WS 2019 - RDP uživatelé - nespouští se nastavený program
Dobrý den, mám problém na Windows server 2019, mám vytvořené uživatele (bez domény) a každý má nastaveno na záložce prostředí "Po přihlášení k RDP spustit následující program".
Doteď to funguje několik let na windows server 2012 R2.
Na Serveru 2019 se po přihlášení k RDP se program nespustí, zobrazí se jen plocha.
Googluju a googluju a nenacházím řešení.
Děkuju předem.
Vyzkoušej rady na těchto odkazech:
https://martinsblog.dk/win-20162019-remote-desktop-services-attributes-of-environment-tab-of-a-users-object-properties-in-ad-ds-are-not-applied/
https://social.technet.microsoft.com/Forums/windowsserver/en-US/112c5363-3435-473e-8bf0-c01cd8cd7540/start-program-for-rdp-users-on-login-on-windows-server-2019?forum=winserverTS
tohle nefunguje, nemám AD ani DC (ale zkusil jsem klíč do registru přidat a restartovat, co kdyby, ale nepomohlo)..
tady remote-connection-manager-changes se taky mluví jen o AD DC..
a v tvém druhém odkazu nechápu tohle:
Můžeš mi pomoct jak to nastavím?
Mrkni sem, je to obdobné:
https://www.howtonetworking.com/RemoteAccess/ts19.htm
(omlouvám se za delší odmlku, mezitím mi začala padat vzdálená plocha, až po delší době jsem vygoogloval, že když ododškrtnu připojení tiskáren, tak že to pomůže, opravdu pomohlo, připojení ke vzdálené ploše už nepadá, ale zas nemohu tisknout, no to později)
díky, bod tři z tvého odkazu zafungoval,
viz.:
Teď ještě jak z téhle politiky vyjmout admina nebo nějakého jiného určitého uživatele, jestli by někdo nevěděl?
Protože tahle politika co jsem tam nacvakal funguje pro úplně všechny kteří se přihlásí vzdálenou plochou?
Máš víc možností:
1. uděláš si skupinu, na kterou nechceš politiku aplikovat a ve scope nastavíš, že nemá dopadat na tuhle skupinu
2. uděláš si skupinu pro uživatele, na které chceš, aby politika dopadala a místo autenticated users uvedeš tu skupinu
3. uděláš si organizační jednotku, ve které budou všichni uživatelé mimo těch, které chceš a politiku nalinkuješ na tu organizační jednotku
A protože jsi tu politiku již pustil na všechny, buď to těm, které nechceš z registru smažeš nebo si uděláš další politiku bez výchozího programu a tu pustíš na ty, na které to nemá dopadnout.
Takže možnost 4: vytvoříš si skupinu s uživateli, na které nechceš předchozí politiku aplikovat, tu skupinu dáš místo defaultní authenticated users a politiku nalinkuješ v poředí před tu, která aplikaci nastavuje
Děkuju ti.
Můžeš to prosím trochu polopatičtěji, každý bod prosím.
Kde to nastavuju ( v gpedit.msc nebo v místních zásadách zabezpečení)?
A kde přesněji v kterém tom.
ad 1. kde ten scope nastavím?
ad 2. kde uvedu tu skupinu místo authenticated users?
ad 3. kde si vytvořím organizační jednotku a jak k ní nalinkuju politiku?
ad 4. kde toto vytvořím, kde dám tu mojí skupinu místo authenticated users a kde tu politiku nalinkuju v pořadí před tu která aplikaci nastavuje?
Asi jsem v tomhle úplný začátečník, promiňte za možná hloupé otázky.
Všechno se odehrává na řadiči domény, tam se editují politiky, vytváří organizační jednotky, skupiny apod.
Tak nějak jsem předpokládal, když jsi psal, že jsi vytvořil politiku a nastavil tam ten program, že víš...
1. Nastavuješ to v editoru politik na doménovém řadiči. Scope (v podstate filtr, na koho poitika dopadne) je součástí každé politiky - první záložka
2. ve scope
3. organizacní jednotku vytvoříš v Users and Computers na domenovem radici. Politiku linkuješ na celou doménu nebo organizační jednotky
4. pořadí politik udává to, jak budou politiky zpracovány a jak se navzájem pravidla přepisují
Aha, proto to nemohu najít, doménu ani AD nemám, je tam pár uživatelů a jeden server.
Je vůbec možné bez AD a DC tedy rozlišit politiky nastavené v gpeditu pro různé skupiny uživatelů nebo různé uživatele?
Nebo jak nastavit bez AD a bez DC různé politiky pro RDP prostředí různých skupin uživatelů?
Možno takto. Ak si aspoň trocha skúsený v bat skriptovaní, tak môžeš využiť výstup príkazu whoami /groups. Vylistuje ti zoznam skupín aktuálneho používateľa, a podľa výsledku sa rozhodneš čo sa spustí.
Pomocou group policy by si potom spúšťal tento skript, namiesto tvojej aplikácie.
Geniální.
Uvedl bys tady takový vzorový skript pro inspiraci prosím?
Skupiny jsou pouze dvě:
Remote desktop users - můjprogram.exe
Administrators - těm ať se pustí plocha
Děkuju předem.
Riesim nieco podobne u zakaznika, aj si nejako pokrocil?
Tiez to musim riesit na 2019;o(.
Jo vyřešil, však jsem dostal návod
Whoami /groups, pípa, find "skupina" >null
Dále if errorlevel 1 atd atd.
Zítra když si vzpomenu dám celý baťáček.
vytvořil jsem si soubor Mujprogram.bat s obsahem:
@echo off
cls
title ...
whoami /groups | find /i "Administrators" > NUL
if errorlevel 1 goto pust
start explorer.exe
goto end
:pust
cd c:\tvujadresar
start c:\tvujadresar\tvujprogram.exe
:end
tenhle Mujprogram.bat umístíš někam, odkud ho mohou všichni pustit, typicky c:\Program Files, nebo složka s tvým programem, odkud ho taky všichni mohou spustit předpokládám.
No a nakonec taky zapíšeš do GPEDIT.MSC na místo
<User> Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Remote Session Environment
spouštění programu Mujprogram.bat
Hotovo. (adminům se pustí normálně plocha, ostatním uživatelům se pustí tvujprogram.exe)
Ha, myslel jsem že hotovo, ale pojednou vyšlo najevo, že možná/asi bude potřeba, aby i někteří uživatelé se dostali na plochu, takže jsem to trochu rozšířil:
vytvořil jsem Mujprogram2.bat s obsahem:
@echo off
cls
title ...
whoami /groups | find /i "Administrators" > NUL
if errorlevel 1 goto jestepodm
start explorer.exe
goto end
:jestepodm
whoami /groups | find /i "Takyplocha" > NUL
if errorlevel 1 goto pust
start explorer.exe
goto end
:pust
cd c:\tvujadresar
start c:\tvujadresar\tvujprogram.exe
:end
založil jsem dále skupinu Takyplocha, a když někdo z uživatelů bude taky potřebovat na plochu, jenom ho přihodím do této skupiny.
A do GPEDIT.MSC jsem zapsal tenhle Mujprogram2.bat .
No a taky jsem těm uživatelům rovnou na plochu hodil odhlašovací soubor s názvem Odhlásit ze serveru.bat s obsahem:
shutdown /l (l jako lebeda)
aby mi nebrousili zbytečně po tlačítku Start.
Funguje to, zatím.
(zajímavé, že takovéhle bat soubory jsem psal už před 30 lety na DOSu 3.1, a ono to pořád funguje
, DOS je asi nesmrtelný)