RDS: Start Menü per GPO verteilen

Auch wenn man Benutzern die Berechtigungen auf bestimmte Programme wie beispielsweise dem Server-Manager nimmt, scheinen sie trotzdem als Tile im Start Menü am Terminalserver auf. Da das weder schön noch praktisch ist, bietet es sich an, ein einheitliches Menü an alle RDS-Benutzer auszuliefern. Somit lassen sich auch angepasste Icons wie ein „Abmelden“ Button problemlos integrieren.

Start Menü personalisieren

Im ersten Schritt müssen wir uns als Administrator am RDS-Server anmelden und das Start-Menü nach unseren belieben anpassen. Alle Programme und Boxen, die später der Benutzer vorfinden soll, müssen jetzt hinterlegt werden.

Ist das Customizing abgeschlossen, muss die Powershell als Administrator geöffnet und folgender Befehl ausgeführt werden:

Export-StartLayout -Path C:\StartMenu_RDS.xml

Damit wird das Start-Menü als XML in dem angegebenen Pfad gespeichert. Das XML-File könnte man bereits mit einer GPO verteilen, allerdings würde man damit den Benutzer die Chance nehmen, das restliche Menü nach ihren Bedürfnissen anzupassen, da alle Änderungen beim nächsten Logon überschrieben würden. Ich möchte nur die Box „Programme“ sperren und alles weitere dem Nutzer überlassen. Um das umzusetzen muss die XML-Datei mit einem Editor geöffnet und der Bereich „<DefaultLayoutOverride>“ durch „<DefaultLayoutOverride LayoutCustomizationRestrictionType=“OnlySpecifiedGroups“>“ ersetzt werden. In meinem Fall sieht die Datei folgendermaßen aus.

<LayoutModificationTemplate Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
  <LayoutOptions StartTileGroupCellWidth="6" />
  <DefaultLayoutOverride LayoutCustomizationRestrictionType="OnlySpecifiedGroups">
    <StartLayoutCollection>
      <defaultlayout:StartLayout GroupCellWidth="6" xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout">
        <start:Group Name="Programme" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout">
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Word.lnk" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="2" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk" />
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Microsoft Teams.lnk" />
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Outlook.lnk" />
          <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Excel.lnk" />
          <start:DesktopApplicationTile Size="2x2" Column="4" Row="2" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" />
        </start:Group>
      </defaultlayout:StartLayout>
    </StartLayoutCollection>
  </DefaultLayoutOverride>
</LayoutModificationTemplate>

Group Policy Object erstellen

Damit wir die GPO erstellen können, muss die XML-Datei auf einem Share bereitgestellt werden, auf das alle Benutzer Zugriff haben. Als best practice bietet sich dafür das NETLOGON Share (\\domain.local\netlogon) vom DomainController an. Anschließend können wir die GPO anlegen. Das nötige Setting findet man unter:

User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar -> Start Layout

Beim Parameter „Start Layout File“ muss abschließend der Pfad zur XML-Datei angegeben werden.

Loggt sich der Benutzer nun neu am Terminalserver ein, bekommt er unser personalisiertes Start-Layout ausgeliefert.