Servidor de aplicaciones TS y GP

la GPO no debe ser la local si estás en un dominio, si no que deberías tener
el server de TS en una OU dedicada para él, y sobre esa OU configurar todas
las restricciones necesarias por GPO que consideres.

A parte, en esa GPO activa el Loopback Processing:

Loopback Processing of Group Policy

http://support.microsoft.com/defaul...ct=win2000



How to Apply Group Policy Objects to Terminal Services Servers

http://support.microsoft.com/defaul...-US;260370


Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Sergio G." escribió en el mensaje
news:%

Hola,

resulta que estoy montando un servidor w2003 con rol de terminal services.

Y quiero publicar tanto una aplicacion corporativa como herramientas
ofimaticas,

pero bueno, el tema es que quiero dejar el TS como una patena de tal modo
que los
terminal users solo puedan abrir dichas aplicaciones y operar con archivos
situados en unidades de red. Es decir, que no puedan hacer nada mas, ni
menu inicio (bueno solo para desconectar sesion ;D) , ni modificar
escritorio, etc etc.

entonces , primero pense modificar la GP del equipo local (gpedit.msc)
pero el tema que tambien me la aplicaba a administradores (y estos quiero
si puedan funcionar normal). Igual hay alguna manera de que no se aplique
a administradores?????????
esa seria una solucion supongo.

Y despues pense crear una UO, meter dentro ese servidor, y crearle una GPO
(mediante GPMC), quitarle herencia, forzarle, bueno, aqui ando un poco mas
pez, el caso es que no hacia na!


Bueno, seguro este tema tiene una resolucion ya mas que conocida, perdon
por mi ignorancia.

y gracias de antemano.

Muchas Gracias, lo estudio ...


"Javier Inglés [MS MVP]" escribió en el mensaje
news:

la GPO no debe ser la local si estás en un dominio, si no que deberías
tener el server de TS en una OU dedicada para él, y sobre esa OU
configurar todas las restricciones necesarias por GPO que consideres.

A parte, en esa GPO activa el Loopback Processing:

Loopback Processing of Group Policy

http://support.microsoft.com/defaul...ct=win2000



How to Apply Group Policy Objects to Terminal Services Servers

http://support.microsoft.com/defaul...-US;260370


Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Sergio G." escribió en el mensaje
news:%

Hola,

resulta que estoy montando un servidor w2003 con rol de terminal
services.

Y quiero publicar tanto una aplicacion corporativa como herramientas
ofimaticas,

pero bueno, el tema es que quiero dejar el TS como una patena de tal modo
que los
terminal users solo puedan abrir dichas aplicaciones y operar con
archivos situados en unidades de red. Es decir, que no puedan hacer nada
mas, ni menu inicio (bueno solo para desconectar sesion ;D) , ni
modificar escritorio, etc etc.

entonces , primero pense modificar la GP del equipo local (gpedit.msc)
pero el tema que tambien me la aplicaba a administradores (y estos quiero
si puedan funcionar normal). Igual hay alguna manera de que no se aplique
a administradores?????????
esa seria una solucion supongo.

Y despues pense crear una UO, meter dentro ese servidor, y crearle una
GPO (mediante GPMC), quitarle herencia, forzarle, bueno, aqui ando un
poco mas pez, el caso es que no hacia na!


Bueno, seguro este tema tiene una resolucion ya mas que conocida, perdon
por mi ignorancia.

y gracias de antemano.

Estimado Sergio,

me he econtrado en la misma situación y, aunque quizás no sea la forma más
correcta de resolverlo, yo he aplicado los siguientes cambios:

He creado unos perfiles de usuario por departamentos (aunque finalmente he
creado un perfil por usuario), pero, perfiles obligatorios.

Un perfil obligatorio se diferencia del perfil normal en que el usuario no
puede modificar ninguno de los parámetros asociados al escritorio como:

- Iconos, impresoras, fondo de pantalla, etc...

Poder, puede modificarlo, pero cualquier cambio realizado en la sesión se
elimina automáticamente al cerrar dicha sesión.

La utilización es muy sencilla, se crea un perfil movil al que, una vez
configurado, se renombra el archivo NTUSER.DAT a NTUSER.MAN y listo.

Además, en mi caso he tenido que crear un perfil por usuario. El motivo ha
sido las graciosas impresoras "Impresora tal creada por la sesión de usuario"
es decir, las impresoras que crea el cliente en el servidor cuando está
activada la casilla de "Conectar las impresoras de usuario" en el cliente de
escritorio remoto. Me aparecían muchos problemas relacionados con esto.

Esto lo he solucionado añadiendo todas las impresoras del dominio al
servidor, asignando a cada usuario en su perfil obligatorio su impresora
predeterminada (así como las que puede usar) y desactivando la casilla de
"Conectar impresoras del usuario".

Esto lo he complementado con la política de seguridad de TS, eliminando
opciones como apagar, ejecutar, etc

Después de estudiar muchas opciones, (y aunque me recomendaron no
implementar esta solución) el funcionamiento del servidor de TS ha mejorado
considerablemente.

Espero que te sirva de ayuda y no levantar carcajadas al comentar mi
solución tipo "Matar moscas a cañonazos".

Un saludo.
"Sergio G." wrote:

Muchas Gracias, lo estudio ...


"Javier Inglés [MS MVP]" escribió en el mensaje
news:
> la GPO no debe ser la local si estás en un dominio, si no que deberías
> tener el server de TS en una OU dedicada para él, y sobre esa OU
> configurar todas las restricciones necesarias por GPO que consideres.
>
> A parte, en esa GPO activa el Loopback Processing:
>
> Loopback Processing of Group Policy
>
> http://support.microsoft.com/defaul...ct=win2000
>
>
>
> How to Apply Group Policy Objects to Terminal Services Servers
>
> http://support.microsoft.com/defaul...-US;260370
>
>
> Salu2!!
> Javier Inglés
> https://mvp.support.microsoft.com/p...B5567431B0
> MS MVP, Windows Server-Directory Services
>
>
>
> "Sergio G." escribió en el mensaje
> news:%
>> Hola,
>>
>> resulta que estoy montando un servidor w2003 con rol de terminal
>> services.
>>
>> Y quiero publicar tanto una aplicacion corporativa como herramientas
>> ofimaticas,
>>
>> pero bueno, el tema es que quiero dejar el TS como una patena de tal modo
>> que los
>> terminal users solo puedan abrir dichas aplicaciones y operar con
>> archivos situados en unidades de red. Es decir, que no puedan hacer nada
>> mas, ni menu inicio (bueno solo para desconectar sesion ;D) , ni
>> modificar escritorio, etc etc.
>>
>> entonces , primero pense modificar la GP del equipo local (gpedit.msc)
>> pero el tema que tambien me la aplicaba a administradores (y estos quiero
>> si puedan funcionar normal). Igual hay alguna manera de que no se aplique
>> a administradores?????????
>> esa seria una solucion supongo.
>>
>> Y despues pense crear una UO, meter dentro ese servidor, y crearle una
>> GPO (mediante GPMC), quitarle herencia, forzarle, bueno, aqui ando un
>> poco mas pez, el caso es que no hacia na!
>>
>>
>> Bueno, seguro este tema tiene una resolucion ya mas que conocida, perdon
>> por mi ignorancia.
>>
>> y gracias de antemano.
>>
>>
>>
>
>