eDirectory, Novell Client, Windows 2003, Терминальная сессия

[Иван Иванов]

Как для разных пользователей, заходящих в W2003Term дать различиные разрешения на запуск приложений с это самой W2003 ?
Штатное GPO , что в W2003 (если без AD), позволяет ограничить спиcок запускаемых приложений для ВСЕЙ станции (за исключением Administrator).

1. Прописать политики через реестр
2. http://support.microsoft.com/kb/325351 Подсовывая шаблончик политик перед логином пользователя и потом его оттуда убирая, для терминала это очень ... неудобно.
Еще:
http://www.microsoft.com/windowsserver2 ... tools.mspx
http://grouppolicy.editme.com/3rdParty

[Андрей Тр. aka RH]

Андрей, "любимая компания" - это что за компания? Если новель - ткни пальцем, где она пиарится

Ээ .. ну да, Новелл, конечно Раз весь сайт посвящен её продуктам и пр., с нею связанным. А где пиарится - я аж подрастерялся, ну если тебе надо так конкретно пальцем, то хотя бы тут. Разводить обсуждение о том, что именно является пиаром компании, мне теперь неохота, да и не вижу особого смысла - сам по себе novell.org.ru ресурс-то неплохой.

Вот интересно, сколько за прошлый год в Рунете было сделано постов ( на форумах, в блогах ) / статей на тему продуктов / решений, имеющих отношение к Новеллу. Речь не про админские разборки с траблами и т.п. ( типа как на Проне ), и не про перепечатку статеек про Линукс с новостных лент, а именно когда-то кто-то что-то придумал, внедрил и т.п.

[Иван Левшин aka Ivan L.]

Андрей... Никто же не постит тут откровенно слабые "решения", ссылаясь на "статьи" на каком-либо форуме, имеющие отношение к официальным сайтам Novell? Я всегда рассматривал ПРОН как некий админский междусобойчик - и, напомню, я тут объявился задолго до того, как начал работать в новеле

Я не против того, чтобы коллеги делились решениями - я против того, чтобы промежуточные костыли подавались как решения. Потому как привык к тому, что ежели уж тут чего и выяснили - это, что называется, в мемориз.

[pomka]

Запускать в терминал под одним именем пользователя 30 человек это очень оригинально. Создается впечатление что ни автор статьи ни автор топика с терминалами не работал. Банальная задача - сбросить подвисший сеанс или попросить выйти из какой-то программы (например 1С) превратится в получасовое медитирование над логами и ММС консолью чтобы понять где сессия Васи Пупкина а где Ивана Анатолича. Еще есть у меня смутное подозрение но не уверен что если под одним бюджетом работают скажем 3 человека, потом один из них отключится от терминала не завершив сеанс то 4 попадет в этот сеанс а не откроет новый со всеми отсюда вытекающими.

Про "выкидывание" зависших пользователей: посмотрите внимательнее на диспетчер служб терминалов: во вкладке информация указано имя клиента. По вашему подозрению - для этого есть временные ограничения неактивных сессий.

[pomka]

Когда я создавал тему - я написал, что проблема в терминальной сессии. Я вижу некоторые до сих пор считают, что AdminAutoLogon использовали аж 5 лет назад. Поднимите в виртуалке терминальный сервер и попробуйте войдите терминальным клиентом. Ничего не получится. Вылезет двойная авторизация.

[Сергей Дубров]

Поднимите в виртуалке терминальный сервер и попробуйте войдите терминальным клиентом. Ничего не получится. Вылезет двойная авторизация.

Неправда, не вылезает - с 2001 года активно пользуем для клиентов терминальные службы от M$/Citrix-а + вход в NDS/eDir. Наверное, мы что-то делаем неправильно?

[pomka]

Неправда, не вылезает - с 2001 года активно пользуем для клиентов терминальные службы от M$/Citrix-а + вход в NDS/eDir. Наверное, мы что-то делаем неправильно?

Правда-правда:) С Citrix - да, не вылезет, а вот MS без ZEN вылезет.

[Сергей Дубров]

Неправда, не вылезает - с 2001 года активно пользуем для клиентов терминальные службы от M$/Citrix-а + вход в NDS/eDir. Наверное, мы что-то делаем неправильно?

