Remoteapp список разрешенных программ

Итак всем привет и хорошего дня, сегодня я покажу на практике, как сделать следующее:

Задача: на терминальном сервере активировать службу RemoteAPP и опубликовать приложение клиента 1С на подключение к развернутому кластеру 1C.

На сервер установлен гипервизор ESXi, а уже внутри него под каждую задачу развернуты виртуальные системы:

• Имеется доменnemdomb.local
• Имеется развернутый терминальный сервер
• Имеется сервер базы данных и кластер1с (все на одной машине, то лучше разделять по отдельным системам
• и отдельная рабочая станция.

Но пока как заготовка, терминальный сервер я разверну на сервере базы данных и кластере 1С (все на одной машине).

На терминальном сервере рекомендую пользовательский профили вынести на отдельный диск вместо системного:

Для чего нужен RemoteAPP – это технология расширения функционала терминального сервера посредством которой можно вместо того, чтоб каждому пользователю настраивать удаленное подключение где он будет работать с приложениями (Почта, 1С, печать и другими) сделать так чтобы у него на компьютере был вынесен ярлык через который запускается удаленная сессия с запуском опубликованного приложения.

Remote App 1C настройка RDP

К примеру: у меня сейчас два офиса, в одном (он же главный) располагается кластер 1с + база и терминальный сервер и вместо того, чтобы пользователи через удаленный рабочий стол заходили на терминальный сервер из другого офиса (это каждому нужно настраивать профиль: вывести ярлыки программ, организовать печать, обеспечить интернетом (а по соображениями безопасности я этого сделать не могу, просто так надо) у них на своих рабочих компьютерах настроен ярлык на запуск только опубликованного приложения. В рамках этой заметки я покажу на практике как это выглядит.

Создаю приложение которое будет опубликовано с использованием RemoteAPP на терминальном сервере:

Start – Control Panel – Administrative Tools – Server Manager – Roles – Remote Desktop Services – RemoteApp Manager (srv-host.nemdomb.local) – запускаю мастер: Add RemoteApp Programs, нажимаю Next, следующим шагом показывается какие текущие установленные приложения на терминальном сервере могут выступить в роли опубликованных через RemoteAPP, выбираю самое первое 1С Предприятие через нажатием на кнопку Properties можно:

• переименовать добавляемое приложение
• Изменить путь запуска до исполняемого файла
• Изменить алиас
• Настроить запуск клиента 1С с опциями запуска (к примеру подключение к опеределенной базе под определенным пользователем и паролем: /ENTERPRISE /S “1cclusterbase” /N “test” /P “test” — Здесь подключение к кластеру с именем 1ccluster, base – название базы, testtest – пользователь и пароль в этой базе)

Я же в рамках этой заметки не буду настраивать ничего в свойствах, а просто выбираю приложение: —

Настройка доступа к 1С 8 3 через RemoteApp. Windows Server 2016

Нажимаю на кнопку Next и перехожу к этапу мастера где отображается результирующая информация по настройкам публикуемого приложения, если все правильно и ничего не нужно изменять нажимаю Finish

Следующим шагом нужно экспортировать RemoteAPP созданное приложение с целью распространить на компьютеры пользователям которые будут с ним работать , делает это так, выделяется приложение и через правый клик на нем вызываются свойства.

Следующим шагом также выводится результирующая информация – если все хорошо то нажимаем кнопку Finish и откроется explorer местонахождения экспортированного файла опубликованного приложения 1С, если открыть свойства данного rdp файла, то можно обнаружить что в настройки подключения к терминальному сервере уже автоматически подставляются аутентификационные данные текущей сессии на компьютере:

Теперь копирую данный файл: 1cv8s.rdp на рабочую станцию с которой пользователь alektest будет взаимодействовать клиентом 1С Предприятие.

