zu realisieren. Leider habe ich bislang keine Lösung gefunden nur die Plugins zu installieren ohne Java komplett. Die letzte Möglchkeit die Java-Plugins ohne Java zu installieren, die ich finden konnte endet bei Windows 98. Also leider keine Lösung.
http://www.oracle.com/technetwork/java/all-137794.html

Die Idee vor der ich nun stehe ist, dass wir Java komplett installieren und dann via GPO deaktivieren. Gleichzeitig wollen wir die Java-Plugins ebenfalls komplett deaktivieren und durch eine andere GPO für die betroffenen User nun wieder aktivieren. Die Frage die ich mir nun stelle ist, ob diese Lösung funktionieren kann und würde gerne Wissen, ob jemand diese Konstellation ebenfalls (wünschenswerter Weise erfolgreich) eingesetzt hat.

Wie gesagt: Ich brauche im Prinzip nur die Java-Plugins. Der Rest soll weg.

Als Alternative (sozusagen als letzten Ausweg) bestünde noch die Möglichkeit 2 Terminalserver mit Java auszustatten und den Rest nicht, so dass die Websiten über die zwei spezfifischen Server geladn werden. Daran stört mich jedoch, dass
1. die Server nicht mehr einheitlich sind
2. es eine große Ressourcenverschwendung darstellt, wenn zwei Terminalserver für 15 User einige Websiten öffnen.

Bin für Vorschläge offen.

Nachtrag:
Die Lösung muss parallel für den FF und den IE funktionieren.
Mitglied: colinardo
LÖSUNG 03.12.2014, aktualisiert 04.12.2014
Hallo Doskias,
erst mal, du kannst Java nicht komplett deaktivieren und gleichzeitig die Plugins aktivieren, diese setzten ja auf der Java-Runtime auf, gehören also zusammen. Du kannst Java aber detailliert über die Deployment-Config-Datei konfigurieren, mit dieser lässt sich Java also auf User-Basis konfigurieren (aktivieren/deaktivieren).
http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/jcp/properti ...
Z.B. deaktiviert folgende Zeile in der Deployment-Config die Nutzung von Java in den Browsern:
deployment.webjava.enabled=false
Das Deployment-File muss dann für die userbasierte Verteilung in diesem Verzeichnis platziert werden:
<User Application Data Folder>\LocalLow\Sun\Java\Deployment\deployment.properties
TIPP: Am einfachsten ist es wenn du dir auf einem Testsystem die Java-Systemsteuerung vor knüpfst, und so konfigurierst wie du es für die User haben möchtest. Die Systemsteuerung legt dann nämlich solch ein Deployment-File automatisch in folgendem Verzeichnis an:
"C:\Users\%username%\AppData\LocalLow\Sun\Java\Deployment\deployment.properties"
Daraus kannst du dir die benötigten Settings entnehmen und brauchst nicht alle Einstellungen in der Doku nachschlagen.
Dann gibt es auch noch eine Methode die Seiten welche in den Browsern aufgerufen werden dürfen, mit einem Deployment-Ruleset einzuschränken. Dazu habe ich hier mal ein detailliertes Tutorial geschrieben:
Explizites Freigeben von bestimmten Java-Applets im Browser via Deployment-Config (Sicherheitswarnung deaktivieren)

Grüße Uwe
Bitte warten ..
Mitglied: Doskias
03.12.2014 um 20:14 Uhr
Hallo Uwe,

ja das habe ich befürchtet, dass ich es nicht deaktivieren kann und gleichzeitig die Plugins aktiviert lassen kann. Wäre ja auch zu schön gewesen. Da seht man sich manchmal die Zeiten herbei als die JRE und die Plugins noch getrennt waren ;)

Auf den ersten Blick sieht das File ganz gut aus. Ich werde es mir morgen mal genauer anschauen.
Bitte warten ..
Mitglied: Doskias
04.12.2014 um 11:09 Uhr
Zitat von colinardo:
Z.B. deaktiviert folgende Zeile in der Deployment-Config die Nutzung von Java in den Browsern:
<code type="plain">
deployment.webjava.enabled=false

Gilt das global oder nur für den IE?

Ich hab mitlerweile auch hier was dazu gefunden: https://www.java.com/de/download/help/disable_browser.xml
Zumindest mein Test in der Testumgebung hat gezeigt, dass wenn ich deployment.webjava.enabled=false setze die Plugins unter FF weiterhin auf "immer ausführen" stehen.

