2X server-client systeemi

eero
Site Admin
Viestit: 329
Liittynyt: 07 Marras 2007 20:17

2X server-client systeemi

Viesti Kirjoittaja eero »

Kokoonpano on seuraava:
  • Windows 2003 server
    SyncMaster 720xt ThinClient
Serverin asennuksen jälkeen asennetaan AD.

Asenna DHCP-palvelin.
Lisää perusasetusten lisäksi seuraavat:
  • 066 Boot server host name serverinnimi
    067 boot file name pxelinux.0
Asenna Terminal services
Asenna myö terminal server lisensing ja valitse Domain... jotain

Poista turvallisuusasetukset selaimesta:
Control panel -> Add/Remove programs -> Add/Remov Windows components -> Internet Explorer Enhannce Security Configuration -> Täppi pois

Aja kaikki päivitykset

Luodaan jaettu kansio johon tulee pakollinen profiili kaikille käyttäjille. Esim. C:\Documents and Settings\Profiilit. Annetaan jakonimeksi Profiilit$ niin se ei näy kaikille verkossa ja annetaan Everyone-ryhmälle täydet oikeudet.

Laitetaan asetukset kuntoon Group Policy:stä

Avaa Default policy (ei siis äsken luotu) ja valitse Computer configuration -> Administrative templates -> Windows components -> Terminal services
Valitse seuraavat:
  • Restrict terminal services users to a single remote session. Aseta arvoksi Disable
    Limit number of connections. Enable Arvo 1000
    Limit maximum color depth. Enable Arvo 24bit
    Remove Windows security item from Start menu Enable
    Always show desktop on connection Disable
    Remove disconnect option from Shut Down dialog Enable
    Set path for TS roaming profiles Enable Profile path= \\serverinnimi\Profiilit$. Laita täppi ruutuun Do append the user name to the profile path.
    • Valitse Client/server
      • Allow audio redirection Enable
        Do not allow clent printer redirection Disable
        Do not allow drive redirection Disable
      Valitse Temporary folders
      • Do not use temp folders per session Disable
        Do not delete temp folder upon exit Disable
      Valitse Sessions
      • Set time limit for disconnected sessions Enable Arvo 3hours
        Sets time limit for active Terminal services sessions Enable Arvo Never
        Sets time limit for active but idle Terminal services sessions Enable Arvo Never
Policy sijaitsee:
C:\WINDOWS\sysvol\domain\Policies\{Kaamee_Lukusarja}\MACHINE

Kopioi valmis policy tästä:
Registry.pol.MACHINE.txt
Terminal serverin asetukset
(5.8 KiB) Tiedosto ladattu 1022 kertaa
Muuta nimi poistamalla .MACHINE.txt tiedoston lopusta. Nimeä vanha policy uusiksi ja kopioi uusi tilalle.
Vinkki: Jos et löydä oikeaa policy-kansiota tai siellä on useampi mahdollinen, niin tee yksi muutos Macine ja User osioihin GroupPolicyyn, niin se luodaan oikeaan paikkaan. Sen jälkeen tiedät mikä on oikea =)

Ennen kuin asetat sääntöjä poista policy käytöstä administrator-ryhmältä.
Group policy -> muokattava policy -> Properties -> Security -> Domain admins Apply Group policy -> Deny

Luo uusi Group policy ja nimeä se miksi haluat.
Lisää Properties -> security-välilehdeltä Domain Users käyttäjät ja valitse Domain Users-ryhmä ja anna Read ja Apply Group policy oikeudet.



Asenna Java. http://www.java.com/en/download/
Asenna ShockWavePlyer
Asenna Flash Player http://www.adobe.com
Asenna Quicktime Player http://www.apple.com/quicktime/download/


Anna DomainUser-ryhmälle oikeudet etäyhteyteen
Administrative tools -> Terminal services configuration -> RDP-Tcp
Hiiren oikealla properties -> Permissions-välilehti -> Lisää Domain Users-ryhmä ja anna oikeudet User Access ja Gues Access


Asenna X2 ThinClientServer. Sen voi käydä imuroimassa osoitteesta http://downloads.2x.com/
Imuroi EXE-, ISO- ja ZIP-paketit. Niitä tarvitaan.

ThinClient-serverin asennus:

