Anmeldearbeitsstationen konfigurieren
Wer viel mit Citrix arbeitet oder einem externen Dienstleister den Zugang zu den (Remote-) Arbeitsstationen begrenzen möchte, der kann das über das Benutzerobjekt steuern.
Über den Tab Konto gelangen wir unterhalb des Benutzeranmeldenamens zur Option “Anmelden an…”. Über diese Option kann man den Zugriff, sprich die Anmeldung an eine oder mehrere Arbeitsstationen reglementieren.
Anmelden an Arbeitsstationen 15 Zeichenbegrenzung
Das Feld zur Einagbe von NetBIOS– oder DNS-Namen lässt nur 15 Zeichen und 64 Enträge (Arbeitsstationen) zu.
![Anmelden an Arbeitsstationen 15 Zeichenbegrenzung Anmelden an Arbeitsstationen 15 Zeichenbegrenzung](https://www.der-windows-papst.de/wp-content/uploads/2021/08/Anmelden-an-Arbeitsstationen-15-Zeichenbegrenzung-300x178.png)
Eigentlich sollten es 16 Zeichen und 64 Einträge sein. Dafür steht der Wert des Attributes range-Upper der Objektklasse CN=User-Workstation auf 1024 (16×64).
Das Problem kann mithilfe des Attribut-Editors oder der Powershell umgangen werden.
![userWorkstations Attribut-Editor Anmeldearbeitsstationen konfigurieren](https://www.der-windows-papst.de/wp-content/uploads/2021/08/userWorkstations-Attribut-Editor-300x178.png)
Powershell-Skripte - Anmelden an Arbeitsstationen 15 Zeichenbegrenzung umgehen
# Auslesen der Ziele
Get-ADUser -Identity Benutzer1 -Properties LogonWorkstations | Format-List Name, LogonWorkstations
(Get-ADUser -Identity Benutzer1 -Properties LogonWorkstations).LogonWorkstations.split(‘,’)
# Konfigurieren der Ziele
Set-ADUser -Identity Benutzer1 -LogonWorkstations ‘srvsubca.dwp.local’
Set-ADUser -Identity Benutzer1 -LogonWorkstations ‘srvsubca.dwp.local,srvwsus.dwp.local’
# Allen Benutzern einer OU ein Ziel hinzufügen
$Users = (Get-ADUser -Filter * -Properties LogonWorkstations -SearchBase “OU=TEST,OU=User,OU=DWP,DC=dwp,DC=local”)
ForEach($User in $Users)
{
$user.LogonWorkstations += “,srvsubca2.dwp.local”
Set-ADUser -instance $user
}
# Einem Benutzer einer OU ein Ziel entfernen
$user = Get-ADUser -Identity Benutzer1 -Properties userWorkstations
$userWorkstations = [System.Collections.ArrayList] $user.userWorkstations.Split(“,”)
$userWorkstations.Remove(“srvsubca2.dwp.local”)
$user.userWorkstations = $userWorkstations -join “,”
Set-ADUser -Instance $user
# Alle Ziele entfernen von einem Benutzer
Set-ADUser -Identity Benutzer1 -LogonWorkstations $Null
# Alle Benutzer einer OU bereinigen
Get-ADUser -SearchBase “OU=TEST,OU=User,OU=DWP,DC=dwp,DC=local” -Filter * -Properties LogonWorkstations| Set-ADUser -LogonWorkstations $Null
# Allen Benutzern alle Ziele entfernen
Get-ADUser -Filter * -Properties LogonWorkstations| Set-ADUser -LogonWorkstations $Null
Objektlasse CN=User-Workstation rangeUpper
Möchte man dem Benutzerattribut User-Workstation mehr als 64 Einträge hinzufügen dann muss das Attribut der Objektklasse CN=User-Workstation angepasst werden. Das Ganze lässt sich entweder über den ADSI-Editor oder ebenfalls über die Powershell erledigen.
![Objektlasse CN=User-Workstation rangeUpper Objektlasse CN=User-Workstation rangeUpper](https://www.der-windows-papst.de/wp-content/uploads/2021/08/Objektklasse-CNUser-Workstation-range-Upper-2048-300x180.png)
Powershell-Skripte - Objetklasse CN=User-Workstation rangeUpper anpassen
# Aktuellen Wert auslesen
Get-ADObject “CN=User-Workstations,CN=Schema,CN=Configuration,DC=dwp,DC=local” -Properties rangeUpper | Select rangeUpper | FT –A
$RootDSE=([ADSI]””).distinguishedName
([ADSI]”LDAP://CN=User-Workstations,CN=Schema,CN=Configuration,DC=dwp,DC=local”).rangeUpper
# Neuen Wert setzen
Set-ADObject “CN=User-Workstations,CN=Schema,CN=Configuration,DC=dwp,DC=local” -Replace @{“rangeUpper”=”2048”}
![rangeUpper 2048 Powershell Objetklasse CN=User-Workstation rangeUpper 2048](https://www.der-windows-papst.de/wp-content/uploads/2021/08/rangeUpper-2048-300x40.png)
Troubleshooting
Sollte sich der Wert des Attributes rangeUpper nicht anpassen lassen, und es wird folgende Fehlermeldung ausgegeben, dann liegt ein Replikationsproblem vor.
Fehler beim Vorgang. Fehlercode 0x21a2. Der FSMO-Rollenbesitz konnte nicht überprüft werden, da die zugehörige Verzeichnispartion nicht mit mindestens einem Replikationspartner repliziert wurde.
000021A2: SvcErr: DSIS, problem 5012 (DIR_ERROR), data 8610
![Fehler beim Vorgang. Fehlercode 0x21a2 Troubleshooting](https://www.der-windows-papst.de/wp-content/uploads/2021/08/Fehler-beim-Vorgang.-Fehlercode-0x21a2-300x155.png)
Mittels dcdiag lässt sich das schnell feststellen.
![DCDIAG Beim Replizieren ist ein fehler aufgetreten DCDIAG Beim Replizieren ist ein fehler aufgetreten](https://www.der-windows-papst.de/wp-content/uploads/2021/08/DCDIAG-Beim-Replizieren-ist-ein-fehler-aufgetreten-300x173.png)