Im IE funktioniert das ganze mit eingetragenen Ausnahmen unter security\exception.sites auch ganz gut. Einziges Manko: Wenn ich eine Ausnahmeseite (in dem Fall www.oracle.com/technetwork/java/example1-138100.html) öffne, so erhalte ich die Meldung:

Angegebene Konfigurationsdatei wurde nicht gefunden. Sie können keine Applets im Browser anzeigen, da eine erforderliche Konfigurationsdatei im angegebenen Verzeichnis nicht gefunden wurde: null. Sie müssen den Brwoser neu starten, wenn das Konfigurationsproblem behoben ist.

Das kuriose: Diese Meldung erhalte ich permanent bei jeder Seite. Bei den Ausnahmen, wird die Seite im Anschluss fehlerfrei geladen. Bei Seiten ohne Ausnahme, erhalte ich dann die Nachricht "Ihre Sicherheitseinstellungen haben die Ausführung einer nicht vertrauenswürdigen Anwendung blockiert."

Beim IE muss ich folglich nur noch die Meldung mit der Konfigurationsdatei eliminieren.

Beim FF hingegen sagt er nun permanent, dass ein Plugin benötigt wird um den Inhalt darzustellen und ich werde aufgefordert das Plugin zu installieren. Dabei ist Java laut den Add-Ons immer aktiviert. Die Meldung gibts sowohl bei Ausnahmeseiten als auch bei regulären.

Zwei Fragen:
1. Kann es daran liegen, dass im Java Control Panel unter "Standard-Java für Browser" der Haken bei Mozilla-Familie nicht gesetzt bleibt wenn ich diesen setze?
2. Bei dem FF handelt es sich übrigens um ein vom Kunden customized Installationspaket. Vielleicht liegt es auch hierdran?
Bitte warten ..
Mitglied: colinardo
LÖSUNG 04.12.2014, aktualisiert um 17:00 Uhr
Zitat von Doskias:
> deployment.webjava.enabled=false
Gilt das global oder nur für den IE?
Global für alle Browser

Im IE funktioniert das ganze mit eingetragenen Ausnahmen unter security\exception.sites auch ganz gut. Einziges Manko: Wenn ich
eine Ausnahmeseite (in dem Fall www.oracle.com/technetwork/java/example1-138100.html) öffne, so erhalte ich die Meldung:

> Angegebene Konfigurationsdatei wurde nicht gefunden. Sie können keine Applets im Browser anzeigen, da eine erforderliche
Konfigurationsdatei im angegebenen Verzeichnis nicht gefunden wurde: null. Sie müssen den Brwoser neu starten, wenn das
Konfigurationsproblem behoben ist.
Halte dich exakt an mein Tutorial, dann klappt das hervorragend. :.-) Darin überließt du ganz schnell wichtige Dinge ! Nur überfliegen führt da nicht zum Erfolg !

Zwei Fragen:
1. Kann es daran liegen, dass im Java Control Panel unter "Standard-Java für Browser" der Haken bei Mozilla-Familie
nicht gesetzt bleibt wenn ich diesen setze?
kann ich gerade nicht sagen.
2. Bei dem FF handelt es sich übrigens um ein vom Kunden customized Installationspaket. Vielleicht liegt es auch hierdran?
könnte schon sein ..

Grüße Uwe
Bitte warten ..
Mitglied: Doskias
04.12.2014 um 13:53 Uhr
ich schon wieder

Also zumindest im IE hat es funktioniert (bis ich mir das Testsystem zerlegt habe)

jetzt habe ich aber noch einmal eine Verständnisfrage:

Ich konfiguriere die deployment.properties einmal mit deaktivierten und einmal mit aktivierten Java und verteile diese in die entsprechenden Ordner, je nachdem welche Berechtigungen der user haben soll. Anschließend implementiere ich die Lösung deines Tutorials. In dem Fall werden die Websites auch bei deaktiviertem java nicht geladen, korrekt?
Bitte warten ..
Mitglied: colinardo
04.12.2014, aktualisiert um 13:57 Uhr
Anschließend implementiere ich die Lösung deines Tutorials.
In dem Fall werden die Websites auch bei deaktiviertem java nicht geladen, korrekt?
Wenn du das Ruleset entsprechend mit einer Default-Block-Regel am Ende konfigurierst, ja. Dann sind ja nur die angegebenen Seiten bzw. Applets freigegeben und alles andere nicht mehr.
Bitte warten ..
Mitglied: Doskias
04.12.2014 um 14:45 Uhr
Also du schreibst zwar "ja" aber die deine Erklärung ist doch eher ein "nein" (oder ich steh grad auf dem Schlauch)? Es geht also nochmal um folgendes:

Gruppe A: Soll Java komplett deaktiviert haben, auch auf den speziellen Seiten
Gruppe B. Soll Java aktiviert haben und auf die speziellen Seiten mit Java zugreifen.