Asenna Program files-kansioon. Silloin etäkäyttäjillä ei ole oikeuksia sinne. C:\Program Files\2X\ThinClientServer
Auto
MySQL-käyttäjänimi root, salasana on sellainen jonka muistat
Greate farm
Configure... -nappi, Anna joku käyttäjätunnus ja salasana. Tällä tunnuksella kirjaudutaan hallintaan.
Valitse Active directory
Select domaincontroller
  • Domain = domainnimi.local
    Host = serverin ip-osoite
    Username = administrator@domainnimi.local
    Base DN = dc=domainnimi,dc=local
    Password = administratorin salasana
Asennusohjelmasta Configure... -nappi
Configure connection... -nappi
Add Full Desktop
Välilehti General
  • Protocol Type: RDP
    Primary Address: Serverin ip
Välilehti Display
  • Resolution: Full screen
    Colour Depth: 24bit
Välilenti Redirection
  • Valitse kaikki
Asennusohjelmasta Configure... -nappi
Configure connection... -nappi
Connection Name: JokuSopivaNimi
Välilehti Users
  • Valitse listalta käyttäjät jotka voivat kirjautua. Esim DomainUsers
Välilehti Full Desktops
  • Valitse yhteys jonka määritit aiemmin ja Auto start-ruudut
    Älä muuttele muita asetuksia
Asennusohjelmasta Configure... -nappi
Install 2X ThinClient OS image... -painike
Etsi oikea Zip-paketti ja asenna. Älä pura.
Nyt pääset jatkamaan asennusta. Confirm...


Nyt säädetään ThinClient-serverin asetukset kuntoon hallinnasta:

Siirry selaimella osoitteeseen http://localhost:980. Likki löytyy myös Start-valikosta
  • Siirry Thin Clients -> Set Defaults
    General-välilehti
    • Hostname: Etuliite joka annataan kaikille Client-koneille. (esim. paate)
      Käytä viimeisintä ThinClientOS ja Kerneliä
    Boot Options-välilehti
    • APM ja USB2 käyttöön
    Input Devices-välilehti
    • Mouse Protocol: ImPS/2
      Keyboard Model: Generic 101-key PC
      Keyboard Layouts: Finnish (fi)
    Display Settings-välilehti
    • Video Card Driver: Auto (Jos merkit ei näy oikein käytä VESA-ajuria. Toimii parhaiten joissain tapauksissa)
      Display Manager: Performance (Xorg)
      Screen Resolution: 1280x1024
      Colour Depth: 24bit
    Sound-välilehti
    • Enable Sound: Täppi ruutuun
      Sound Volume: 70%
    Banner-välilehti
    • Voit valita haluamasi aloituskuvan joka näkyy client-koneissa kirjautumisikkunassa
    Sitten vaan Apply ja OK

    Siirry General -> Licence
    • Anna tiedot ja lisenssiavain H82K-KPU4-TA87-UIV5 Kaikki kentät ovat pakollisia
    Siirry General -> Administrators ja vatse oma tunnus
    • Aseta aika pidemmäksi kuin viisi nimuuttia jotta et jatkuvasti lennä ulos ;-)

Luodaan uusi käyttäjä ja asetetaan asetukset kuntoon (Client-koneella)

Pakotettu profiili tulee käyttöön aiemmin luoduista Terminal Service-säännöistä. Jos haluat asettaa säännön kaikkiin käyttäjiin. Myös tavallisesti kirjautuville lisää se alempana oleviin User-sääntöihin.

AD:sta luodaan uusi käyttäjä.
Kirjaudutaan uutena käyttäjänä sisään clientillä.
Avataan IE ja asennetaan alkuarvot.
  • Sammuta ie ja käynnistä uudelleen ja varmista että suojausvaroitus on häipynyt.
    Poistetaan Menubar view -> täppi pois kohdasta menubar
Tarkastetaan javan ja flash:n toiminta. (http://www.cartoonnetwork.com ja http://www.aapeli.com) Samalla tulee testattua äänet =).
Avataan Display Properties
  • Valitaan välilehti Desktop ja sieltä Customize Desktop...-painike. Valitaan Desktop icons ja niistä My computer ja Internet explorer.
    Valitaan Screen Saver ja sieltä otetaan täppi pois kohdasta On Resume Password protect tai poista näytönsäästäjä kokonaan.
    Apply ja OK
Avataan Microsoft Office:n Word. (jos on asennettu)
  • Annetaan alkutiedot ja suljetaan Word
Tehdään sama jos on käytössä Open Office.
Käynnistä MediaPlayer ja anna alkuarvot ja sulje
Käynnistä Acrobat Reader ja kuittaa ja sulje.

Kirjaudu ulos client-koneelta.


Kopioidaan tili ja annetaan oikeudet
Valitse My computer -> Properties -> Advanced -> User profiles ja settings
Valitaan edellä muokattu profiili ja valitaan Copy To
Browse-painikkeesta valitaan mihin halutaan kopioida. Valitse Profiilit-kansio.
Permitted to use valitaan Change ja valitaan Everyone.
OK.
Kun tulee ilmoitus että kansio on jo niin kuittaa se Yes-painikkeella

Muutetaan Profiilit-kansion oikeudet
Muuta Everyone-käyttän oikeudet Read and Execute


Muutetaan profiili pakolliseksi
Siirry kansioon C:\Documents and Settings\Profiilit ja sinne on ilmestynyt äsken muokattu profiili.

