GPO Archive

2

XenApp_Gpupdate v1.1

Mise à jour de XenApp_Gpupdate (ver 1.1).

  • Ajout de la possibilité d’afficher la liste complète des serveurs membres de la ferme (via le bouton « Servers »)
  • Ajout de la possibilité de rechercher un serveur spécifique (via la coche « Search server »)
  • Retour du statut de la commande Gpupdate /force (indique si le process a bien été lancé sur le serveur et si ce dernier est bien fermé.), avec la durée d’exécution (duration) par serveur
  • Correction de bugs mineurs

 

XenApp_GpUpdate_V1.1


Download_2XenApp_Gpupdate.rar

 

Le billet original  sur XenApp_GpUpdate ici.

2

XenApp_Usr : mise à jour 1.4

XenApp_Check passe en 1.4, la liste des ajouts et corrections sont ci-dessous :

  • Rajout du refresh des sessions lors d’un logoff
  • La progressBar change de couleur en fonction de la charge du serveur hébergeant la session (vert de 0 à 5999, orange de 6000 à 8499 et rouge à partir de 8500)
  • Le champ username accepte la validation via la touche Entrée (Enter)
  • Refresh des process lorsqu’un process est tué via le bouton Stop
  • Correction de divers bug mineurs

XenApp_UsrV14

 

Pour télécharger XenaApp_Usr c’est par ici

8

XenApp_Usr : mise à jour 1.3

Dans cette mise à jour, nous avons corrigé quelques bugs mineurs et rajouté les fonctionnalités ci-dessous :

  • Une section « Gpo Applied » qui affiche toutes les Gpos appliquées (avec les Gpos bloquées) sur l’utilisateur et le serveur hébergeant la session (avec un compteur total du nombre de Gpos appliquées)
  • Possibilité d’exporter la Gpo sélectionnée au format HTML (il faut comme pré-requis que le  Module GroupPolicy soit installé sur même le serveur que XenApp_Usr)
  • Possibilité d’exporter toutes informations de la session courante dans un fichier texte

 

XenApp_usr1_3
Nos collègues ont bien apprécié la partie Gpos applied 😉

Pour télécharger XenaApp_Usr c’est par ici

0

Forcer une barre de tâche (Pinned Bar) en GPP

Au sein d’un bureau publié sous XenApp 6.5 R03 on nous a demandé de forcer une barre de tâche custom (Word, Excel, PowerPoint et Outlook), plusieurs solutions sont possibles comme un script ou une bonne GPP 😉 (et oui nativement en 2008 R2 on ne peut pas le faire).

 

PinnedBar051La barre de tache souhaitée

Chez notre client actuel le sujet du logon script étant sensible nous sommes donc passés par une GPP.

 

Les étapes sont très simples :

  1. Au sein d’une session, customisez votre barre de tâche (l’idéal est de le faire au sein de votre session et sur un serveur pouvant exécuter un gpmc.msc)
  2. Recopiez les raccourcis de la barre de tâche (%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar) dans un share accessible à tous les utilisateurs (en lecture)
  3. Créez une GPO (Ex : CTX_XA65_Forced_PinnedBar)
  4. Modifiez la GPO précédemment créée, Configuration utilisateur-Préférence-Paramètre Windows-Registre, clique droit sur Registre, Nouveau élément de registre, dans le champ « Chemin d’accès de la clé », allez dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband » puis choisissez Favorites.

    PinnedBar01

 

Toujours dans la GPO allez dans Configuration utilisateur-Préférence-Paramètre Windows-Fichier puis ajoutez les fichiers précédemment copiés dans votre share.

PinnedBar06

 

En l’état nous avons une Barre de tâche avec nos nouvelles icônes et les icônes par défaut (Gestionnaire de Serveur et PowerShell)

Pour supprimer les icônes par défaut nous avons choisi de passer par les permissions NTFS (ok c’est la version dure on vous l’accorde) afin de retirer les droits aux utilisateurs (on ne laisse que les administrateurs), Dans la GPO allez dans Configuration ordinateur-Stratégie-Paramètre Windows-Paramètres de sécurité-Système de fichier, puis ajoutez les trois entrées ci-dessus.