На заметку: чтобы передать файл простым копирование через проводник:

\w7x86с$ на рабочей станции в настройках брандмауера должны быть включены входящие правила:

• Общий доступ к файлам и принтерам (входящий трафик SMB ) – Профиль (Домен).
• Общий доступ к файлам и принтерам (эхо-запрос – входящий трафик ICMPv4) – Профиль (Домен)

На заметку: пользователи которые задействуют RemoteAPP приложения на терминальном сервере должны быть в группе Remote Desktop Users

Запускаю на рабочей станции Windows 7 (W7X86) переданный файл предварительно авторизовавшись в системе под учетной записью alektest

На следующем шаге ввожу пароль на авторизацию на терминальном сервере: (Практичнее будет использовать SSO, т.е. авторизация на терминальном сервере с использование доменной учетной записи, а на терминальном сервере в группу “Пользователи удаленного рабочего стола” (Remote Desktop Users) добавить группу “Пользователи домена”).

На заметку: если задействовать SSO то вводить ничего не придется, будет задействована доменная аутентификация без какого либо ввода пароля.

Ожидаю… Идет подключение к приложению

Видите, раз в приложении когда я его подготавливал для RemoteAPP я не указал базу и сервер, то первый раз когда пользователь подключается у него запускается информационное окно, что список информационных баз пуст и нужно настроить:

Нажимаю “Да” — после выбираю: “Добавление в список существующей информационной базы” —

• Укажите наименование информационной базы: zup
• Выберите тип расположения информационной базы: На сервере 1С:Предприятия

Затем на следующем шаге указываю параметры информационной базы:

• Кластер серверов 1С:Предприятия:10.7.8.63
• Имя информационной базы в кластере: zup

Затем на следующем шаге все выбранное мастеров оставляю по дефолту

На этом установка клиента 1С на подключение завершена.

В итоге будет так:

Подключаюсь к данной базе zup нажатием на 1С:Предприятие и происходит подключение к базе путем ввода логина и пароля выданного Администратором 1С (хотя может и Вы можете совмещать две должности вместе: системный администратор + администратор 1С).

И вот вы внутри:

Работа с клиентом 1С на рабочем столе ничем особым не отличается если бы пользователь работал на терминальном сервере, те же самые окна, чтобы распечатать документы задействуется технология EasyPrint когда принтер с рабочей станции пробросится на терминальный сервер, и пользователь выбрав документ – печать также увидит и выбрав его распечатает.

Ниже скриншот демонстрирует, открытое окно клиента 1С и “Диспетчер задач” во вкладке “Процессы” которого присутствует подключение к терминальному серверу через (mstsc.exe).

Чтобы задейстовать технологию EasyPrint и не ставить драйвера на терминальный сервер к рабочим станциям в домене предъявляются следующие требования:

Версия RDP клиента должна быть 6.1 или выше, посмотреть c:windowssystem32mstsc.exe открыть свойства и посмотреть версию
Либо через командную строку
C:Usersaollo>wmic datafile where name=’c:\windows\system32\mstsc.exe’ get version
Version
6.1.7601.17514

Должен быть установлен .NET Framework 3.5 и выше, посмотреть что установлено в системе, так.: Открыть командную строку (c правами Администратора) и набрать следующую команду:
wmic product where «name like ‘Microsoft .NET Framework%'» get name,version

На заметку: когда пользователь закрывает 1С нажатием на крестик (или Файл — Выход), то его сессия на терминальном сервере не закрывается, а все еще находится в состоянии подключения

он может снова подключиться, но теперь введя пароль не забыть поставить галочку “Запомнить учетные данные” чтобы больше не видеть данное окно.

Если же по каким бы то ни было причинам, пароль был введен и сохранен, а в последствии пользователь его изменил (обычно по централизованной политике раз в 3 месяца), то он не сможет подключиться, т.к. пароль запомнен изменить его можно вот так:

На рабочей станции пользователя: Windows 7 – Пуск – Панель управления – Диспетчер учетных записей, находим сохраненное подключение

Нажимаем “Изменить” — и меняем пароль поле которого выделено на представленном скриншоте ниже:

Согласитесь, не хорошо, что когда клиент 1с закрыт, сессия на терминальном сервере все еще висит, в таком случае на терминальном сервере настраиваются промежутки ограничения простоя и неактивности терминального соединения:

Если сессия не активно в течении одного дня – она завершается, если в статусе Disconnected то через 15 минут она закрывается.