Die Lösung mit der deployment.properties löst ja den ersten Teil, also deaktiviertes bzw. aktiviertes Java. Soweit, so gut.

Dein Tutorial erlaubt ja aber http://www.oracle.com/technetwork/java/. Da es sich hierbei ja aber um eine serverweite Eisntellung handelt (liegt ja unter C:\Windows\...) haben, dann nicht alle Benutzer die Rechte auf die freigegebenen Seiten?
Oder greift hier die deplyment.properties vor der DeploymentRuleSet.jar?
Bitte warten ..
Mitglied: colinardo
LÖSUNG 04.12.2014, aktualisiert um 17:00 Uhr
Zitat von Doskias:
Dein Tutorial erlaubt ja aber http://www.oracle.com/technetwork/java/. Da es sich hierbei ja aber um eine serverweite Eisntellung
handelt (liegt ja unter C:\Windows\...) haben, dann nicht alle Benutzer die Rechte auf die freigegebenen Seiten?
Oder greift hier die deplyment.properties vor der DeploymentRuleSet.jar?
Das sind zwei verschiedene Dinge. Die Deployment.Properties legt fest ob Java generell aktiviert oder deaktiviert ist (bzw. deine Einstellungen), und das DeploymentRuleSet.jar legt nur fest welche Seiten bzw. Applets bei "aktiviertem" Java besucht werden dürfen !!! Bei deaktiviertem Java für den User, ist die DeploymentRuleSet.jar also obsolet, da Java für Ihn ja sowieso deaktiviert ist !
Die beiden Dinge sind also getrennt zu sehen, in der DeploymentRuleSet.jar liegt ja nur das XML-File und keine "Deployment.properties".

Hoffe das war jetzt klar

Grüße Uwe
Bitte warten ..
Mitglied: Doskias
04.12.2014 um 15:03 Uhr
Ja jetzt hab selbst ich das verstanden :D

Das es zwei verschidene Dinge sind war mir schon klar, daher ja nochmal die Rückfrage ob sich aktiviertes/deaktiviertes Java auf die DeploymentRuleSet auswirkt.

Gruppe A mit deaktivierten Java ist also völlig egal was in der DeploymentRuleSet.jar steht.
Gruppe B mit aktivierten Java, greift auf die DeploymentRuleSet vor.

Ich werds dann nochmal mit entsprechender internen Dokumentation nachbauen und (vermutlich) dann deine ganzen Beiträge mit "Zur Lösung beigetragen" abhaken. Hab ein gutes Gefühl dabei.
Bitte warten ..
Mitglied: Doskias
04.12.2014, aktualisiert um 15:49 Uhr
Ich hasse spontane Änderungen.

Jetzt soll es so sein, dass Gruppe B ebenfalls lokal Java (faktisch deaktiviert sein soll) und die Plugins funktionieren sollen. Siehst du über die deployment.properties eine Möglichkeit Java so einzustellen, dass es faktisch deaktiviert ist (extrem stark eingeschränkte Berechtigungen für die lokale Umgebung, außerhalb des Browsers)?

Ich hatte es im ersten Beitrag ja schon geschrieben, damals war es aber nur "wünschenswert", jetzt sieht der Kunde es allerdings als "erforderlich" an.
Bitte warten ..
Mitglied: colinardo
04.12.2014, aktualisiert um 15:58 Uhr
Zitat von Doskias:
Jetzt soll es so sein, dass Gruppe B ebenfalls lokal Java (faktisch deaktiviert sein soll) und die Plugins funktionieren sollen.
Siehst du über die deployment.properties eine Möglichkeit Java so einzustellen, dass es faktisch deaktiviert ist (extrem
stark eingeschränkte Berechtigungen für die lokale Umgebung, außerhalb des Browsers)?

IMHO no .

Ihr solltet vielleicht mal über Application Sandboxing (z.B. Thinapp) nachdenken.
Bitte warten ..
Mitglied: Doskias
04.12.2014 um 16:11 Uhr
In der Umgebung wird Citrix-Provising eingesetzt. Deswegen wollen wir ja möglich nur einen Server installieren und den dann Clonen, und die Java-Einstellung per GPO kontrollieren. Das Propertie-kopieren wäre da gut gewesen. So wie es jedoch aktuell aussieht werden wr uns an der Stelle von der 1-Server-Lösung verbaschieden müssen.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
Spielzeiten auf pc und handy steuern (7)

Frage von fisch56 zum Thema Router & Routing ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

Windows Server
Jnlp Endungen mit Java automatisch verknüpfen über GPO (10)

Frage von staybb zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...