%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\Windows PowerShell\Windows PowerShell.lnk
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Windows PowerShell Modules.lnk

 

PinnedBar03

 

Au passage on vous donne la GPO (il vous faudra juste changer le path des icônes de la barre de tâche) 😉

 

Download_2Force_Pinned_Bar

 

0

Comparaison de GPOs via SCM

Recensement et par pur hasard nous sommes tombés sur une feature de SCM (Security Compliance Manager) permettant de comparer deux GPOs  (dans notre cas il s’agissait de comparer une GPO XenApp de Prod avec son pendant en Qualification)

En effet il est possible de comparer facilement deux GPOs via SCM , la seule contrainte est le fait qu’il faille backuper au préalable les GPOs à comparer.
L’installation de SCM est une suite de Next, Next, Next (juste besoin d’un base SQL, cependant sqlexpress est fourni dans le package).

SCM est disponible ici (en 3.0).

Première étape : sauvegarder les deux GPOs qui seront comparées.

SCM_01Cliquez sur GPO Backup (folder)

SCM_02Choisissez la GPO à comparer

SCM_03Cliquez sur Ok

SCM_04Cliquez sur OK

SCM_05La première GPO à comparer apparaît dans la Custom Baselines
Répéter les opérations d’import pour la seconde GPO à comparer

SCM_07Sélectionnez une des GPO importée (dans Custom BAselines-GPO Import) puis cliquez sur Compare/Merge (dans Baseline)

 SCM_08Sélectionnez la deuxième GPO à comparer
Cliquez sur le bouton OK

SCM_09Enjoy 😉

Un point négatif est que SCM ne fonctionne pas avec les GPP et bug avec des settings de type wirelless, nous sommes en train de voir avec MS si une évolution/Correction est prévue.

D’autres outils permettant de comparer deux GPos (liste non exaustive 😉 ) : 
GPO Compare,
AGPM
GPOADmin (Quest)

0

Créer une alerte sur les GPO Citrix modifiées.


Dans les infras où la délégation est « forte » (dans le cas présent les GPOs),  il est important (pour ne pas dire obligatoire) de mettre en place des alertes permettant d’informer les administrateurs qu’une ou plusieurs GPOs ont été modifiée(s).  L’un des avantages de ce type d’alerte est de permettre à l’ensemble des admins  d’avoir le même niveau de connaissance sur les  modifications apportées aux GPO.

dontTouchEn amont on pourrait aussi mettre ça, histoire que tout le monde ait le même niveau de connaissance 🙂

En PowerShell la cmdlet GET-GPO avec son attribut ModificationTime associé à un filtre sur le DisplayName (Ctx dans notre cas) permet de filtré facilement les GPOs  venant d’être modifiées,  le résultat étant envoyé par mail en html.

GPOs_Modified
Le script remonte toute les GPOs dont le DisplayName contient la chaîne « Ctx » et qui ont été modifier durant les trois dernières heures.
A l’ancienne en tache planifiée ça fera l’affaire 😉  .

 

Download_2Check_Gpo_Modified.ps1

0

Configurer l’url du PNA en GPO

Si vous souhaitez configurer l’url de vos PNA via GPO vous trouverez ci-dessous deux adm (32 bits et 64 bits) permettant de le faire (les adm étaient déjà dispo chez http://seetricks.blogspot.com/,nous avons juste un peu custom ces derniers).

ADM pour OS 32 Bits

CLASS MACHINE
CATEGORY « Citrix Components »
POLICY « Configuration URL PNA »
KEYNAME « SOFTWARE\Citrix\PNAgent »
EXPLAIN « Configuration de l’url PNA/Citrix Online Plug-in (exemple  : http://Serveur/PnAgent/config.xml) »
PART « PNA_URL » EDITTEXT REQUIRED
VALUENAME « ServerURL »
DEFAULT « http://Serveur/PnAgent/config.xml »
END PART
END POLICY
END CATEGORY;

 

ADM pour OS 64 Bits

CLASS MACHINE
CATEGORY « Citrix Components »
POLICY « Configuration URL PNA »
KEYNAME « SOFTWARE\Wow6432Node\Citrix\PNAgent »
EXPLAIN « Configuration de l’url PNA/Citrix Online Plug-in (exemple : http://Serveur/PnAgent/config.xml) »
PART « PNA_URL » EDITTEXT REQUIRED
VALUENAME « ServerURL »
DEFAULT « http://Serveur/PnAgent/config.xml »
END PART
END POLICY
END CATEGORY;

 

 

Voir aussi la CTX112674 sur le sujet « configurer l’url du PNA ».

