Ich bin aktuell auf einer Installation, bei der mehrere Remote Desktop Services-Server unter Windows Server 2008 R2 SP1 installiert werden. Die Systeme werden nicht mit den RemoteApps und somit “seamless” genutzt, sondern die Benutzer wählen sich per Thin Client auf und erhalten einen kompletten Desktop. Um bei dieser Variante den Desktop und die Möglichkeiten für Benutzer möglichst zu beschränken, gibt es mit den Gruppenrichtlinien bereits einige Möglichkeiten. Wenn sich an der neuen Farm nun ein neuer Benutzer anmeldet, wird ein neues Profil erstellt. In diesem Profil sind zum einen die fest angehefteten Icons “Server-Manager” sowie “PowerShell” enthalten, zum anderen tauchen im Startmenü Verknüpfungen zu diversen Programmen auf, z.B. die Eingabeaufforderung. Dies kann man allerdings mit einer Gruppenrichtlinie verhindern.
Keine festgehefteten Programme bei neuen Profilen
Wenn nach der ersten Anmeldung der Server-Manager und die PowerShell (und ggf. der Windows-Explorer) nicht direkt an der Taskleiste angeheftet sein soll, kann man dies durch eine Gruppenrichtlinie verhindern. Hierzu navigiert man unter
Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Dateisystem
An dieser Stelle verlinkt man die betreffenden Verknüpfungen
Der komplette Pfad ist
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
und setzt die folgenden Rechte:
Das ganze bestätigen wir noch wie folgt:
Dies entfernt den Server-Manager aus einem neuen Profil, hier können noch weitere Verknüpfungen entfernt werden:
Windows PowerShell (x86).ink
Windows PowerShell.ink
usw…
Gefunden habe ich diese Lösung hier: topitproviders.net: Remove the Pinned programs Server manager and PowerShell for 2008 R2 RDS
Bestimmte Einträge im Startmenü verhinden
Damit gewisse Verknüpfungen zu Programmen nicht im Startmenü des Benutzers auftauchen, kann man in die bereits erstellte Gruppenrichtlinie weitere Pfade aufnehmen. Um z.B. den kompletten Zubehör-Ordner zu entfernen, wählen wir den folgenden Pfad:
Nachdem die Einstellungen geladen sind, werden allerdings immer noch Einträge unter “Zubehör” aufgelistet. Dies kommt daher, das diese aus einem anderen Bereich kopiert werden. Dieser Pfad ist
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
Hier kann entweder der komplette Pfad mit aufgenommen werden, oder man wählt hier die betreffenden Verknüpfungen aus, die ausgesperrt werden sollen.
Edit: Die hier beschriebene (und gestrichene) Lösung funktioniert nicht, bei der ersten Anmeldung an einem RDS-Server gibt es eine Fehlermeldung und die Anmeldung wird abgebrochen. Dies liegt daran, dass die von uns gesperrten Icons/Verknüpfungen erkannt werden, wenn sie aber nicht kopiert werden können gibt es eine Fehlermeldung. Die Lösung ist in diesem Fall das Verschieben der Icons an einen anderen Pfad; Löschen würde auch funktionieren, dann sind sie aber weg und können nicht bei Bedarf wiederhergestellt werden.
Weitere Infos:
- Diese Vorgehensweise funktioniert nur bei Profilen, die nach der Erstellung der GPO erstellt werden. Auf vorhandene Profile hat dies keine Wirkung, da die Ordner und Programme bereits erstellt wurden.
- Das die Pfade in den Screenshots teilweise deutsch und teilweise englisch sind liegt daran, dass die Pfade in der “unmarkierten” Ansicht (mit den Sprungpunkten) in Deutsch dargestellt werden, sobald man den Pfad allerdings markiert oder anklickt (siehe letzter Screenshot) wird der Pfad in Englisch angezeigt. Dies liegt daran, dass das System intern mit englischen Universal-Pfaden arbeitet.