Если же экспортировать приложение RemoteAPP не в rdp файл, а в msi пакет, то

• либо также передаем через проводник данный файл
• либо через подготавливаем групповую политику:

GPO_RemoteAPP — Configuration — Policies — Software Settings — Software Installation — и путь в расшаренной папке до msi пакета RemoteAPP

После перезагрузки рабочей станции на рабочем столе пользователя будет ярлык 1С

Если ранее уже через rdp файл было настроено подключение к базе, то когда через GPO произвели установку msi пакета настройки подключения в клиенте 1С уже присутствуют:

У меня было что политика применилась к компьютеру, но msi все равно не устанавливалась, в логах на компьютере Windows 7 были следующие ошибки:

• Event ID: 303 → Удаление назначения приложения 1C Предприятие из политики GPO_RemoteAPP выполнено успешно.
• Event ID: 108 → Не удалось применить изменения для параметров установки приложения. Невозможно выполнить изменения для этого программного обеспечения. Должны существовать предшествующие записи в журнале, содержащие необходимые сведения. Ошибка: %%1612
• Event ID: 1085 → Windows не удалось применить параметры «Software Installation«. Параметры «Software Installation» могут иметь свой собственный файл журнала. Щелкните ссылку «Дополнительные сведения«.

Проблема была в месте откуда в момент создать групповой политики я указывал месторасположением msi файла, у компьютера не было прав доступа в данный каталог. Права на каталог месторасположения msi файла должны быть, чтобы у группы “Прошедшие проверку” были права на чтение (Чтение и выполнение, Список содержимого папки, Чтение) и только тогда msi успешно отработает.

В итоге данная заметка шпаргалка готова и подлежит публикации на моем блоге практических заметок. Всего того, что пригодится в течении рабочего дня и самостоятельного изучения, повышения свой квалификации. Итого подведу итог практических действий:

• Развернут терминальный сервер
• Профиля будущих пользователей вынесены на отдельный логический диск.
• Посредством компоненты RemoteAPP и установленного ПО на сервере собранные пакеты задействующие технологию RemoteAPP для использования ПО, как будто оно установлена на рабочих местах пользователей, а все на самом деле не так, они работают в терминале. Таким образом достигается меньшая нагрузка на сеть.
• Чтобы запускать на рабочих станциях опубликованное приложение RemoteAPP, можно раз ввести аутентификационные данные на подключение к терминальному сервере или задействовать SSO.
• Также посредством GPO можно msi файл опубликованного приложения установить всем тем сотрудникам которые работают в программе 1С.
• На терминальном сервере можно централизованно по каждому профилю раскидать файл конфигурации на подключение к кластеру 1С и соответствующей базе. Об этом будет одна из следующих заметок.

Ну а пока я прощаюсь, я и так довольно много всего рассмотрел и не зачем еще более увеличивать данную заметку. Лучше много мелких и по теме, чем все сразу. До новых встреч, с уважением автор блога – ekzorchik.

От ekzorchik

Всем хорошего дня, меня зовут Александр. Я под ником — ekzorchik, являюсь автором всех написанных, разобранных заметок. Большинство вещей с которыми мне приходиться разбираться, как на работе, так и дома выложены на моем блоге в виде пошаговых инструкции. По сути блог — это шпаргалка онлайн.

Каждая новая работа где мне случалось работать вносила новые знания и нюансы работы и соответственно я расписываю как сделать/решить ту или иную задачу. Это очень помогает. Когда сам разбираешь задачу, стараешься ее приподнести в виде структурированной заметки чтобы было все наглядно и просто, то процесс усвоения идет в гору.

Источник: www.ekzorchik.ru

Добавление программ в список удаленных приложений RemoteApp

Чтобы сделать программу доступной для пользователей удаленно через Диспетчер удаленных приложений RemoteApp, необходимо добавить ее в список Приложения RemoteApp.

Для выполнения этой процедуры пользователь по меньшей мере должен быть членом локальной группы Администраторы или аналогичной группы на сервере узла сеансов удаленных рабочих столов, который планируется настроить. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .

