Application Layering und Domänen-Zugriff

Immer wieder kommt es bei Application Layering zu Problemen mit dem Domänen-Zugriff. Ein Domänen-Mitglied meldet sich zwar im Nachgang an, aber für jegliche Administration kann nur ein lokales Admin-Konto verwendet werden. 

 

Was läuft da schief?

Bekannt ist, dass der Domänen-Betritt im Plattform-Layer zu geschehen hat. Weniger Beachtung findet dass die lokale Windows SAM dabei nicht im Layer landet. Dies bedeutet, dass ein Domänen-Betritt zwar erfolgt bei der Veröffentlichung aber Domänen-Benutzer nicht in der lokalen Benutzer-Gruppe und Domänen-Admins nicht in der lokalen Administratoren-Gruppe zu finden sind. 

 

Die Lösung des ganzen ist es eine Gruppenrichtlinie zu erstellen für die veröffentlichten Maschinen. Unter Computerkonfiguration, Einstellungen, Systemsteuerungseinstellungen, Lokale Benutzer und Gruppe sollten hier folgende Update-Richtlinien erstellt werden: 

  • Die Domänen Administratoren sollten Mitglied der lokalen Administratoren-Gruppe werden.
  • Die Domänen Benutzer sollten Mitglied der lokalen Benutzer-Gruppe werden.
  • Die NT Service\CitrixTelemetryService sollten Mitglied der Leistungsprotokollbenutzer werden.
  • Die NT Service\BrokerAgent sollten Mitglied der Leistungsüberwachungsbenutzer werden.

 

Beim Start der Maschine wird die Gruppenrichtlinie angewendet und die SAM entsprechend angepasst bei einem Domänen-Computer. Damit ist ein Zugriff wieder wie gewohnt möglich.