RemoteApp- und Desktopverbindungen am Windows 7 Client per GPO einrichten

 

Auf folgendes Problem bin ich gestoßen, als Remote-App auf Win7-Clients per Webfeed zentral ins Startmenü integriert werden sollten.

 

(Hintergrund wie das manuell durchgeführt wird: http://blogs.msdn.com/rds/archive/2009/06/08/introducing-remoteapp-and-desktop-connections.aspx )

 

Da wir uns aber im Jahr 2010 befinden, kann es in meinen Augen nicht sein solche Einstellungen an allen Clients manuell vorzunehmen. Also hab ich mich auf die Suche nach einer entsprechenden Gruppenrichtlinie begeben. -> Erfolglos.

 

Und was passiert wenn man selber die Lösung nicht kennt?

-> Man fragt jemanden der die Lösung wissen könnte.

Also fix das Problem in der Microsoft-Newsgroup gestellt. Hier bekam ich eine Antwort von Wolfgang sauer, mit verwertbaren Links zu meinem Problem. Vielen Dank!

 

Folgendes muss geschehen, um die Einstellungen an > Win7 Clients zentral vorzunehmen:

(Ich gehe davon aus dass eine eigene Zertifizierungsstelle in der Domäne vorhanden ist)

 

1.)    Es wird ein PowerShell Skript benötigt, welches eine Datei auf dem Client importiert.

è Hier gibts den Code: http://gallery.technet.microsoft.com/ScriptCenter/ru-ru/313a95b3-a698-4bb0-9ed6-d89a47eacc72 -> Ich habs als C:\temp\Install-Feed.ps1 gespeichert.

2.)    Es wird eine Konfigurationsdatei erstellt. Dies geschieht am Remotedesktop-Verbindungmanager Server:

 

 Die Datei wird in diesem Beispiel als C:\temp\setting.wcx gespeichert


 

 

3.)    Als nächstes muss (falls noch nicht vorhanden) ein Zertifikat für CodeSigning angefordert werden.

 

 

Sollte “Codesignatur” nicht auswählbar sein, so muss vorher erst eine Zertifikatsvorlage auf dem Zertifizierungsstellenserver erstellt werden.

 

4.)    Nun muss das eben angeforderte Zertifikat an die Clients verteilt werden, die später das Skript ausführen sollen. Dies geht am elegantesten über eine GPO:
(Vertrauenswürdiger Herausgeber - leider nicht auf dem Screenshot zu erkennen)

 

5.)    Weiterhin sollte noch eine Richtlinie festgelegt werden, dass nur signierte PowerShell-Skripte ausgeführt werden dürfen:

 

6.)    Nun muss das Skript noch signiert werden. Das geschieht per Powershell:

 

 

7.)    In “meiner” Umgebung gibt es Windows 2000, Windows XP, Windows Vista und Windows 7 Clients. Da “RemoteApp und Desktopverbindungen” nur unter Windows 7 (und wahrscheinlich höher) funktioniert, habe ich in der GPMC einen WMI-Filter erstellt, um später nach Win7-Clients (und Server 2008 R2) filtern zu können.

 


 

 

8.)    Als nächstes wird die settings.wcx ins Netlogon-Verzeichnis kopiert.

Nach einem Klick auf “Dateien anzeigen” öffnet sich der Explorer mit dem Ordner für das Logon-Verzeichnis der Policy. Hier wird das PS-Skript (Install-Feed.ps1) hineinkopiert.

 

 Dann wird das Skript in der GPO als Startskript festgelegt:

 

9.)    Nun wird noch der WMI-Filter auf das GPO angewendet, fertig.

 

10.)                       Ganz zum Schluß testet man das Gesamtergebnis noch an einem Win7 Client, bzw. einem Windows Server 2008 R2 (Remotedesktop-)Server.