Me voici avec une petite question bien sadique.
 
Je gère une batterie de serveurs Citrix Metaframe XP FR3, sous Windows 2003 Server. Les habitués des plateformes Citrix connaissent déjà les problèmes habituels du au clic droit/Explorer qui fait apparaître le bureau du serveur depuis une application publiée. Jusque là, pas de problème, j'ai réussi à arranger.
 
Par contre, ces petits malins d'utilisateurs trouvent le moyen d'utiliser la commande Exécuter du gestionnaire des tâches pour lancer le programme explorer.exe afin d'accéder au bureau
 
J'ai bien sûr repéré la stratégie AD qui permet de désactiver cette commande, mais elle s'applique sur les utilisateurs sans distinction de machines. Ca va donc s'appliquer également en local sur les postes de travail, ce que je ne veux pas. Je souhaite que la stratégie ne s'applique QUE sur mes serveurs Citrix, et bien entendu pour les groupes d'utilisateurs désignés. Inutile de dire que si elle s'applique aussi aux administrateurs, je serai un peu emmerdé
 
Autre solution à laquelle je pensais, il y a peut-être une clé qui peut être inscrite dans la base de registre afin d'appliquer une fonction équivalent dans le profil de l'utilisateur. Bien entendu, si une telle clé existe, le problème est que je ne la connais.
 
Alors ? quelqu'un a-t-il une super idée ? thanks...

Tu as pensé à utiliser le "mode de traitement par boucle de rappel" ? Celà permet d'appliquer la stratégie uniquement sur les servers contenus dans une OU...

A tes souhaits
Euh je connais pas, ça...c'est quoi donc ? T'as des infos ou un petit lien là-dessus ?

C'est bon je crois que je trouve des pages.... je reviens...

Dans les GPO ->
 
Config de l'ordinateur ->
        Modèles d'administration ->
                              Système ->
                                  Stratégie de groupe ->
Mode de traitement par boucle de rappel[...]
 
Vérifie dans sur l'onglet "expliquer" de la stratégie, c'est bien...euh..expliqué    
 
 
 
 
 

je m'etais pas encore penché sur ces boucles de rappel, ca a l'air vraiment sympa.
reste a voir la mise en oeuvre.
 
je flag

Ah oui, c'est du très bon ça
 
Je viens de tester et ça fonctionne impeccable. Pour la mise en oeuvre, voici comment j'ai procédé, ça servira à d'autres personnes. J'ai par exemple deux OU :
 
METAFRAME
UTILISATEURS
 
Dans METAFRAME, j'ai tous les mes serveurs, sur lesquels s'appliquent déjà différentes stratégies machines.
Dans UTILISATEURS, eh bien...j'ai mes utilisateurs. De même, j'ai quelques stratégies utilisateurs qui s'y appliquent, principalement de la connexion de lecteurs réseaux.
 
Sur l'OU METAFRAME, je crée une stratégie machine pour activer le mode de traitement par boucle (cf réponse de chris-of-paris ci-dessus). Dans mon cas, je l'ai mis en mode "Fusionner".
Toujours sur la même OU, je crée une stratégie utilisateur permettant de désactiver la commande Exécuter.
 
Pour le coup, j'ai rebooté un serveur pour être sûr que tout ça s'applique rapidement...je vous rassure ce serveur n'est pas encore en production
 
Je me connecte dessus et hooooooo...magique...plus de commande Exécuter sur le dit serveur
 
Je vais enfin pouvoir bloquer un maximum de choses sur ces serveurs

J'ai le même problème (faire un bureau distant complètement bridé), mais sous AD 2000, y'a pas la fonction "mode de traitement par boucle de rappel" non ?
 
Suis pas au taff, alors j'peux pas vérifier  

Si, tu dois l'avoir. Mes serveurs Metaframe sont sous Win2003, mais le controleur de domaine est un AD Win2000.

 
j'vérifierais lundi... j'avais essayé de faire "refuser" pour l'application de la stratégie sur un groupe d'ordinateur, mais ca refuse uniquement la configuration ordinateur, la config utilisateur passe... et l'utilisateur retrouve la config bridée sur son poste...  plus de panneau de config, de lecteurs a: à f:, de clic droit...  
 
edit : en tout cas merci du tuyau  

Attention, ça suppose que tes utilisateurs sont dans une autre OU !!! De plus, tes stratégies utilisateurs "spécifiques", il faut que tu les mettes sur l'OU des machines, pas sur l'OU de tes utilisateurs...sinon forcément ...

juste un mot pour confirmer que la strategie existe sous 2000

actuellement, les serveurs sont dans une OU "Citrix", les utilisateurs dans une OU générale "Résidences".
 
Certains postes sont sur le domaine, d'autres en workgroup... certains utilisateurs ouvrent donc préalablement une session sur un poste du domaine.
 
