Immer wieder kommt es bei Application Layering zu Problemen mit dem Domänen-Zugriff. Ein Domänen-Mitglied meldet sich zwar im Nachgang an, aber für jegliche Administration kann nur ein lokales Admin-Konto verwendet werden.
Was läuft da schief?
Bekannt ist, dass der Domänen-Betritt im Plattform-Layer zu geschehen hat. Weniger Beachtung findet dass die lokale Windows SAM dabei nicht im Layer landet. Dies bedeutet, dass ein Domänen-Betritt zwar erfolgt bei der Veröffentlichung aber Domänen-Benutzer nicht in der lokalen Benutzer-Gruppe und Domänen-Admins nicht in der lokalen Administratoren-Gruppe zu finden sind.
Die Lösung des ganzen ist es eine Gruppenrichtlinie zu erstellen für die veröffentlichten Maschinen. Unter Computerkonfiguration, Einstellungen, Systemsteuerungseinstellungen, Lokale Benutzer und Gruppe sollten hier folgende Update-Richtlinien erstellt werden:
- Die Domänen Administratoren sollten Mitglied der lokalen Administratoren-Gruppe werden.
- Die Domänen Benutzer sollten Mitglied der lokalen Benutzer-Gruppe werden.
- Die NT Service\CitrixTelemetryService sollten Mitglied der Leistungsprotokollbenutzer werden.
- Die NT Service\BrokerAgent sollten Mitglied der Leistungsüberwachungsbenutzer werden.
Beim Start der Maschine wird die Gruppenrichtlinie angewendet und die SAM entsprechend angepasst bei einem Domänen-Computer. Damit ist ein Zugriff wieder wie gewohnt möglich.