Правда-правда:) С Citrix - да, не вылезет, а вот MS без ZEN вылезет.

Нет. Я повторяю - активно пользуем терминальный доступ в сочетании с новеловским клиентом с 2001 года. Ничего не вылезает ни при доступе по ICA ни при доступе по RDP - клиент авторизуется ровно один раз.

Читали?:

http://www.novell.com/coolsolutions/appnote/15773.html

[Андрей Тр. aka RH]

Я вижу некоторые до сих пор считают, что AdminAutoLogon использовали аж 5 лет назад.

5 или 6, я сейчас точно не помню, но давно, в общем ( минимум 5 ). В ТИДах приводится вариант использования AdminAutoLogon и в NT4, так что давно это было Повторюсь, речь в данном случае шла не про терминал, а про обычный логин на рабочей станции.

[Иван Иванов]

Про "выкидывание" зависших пользователей: посмотрите внимательнее на диспетчер служб терминалов: во вкладке информация указано имя клиента. По вашему подозрению - для этого есть временные ограничения неактивных сессий.

Я же об этом и говорю - полчаса:). Ну может минут 15.
Не все приложения которые могут использоваться на терминале безболезнено переживают сброс сессий по времени. та-же 1С, особенно во время перепроведения.
Хотя если делаете для себя а не пиар "решения" то в определенных условиях можно и так. Непонятно только зачем.
Кстати если поставить птичку "локальный вход" в терминал пущает без вопросов? или Вы запретили локальный вход?

[Антон Фридрих]

По полочкам (!)

С одним пользователем (заранее настроенным) в терминал входит просто с новелл клиентом, можно обойтись и без AutoAdminLogOn.

Если есть нобходимость входа нескольких пользователей то это явно DLU. Но его можно использовать и без зена, есть достаточно бесплатных решений, об одном из них писал выше.

А помоему флейм это все.

Нужно то решение описать Windows Server + DLU + (если необходимо) ограничение зеном запуска приложения по пользователям.
Постараюсь описать свои мысли подкрепив ссылками на доку чуть чуть попозже...

[Андрей Старков]

задали вопрос но на него и без меня достаточно подробно ответили

я не силен в продуктах MS но из общения со спецами знаю что политики в АД можно прикладывать к минимальной единице OU. в нее конечно можно загнать одного пользователя но что за структура будет тогда?
ZEN позволяет политики прикладывать к любому объекту дерева (был бы смысл)
вкупе с прямым изменением реестра (есть у меня приложения которые включают или останавливают сервисы, я только параметр Start с 2 на 4 и обратно меняю и увеличиваю значение Version Number) думаю можно такой режим "киоска" сделать. задачи не было, не пробовал
В принципе, действительно, опыт может имеет смысл изложить, но это только в апреле, на 2 недели в Москву уезжаю

[Сергей Дубров]

я не силен в продуктах MS но из общения со спецами знаю что политики в АД можно прикладывать к минимальной единице OU.

Да, это так: минимальная единица OU -> дальше домен -> дальше сайт. Но... см. ниже.

в нее конечно можно загнать одного пользователя но что за структура будет тогда?

Вышенаписанное не означает, что невозможно штатными средствами AD применить нужную GP к более мелкому объекту, чем OU - подробности можно найти в статье "Control your Group Policy, don't let it control you", автор Laura Hunter (засранцы, раньше статья была доступна свободно, сейчас хотят регистрацию). Суть идеи - GP + права доступа. Плюс необходимо учитывать порядок GP. Не очень удобно, не очень прозрачно, но... работает. Я применял отдельную GP для двух конкретных юзеров, никуда не перемещая их из OU, в котором кроме их было ещё ~сотни пользователей.

[Timur Kazimirov]

Плюс необходимо учитывать порядок GP. Не очень удобно, не очень прозрачно, но... работает.

Это да, порядок важен. У меня, например, одна политика для настройки автообновления винды (тип 4) для всего моего локейшена, плюс еще одна (тип 3) применяется к группе РС и серверов с различной начинкой для предварительного тестирования этих обновлений. Вот за порядком включения/отключения и приходится следить.