Просмотр темы - Доступ к терминальным приложениям

[Corner Профиль ICQ]

Не очень понял где и что : на контроллере домена, на сервере Citrix?
права на коннект их сети это как?

[Defence Профиль]

Извини, вчера не было.
Я тебе опишу как это все у меня настроено, а ты делай выводы.
Домен на Windows 2003, сервер Windows 2003 не является DC, включен в домен на нем стоит Citrix PS. Чтобы повысить безопасность, сделал OU Terminal Server и создал там GPO.

В групповой политике в Allow log on through Terminal Services стоит BUILTIN\Remote Desktop Users. В RDP, ICA этой же группе оставил дефолтовые значения. Включил нужных пользователей в группу Remote Desktop Users на сервере. Но я думаю можно и в доменную группу. Это без разницы.

НО, так как у тебя Citrix на Windows 2000 то тебе в GP нужно в политику Log on localy добавить группу Remote Desktop Users.
Попробуй, скажешь чем закончилпсь.

[Corner Профиль ICQ]

Добавил пользователям в OU права Remote Desktop Users (Domain users была основная). В политике OU прописал Log on Localy и разрешил терминальное подключение для Domain Users и Remote Desktop Users. На сервере с Citrix локальные учетные записи не трогал, добавил в свойства RDP и ICA Domain Users и Remote Desktop Users.
Получается:
На сервер Citrix логинюсь под учетной записью Domain Admins
На клиентской машине под (domain users; remote desktop users).
Лезу к опубликованному приложению с клиентской машины.... но ничего не работает до того как зайдя на клиентскую машину с правами локального админа не делаю доступ к ветке реестра HKLM\SOFTWARE\Microsoft\MSLicensing
для Domain users, а затем перелогинившись под доменным пользователем получаю доступ к опубликованному приложению наконец.

Ну приложение то запустил, возник новый вопрос: почему не все программы запускаются (icq), это как то регулируется политикой OU ? (может локально на машине клиента?) и каким образом я не могу включить Active Desktop если в GP OU ясно прописал разрешение на него в административных шаблонах пользователя в разделе Desktop?
P.S. Все программы ставились под локальным админом.

[Defence Профиль]

[Corner Профиль ICQ]

Доступ на ветку HKLM\SOFTWARE\Microsoft\MSLicensing на компе пользователя дал полный для Domain Users.

В группу Пользователи на клиентском компе занес конкретного доменного пользователя и дал права локального администратора. (так разрешил вопрос про запуск icq и ругань на отсутствие на то привилегий)

С десктопом разделался через реестр руками, но позже задумался и обнаружил что в GP OU в административных шаблонах пользователя (Desktop) понятие "prohibit" следует понимать как "запретить" а не "разрешить" :-)
И что такое Software Restriction Policies?

[Defence Профиль]

Computer или User Configuration->Windows Settings->Security Settings->Software Restrictions Polices

На нем стоя нажмешь правую кнопку, Help. Там написано. А вкратце позволяет запретить запуск приложений по пути, сертификату, hash-коду.

[Corner Профиль ICQ]

Выявился странный момент: после ввода в домен сервера с Citrix сервер лицензирования терминалов разругался что мол если я в домене то работать буду только на контроллере! но ведь Citrix необязательно должен быть установлен на контроллере домена можно ли это как то победить?

[Defence Профиль]

Не понял. У меня замечательно стоит не на контроллере домена. Только я его вначале включил в домен,а потом сервер лицензирования ставил.

А переставлять не пробывал?

[Corner Профиль ICQ]

Приношу много извинений что долго не писал, случилось страшное 8-) ночью в конторе прорвало трубу отопления и сервак 2К с цитрикс залило водой! (контроллер домена на 2003 остался жив ) пришлось аварийно ставить базы (разбирая Xeon до винта) 1С на комп с контроллером домена 2003 без цитрикс, а так как основной народ был не в домене то был вынужден опустить DC до простого файл сервера, тут выяснилась очень интересная вещ... при попытке доступа по сети к сетевым папкам бывшего контроллера домена под 2003 ставшего файл сервером появилась ругань что политика пользователей на бывшем DC не предусматривает сетевой доступ к его дискам! Полез в локальные политики безопасности бывшего DC и обнаружил что локальный вход в систему и доступ по сети пользователям разрешены! Начальство дало полчаса на устранение проблемы, пришлось срочно ставить 2K serv, а позже на него поставил и цитрикс.
Сорри за оффтопик а теперь по делу..

домен на W2K serv я таки поставил на другой машине и на него же второй цитрикс для экспериментов, почему то после поднятия AD TS погиб..
Переставил TS поставил на контроллер домена citrix.. в политике OU прописал разрешения на коннект локальный и по сети для доменных пользователей, в локальной политике безопасности тоже (Domain users, так как Remote desktop users кажется в 2K нет) в общем сделал все как в случае с 2003, но ферму с клиентской машины не видно.
Может ли как то играть роль то, что это второй сервер с цитрикс в сети (хоть он и в домене) или недодал прав пользователям в политике?