Pour ceux qui sont en AD 2008, alors direction les GPO de préférence 😉 .
Si vous souhaitez appliquer vos GPO de préférence sur des serveurs 2003, alors il vous faudra installer la KB943729 afin que les gpo de préférence soient bien appliquées.

 

Tags: , ,
0

Lenteur ouverture de session sous UPM

Si vous constatez des lenteurs d’ouverture de session (sous UPM) de vos utilisateurs,  vérifiez la taille du dossier \UPM_Profile\LocalSettings_upm_var\TemporaryInternetFiles_upm_var\.

En effet si ce dossier ne fait pas partie de la liste des exclusions sous UPM, alors il sera synchronisé, entraînant (en fonction de sa taille) des lenteurs d’ouverture de session.

La CTX124015 traite le problème de slow logon sous UPM.

Dans un premier temps nous avons activé les logs sous UPM (allez dans votre GPO, dans Configuration Utilisateur ou Configuration Ordinateur (selon votre stratégie)-Modèle d’administration-Citrix-Profile Management-Paramètre de journal puis activez la journalisation et Paramètre de journal).

Le fichier de log est disponible sur votre serveur dans C:\WINDOWS\system32\LogFiles\UserProfileManager\UserProfileManager.log (pour info nativement ce fichier de logs UPM est présent mais ne contient que les informations de base d’UPM).

Exemple de log avec un dossier Temporary Internet Files synchronisé.

Afin d’exclure les fichiers temporaires internet, allez dans votre GPO UPM, Configuration Utilisateur ou Configuration Ordinateur (selon votre stratégie)-Modèle d’administration-Citrix-Profile Management-Système de fichiers-Liste d’exclusion – répertoires, puis ajoutez « Local Settings ».

Reste à appliquer un GPUPDATE sur votre/vos serveur(s), puis de supprimer le contenu du répertoire Temporary Internet Files du magasin utilisateur (exemple : \\Votreserveur\VotreShare\VotreUser\UPM_Profile\LocalSettings_upm_var\TemporaryInternet
Files_upm_var).

Tags: ,
2

Interdire le mappage d’imprimante(s) uniquement sur le listener RDP via GPO

Si vous ne comprenez pas pourquoi sur vos serveurs XenApp la liste des pilotes d’impression augmente, cela peut venir du fait que un/des administrateur( s) se connecte en RDP sur vos serveurs XenApp en remappant leurs imprimantes.

Si vous souhaitez interdire le mappage des imprimantes en RDP (tout en laissant actif le mappage d’imprimante en ICA),  il faut pour cela désactivez le mappage des imprimantes Windows via la commande TSCC.msc, sur le listener RDP.

En fichier attaché à ce billet un  .Adm qui vous permettra via GPO de désactivez le mappage des imprimantes Windows uniquement sur le listener RDP.

Un fois l’Adm ajouté dans votre GPO :

  • Allez dans Configuration ordinateur – Modèle d’administration
  • Faite un clique droit, affichage-filtrage et décochez « Afficher uniquement les paramètres………. »
  • Cliquez sur Ok
  • Allez dans No Printers only RDP
  • Cliquez sur activé
  • Dans le champ No Printers only RDP mettre la valeur 1
  • Cliquez sur Ok et faite un GPUPDATE /FORCE sur les serveurs concernés

Download_2

0

Forcer le domaine par GPO

Par défaut en GPO nous ne pouvons pas forcer un nom de domaine.

Il peut arriver qu’un admin se connecte en mode console et en local (ou un autre domaine) sur un serveur et qu’il oublie qu’il était en mode console.

L’incidence est que vos users tomberont sur la gina.dll, pour peu que dans leurs crédentials ne soient pas forcés avec le nom de domaine.

La clé permettant de forcer un domaine : « DefaultDomainName » se  trouve dans « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ».

Bien que cela puise être scripté, ,le mieux est de mettre ce paramètre en GPO.

Vous trouverez en pièce jointe à ce billet, un adm permettant de forcer votre domaine sur vos serveurs.

Tags: , , ,