1. На сервере узла сеансов удаленных рабочих столов откройте диспетчер удаленных приложений RemoteApp. Чтобы открыть диспетчер удаленных приложений RemoteApp, нажмите кнопку Пуск, затем последовательно выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер удаленных приложений RemoteApp.
2. В области Действия щелкните Добавить удаленные приложения RemoteApp.
3. На странице Мастер удаленных приложений (RemoteApp) нажмите кнопку Далее .
4. На странице Выберите программы для добавления в список удаленных приложений RemoteApp установите флажки рядом с теми программами, которые следует добавить в список программы RemoteApp. Можно выбрать несколько программ.
   

   Примечание

   Программы, выбранные на странице Выберите программы для добавления в список удаленных приложений RemoteApp, отображаются в меню Пуск для всех пользователей на сервере Узел сеансов удаленных рабочих столов. Если программы, которую необходимо добавить в Приложения RemoteApp, нет в списке, нажмите кнопку Обзор, а затем укажите расположение EXE-файла программы.

5. Чтобы настроить свойства программа RemoteApp, щелкните правой кнопкой мыши имя программы и выберите пункт Свойства. Можно настроить следующие параметры.
6. Имя программы, которое будет отображаться для пользователей. Чтобы изменить имя, введите новое имя в поле Имя удаленного приложения RemoteApp.

Источник: www.forsenergy.com

Блог did5.ru

Как настроить Terminal Services RemoteApp (удаленные приложения) в Windows 7 Корпоративная? После моей заметки “Как сделать из Windows 7 терминальный сервер?” – это сделать проще простого. Нужно добавить пару ключей в реестр и создать файл для подключения.

1. Правим реестр. Запускаем regedit.exe. И идем в ветку:

HKLMSoftwareMicrosoftWindowsNTCurrentVersionTerminalServerTSAppAllowList

В разделе TSAppAllowList создаем новый подраздел Applications. Далее создаем подразделы для программ, которые должны будут запускаться в качестве RemoteApp. Для каждой программы свой подраздел. Для проверки создадим подраздел с названием Notepad. Переходим в него и создаем два строковых параметра Name и Path.

Для параметра Name задаем значение notepad.exe, а для Path – путь к папке где лежит приложение, в нашем случае – C:Windows. (Путь должен быть к папке на компьютере, который будет выступать в роли терминального сервера с Windows 7).

Добавляем приложения следующим образов. В разделе Applications создаем дополнительные разделы для каждой программы. И в этих разделах создаем два строковых параметра Name и Path.

На последок изменим еще один параметр. Переходим в раздел TSAppAllowList. И выставим значение 1 для параметра fDisableAllowList.

С реестром закончили.

2. Создадим файл для подключения к удаленному рабочему столу

Запускаем утилиту Подключением к удаленному рабочему столу через меню Пуск –> Стандартные, либо Win+R, вводим mstsc, Enter.

В открывшемся окне вводим имя ПК, либо IP адрес компьютера с Windows 7 TS RemoteApp. Жмем Сохранить как… И сохраняем в любом месте.

Откроем полученный файл в Notepad++

В файле меняем значение параметра remoteapplicationmode:i:0 на remoteapplicationmode:i:1. После добавим 3 строчки:

remoteapplicationprogram:s:notepad disableremoteappcapscheck:i:1 alternate shell:s:rdpinit.exe

Сохраняем файл RemoteApp.rdp и запускаем.

При подключении спросит логин и пароль. Нужно чтобы учетная запись входила в группу Пользователи удаленного рабочего стола. Либо надо быть локальным админом, либо доменным. Если все условия соблюдены, то через пару секунд откроется Notepad.

Пробовал разные программы и даже некоторые игры – работает. Вот только как это применить на практике, я пока не придумал.

01.11.2011 — Метод работает только в Windows 7 SP1 Корпоративная (может еще в Windows 7 Максимальная — не проверял). В Windows 7 SP1 x32 Профессиональная не работает.

З.Ы. Если при подключении выскакивает сообщение: “Следующее удаленное приложение RemoteApp отсутствует в списке разрешенных программ”, то нужно проверить параметр реестра fDisableAllowList, что у него значение 1.

Перед выполнением пунктов этой статьи надо убедится, что заменен файл termsrv.dll, как описано в статье “Как сделать из Windows 7 терминальный сервер?”. Проверить подключение по RDP к этому компьютеру.

Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!

Хотите поблагодарить автора за эту заметку? Вы можете это сделать!

Источник: did5.ru