Muuta ntuser.dat nimeksi ntuser.man

Luo uusi käyttäjä ja testaa profiilin toimivuus. Käyttäjän ei tarvitse enää tehdä alkuasetuksia uusiksi ja kaikki pitäisi olla kuten toisellakin käyttäjällä. Voit testata profiilin toimivuutta luomalla uuden kansion työpöydälle, kirjautumalla ulos ja kirjautumalla uusiksi sisään. Jos profiili toimii, niin kansio on hävinnyt. Jos ei toimi, niin syynä on joko se, että olet hypännyt jonkin yllä olevan kohdan yli tai policy-asetukset eivät ole voimassa vielä. Jälkimmäiseen on helpoin tapa korjata se on antaa komentoriviltä komento GPUpdate /force tai bootata serveri. Ensimmäisen syyn korjaamiseen saat itse miettiä korjausratkaisun =).

Jos profiiliin joutuu tekemään muutoksia niin toimi seuraavasti:
  • Anna Everyone-ryhmälle Profiilit-kansioon täydet oikeudet.
    Muuta ntuser.man ntuser.dat:ksi
    Kirjaudu client-koneella.
    Tee tarvittavat muutokset.
    Kirjaudu ulos client-koneelta.
    Muuta ntuser.dat ntuser.man:ksi
    Anna Profiilit-kansiolle everyone-ryhmälle Read and Execute-oikeudet

Laitetaan Internet explorerin asetukset kuntoon:

Avaa Policy ja valitse käyttäjien policy
  • Valitse User Configuration -> Administrative templates -> Windows components -> Internet Explorer -> Internet control panel -> Security page
    • Internet zone template Enable Arvo Medium
    • Valitse User Configuration -> Windows Setting -> Internet Explorer Maintenance -> URLs
      • Important URLs
        • Täppi kohtaan Customize Home Page URL Avoksi minkä haluat laittaa. Esim. http://muistio.dyndns.org
          Customize Search Bar URL Voit itse päättää laitatko mitään ;-)

Valmis Policy lukuisille arvoille. Toimii hyvin esim. kouluissa.
  • Luo uusi policy ja anna nimeksi esim. Kayttajat.
    Tee yksi muutos User-sääntöihin jotta luodaan tiedosto registry.pol
    Kopioi alla oleva tiedosto vanhan päälle. Muista muuttaa nimi oikeaksi.
    Pakotettu profiili tulee käyttöön aiemmin luoduista Terminal Service-säännöistä. Jos haluat asettaa säännön kaikkiin käyttäjiin. Myös tavallisesti kirjautuville lisää se alempana oleviin User-sääntöihin.
    Administrative Templates\System\User Profiles
    • Exclude Directories in roaming profile Enable Arvo = \\serverinnimi\Profiilit$
registry.pol.USER.txt
Käyttäjän asetuksia
(5.99 KiB) Tiedosto ladattu 926 kertaa
Alla olevat säännöt sisältyvät tiedostoon

Ota käyttöön lisää rajoituksia

Administrative Templates\Windows Components\Windows
  • Explorer Hide these specified drives in My Computer Enable arvo = restrick all drivers
    Remove Hardware tab Enable
Administrative Templates\Start Menu and Taskbar
  • Remove Run menu from Start Menu Enable
    Remove and prevent access to the Shut Down command Enable
    Remove Drag-and-drop context menus on the Start Menu Enable
Administrative Templates\Control Panel\Add or Remove Programs
  • Remove Add or Remove Programs Enable
Administrative Templates\Control Panel\Regional and Language Options
  • Restrict selection of Windows menus and dialogs language Enable Arvo = Finnish
Administrative Templates\Windows Components\Microsoft Management Console
  • Restrict the user from entering author mode Enable
    Restrict users to the explicitly permitted list of snap-ins Enable
Administrative Templates\System
  • Prevent access to the command prompt Enable Arvo = No
    Prevent access to registry editing tools Enable Arvo = No
Administrative Templates\Control Panel\Display
  • Remove Display in Control Panel
Uudet Policy-arvot otetaan käuttöön komentoriviltä komennolla GPUpdate /force
PolicySettings.xls
Kaikki Policy arvot
(3.85 MiB) Tiedosto ladattu 892 kertaa
Tästä näet kaikki policy-arvot ja "muutaman" kiinnostavan rekisterimerkinnän.




Symantec AntiVirus:

Poista seuraavat kohteet tarkastuksesta:

Configure -> File system auto-protect -> Exclude selected files and folders -> Exlusious -> Files and folders
Täppi kansion kohtiin
  • C:\Program Files\2X\ThinClientServer\apache2\htdocs\tftproot
    C:\Program Files\2X\ThinClientServer\tftpd



Client-koneen bios:

Start up:
  • Poista valinta Splash Boot logo
    Aseta salasana ja valitse vain Verify password when... -> Enter SCU
Components:
  • Valitse Keyboard Numlock käyttöön
Boot:
  • Boot sequence -> Muuta PXE ensimmäiseksi vaihtoehdoksi
    Varmista, ettei Usb boot first ole valittu
Exit:
  • Save and Exit =)
[/list]

Käynnistyksen jälkeen paina shift + f4. Pääset boot agenttiin.
valitse Show Config Messga ja arvoksi disable
Tallenna f4:llä.