A la création de compte, on mets l'utilisateur dans l'OU citrix ou s'appliquent les restrictions utilisateurs, on fait les réglages de la session ICA (outlook pour le compte mail), on ferme la session ICA et on verrouille le profil utilisateur TSE en renommant le ntuser.dat en ntuser.man . Enfin on remet l'utilisateur dans son OU d'origine.
 
Donc vraiment pas pratique du tout du tout... et l'utilisateur ne peut rien changer dans outlook ou certains programmes (disposition des fenetres, signature des mails, etc) et dire que c'est un mcse qui nous a pondu çà  
 
J'viens de regarder dans gpedit.msc et c'est bien dans 2k    
 
Par contre tu a utilisé "fusionner" ou "remplacer" ?

Ca correspond tout à fait à notre architecture. Voici mon conseil :
 
Dans ton OU Citrix, tu ne mets que tes serveurs Citrix.
Dans ton OU Résidences, tu mets tes utilisateurs
 
Ensuite, sur l'OU Résidences, tu mets les stratégies utilisateur qui doivent s'appliquer n'importe où (dans ou hors Citrix).
Sur l'OU Citrix, tu mets tes GPO machines ainsi que la stratégie dont on a parlé précédemment. Sur cette OU, tu mets également tes stratégies utilisateurs qui ne s'appliqueront alors aux utilisateurs que lorsqu'ils seront sur les serveurs Citrix...
 
Pour le choix du type d'application, j'ai mis Fusionner : ainsi toutes les GPO utilisateurs s'appliquent et se mélangent, qu'elles soient sur mon OU Utilisateurs ou sur mon OU Metaframe.

bonsoir,
 
Je possède une architecture similaire pour mon client. Tous nos serveurs Citrix sont dans une meme OU. Sur cette OU est appliquée une GPO avec activation de la boucle de Rappel; j'ai pris l'option "REMPLACER"; Dans cette GPO, j'ai implémenté l'option permettant d'interdir l'utilisation de "Explorer.exe" car mes users ont rapidement trouvé la méthode pour prendre en PMAD les serveurs....))
Au niveau des sécurités sur cette GPO, je la refuse aux Administrateurs afin que les administrateurs ne soient pas génés pour l'administration et la maintenance système.
Par contre ma GPO sur les serveurs Citrix est assez lourde (Sécurité oblige) et je trouve que le tps d'ouverture de session pour une application publiée est relativement long    
 
Cdt,
 
Noisetta.
 
 
 
 

 
En gros si je pige bien, dès qu'un user s'authentifiera sur un serveur citrix il appliquera la stratégie ordi de l'OU "Citrix", puis :
 
-La stratégie utilisateur de l'OU "Résidence" fusionnée avec la stratégie utilisateur de l'OU "Citrix".
 
--OU--
 
-La stratégie utilisateur de l'OU "Résidence" remplacée par la stratégie utilisateur de l'OU "Citrix". (en gros que cette dernière donc!)
 
Moi ce serait donc (tjrs si j'ai bien saisi) le réglage "remplacer" que j'utiliserai, je veux un truc complètement spécifique sur le serveur, n'ayant aucun lien avec le poste client    
 
J'ai hate de mettre ca en oeuvre lundi  

 
Perso avec une ferme anciennement en TSE NT4 et XPa SP1, puis basculée sur du 2000 SP4 et citrix XPa SP3, on avait des ouvertures de sessions interminables (en gros 10-20% des users bloqués sur le fond d'écran,que ce soit en appli publiée ou bureau). Après des analyses de dumps des 4 process par citrix, de mises en oeuvre de tas de patch MS, un patch citrix... on est repassé sur un nouvelle ferme avec des serveurs en 2000 SP3 et citrix XPa SP3... et là plus de blocage    
 
Du coup on sait pas si çà vient du SP4 de 2000, on ne pouvait pas le désinstaller, ou d'avoir récupéré une ancienne ferme nt4 locale puis basculé sur un serveur SQL...
 
Enfin bon si les ouvertures de sessions sont longue, mais se font, c'est pas dramatique, enfin tout est relatif  

C'est le SP4 de 2000 qui fout la brouille ... j'ai X clients qui m'ont appelé durant la semaine de sortie du SP4

 
citrix sous le sp4 c'est proscrit alors ?

J'ai effectivement entendu des gens parler de problèmes sous Win2000 SP4. De mon côté, nous avons plusieurs plateformes Citrix Metaframe, que ce soit chez nous ou chez nos clients, le tout sous Win2000 SP4, et on n'a jamais rencontré de problèmes particuliers.

je crois que pour des problèmes de lenteur extreme suite au SP4 microsoft et citrix on sorti des patchs correctifs.
avec les derniers patch plus de lenteurs.
 
mais j'ai aps encore teste, on passe nos citrix en SP4 cette été

 
on avait passé un patch citrix + quelques patch microsoft mais rien n'y a fait  

 
Petit up
 
Comment tu as fait ça ?