[2003] GPO bij inloggen op bepaalde computers toepassen?*

Welkom op GoT! Wat heb je zelf gevonden hierover op internet/GoT / http://support.microsoft.com ?
Probeer eens deze search.

Zie ook blaataaps in "MS Word, maximum aantal tekens per pagin..."

[ Voor 67% gewijzigd door PcDealer op 04-08-2005 11:26 ]

Ja.............

Verder praat je in algemeenheden, dus kan ik daar ook geen antwoord op geven.
Staat de terminal server op dezelfde server als waar men normaal op inlogt?
Je hebt de terminalserver toch niet op een DC staan?

In een normale situatie:
Via gescheiden OU's kan je verschillende policies maken voor verschillende computer objecten
Via WMI kan je verschillende queries uitvoeren waarop de policies van toepassing zijn
Via loopbackpolicies kan je verschillende policies maken afhankelijk of ze normaal of op een TS inloggen (dit geniet persoonlijk niet mijn voorkeur, ik zou WMI gebruiken)
Eventueel zou je via een rechten en groepen structuur policies wel of niet beschikbaar kunnen stellen.

Maar zoals ik al zei, je praat in algemeenheden zonder kern info.

mits server in apparte OU staat en niet voor andere zaken als terminal server gebruikt wordt gewoon loopback policy group processing gebruiken. Als men op andere server inlogt krijgt men deze policies niet voor zijn kiezen. Ook is het handig om terminal server profiles te gebruiken ipv normale profiles

Titel even ietsje aangepast, group policy is een nogal complex geheel
[Win2k3] Groep Policy's > [2003] GPO bij inloggen op bepaalde computers toepassen?*

mutsje schreef op donderdag 04 augustus 2005 @ 12:52:
mits server in apparte OU staat en niet voor andere zaken als terminal server gebruikt wordt gewoon loopback policy group processing gebruiken. Als men op andere server inlogt krijgt men deze policies niet voor zijn kiezen. Ook is het handig om terminal server profiles te gebruiken ipv normale profiles

Het kan, maar ik vind het persoonlijk geen goed idee om userpolicies op computer object (ou's) te zetten, omdat dit niet bijdraagt aan de overzichtelijkheid van de omgeving. Ik als (ook GPO geile) beheerder houd van orde en netheid, waardoor problem solving eenvoudig is en overdraagbaar.

Mijn voorkeur gaat uit van user policies op user OU's en computer policies op computer OU's maar dat is ook weer afhankelijk van je AD inrichting. Anyway, om deze reden kies ik voor WMI filtering bij toepassen van user policies op terminal servers.

En je terminal server profile kan je al aanmaken in de AD Users and groups, dus het profiel is niet echt een overweging voor mij.

[ Voor 7% gewijzigd door Verwijderd op 04-08-2005 14:00 ]

Verwijderd schreef op donderdag 04 augustus 2005 @ 13:58:
En je terminal server profile kan je al aanmaken in de AD Users and groups, dus het profiel is niet echt een overweging voor mij.

Toch zou ik die op de TerminalServersOU in een machine policy zetten, werkt wel zo makkelijk dan voor iedereen apart die data inkloppen. Users die niet in de Remote Desktop Users groep zitten zullen nooit op een ts aan kunnen loggen, en dus ook geen ts profile krijgen

sanfranjake schreef op donderdag 04 augustus 2005 @ 14:26:
[...]

Toch zou ik die op de TerminalServersOU in een machine policy zetten, werkt wel zo makkelijk dan voor iedereen apart die data inkloppen. Users die niet in de Remote Desktop Users groep zitten zullen nooit op een ts aan kunnen loggen, en dus ook geen ts profile krijgen

Dan ga je ervanuit dat je maar een enkele datadata server hebt waar de profielen geplaatst worden, dat kan, maar is niet noodzakelijkerwijs zo, maar voor wat jij schets wellicht een goed idee
Maar hoe zou je het oplossen als je je profielen over 10 servers moet verdelen?

[ Voor 7% gewijzigd door Verwijderd op 04-08-2005 15:17 ]

hoe bedoel je over 10 servers moet verdelen? gewoon de 10 servers in een OU zetten en hier de home en profile policy op toepassen voor Terminal Server Of heb je het over 10 verschillende servers mbt OS etc... dus niet 10 terminal servers??

mutsje schreef op donderdag 04 augustus 2005 @ 15:35:
hoe bedoel je over 10 servers moet verdelen? gewoon de 10 servers in een OU zetten en hier de home en profile policy op toepassen voor Terminal Server Of heb je het over 10 verschillende servers mbt OS etc... dus niet 10 terminal servers??

Ik heb het over aparte dataservers waar je de profielen op plaatst (dus niet op de terminal server zelf)

[ Voor 5% gewijzigd door Verwijderd op 04-08-2005 15:37 ]

Verwijderd schreef op donderdag 04 augustus 2005 @ 15:36:
[...]


Ik heb het over aparte dataservers waar je de profielen op plaatst (dus niet op de terminal server zelf)

Dan maak je toch per server zo'n policy?

En zelfs dat zou je nog met WMI filtering en/of rechten op GPO kunnen veralgemenen hoef je niet eens per server te klooien.

Terminal Server per user in kloppen is fijn werk. Het is geen object in active directory namelijk dus je moet het met speciale scriptjes doen (scriptcenter van MS heeft aantal voor server 2003 uitgebracht). Daarom doe ik het met policies. Met WMI filtering ben ik nog niet bezig omdat ik het al druk genoeg heb (met tikken op got )

mutsje schreef op vrijdag 05 augustus 2005 @ 08:15:
Terminal Server per user in kloppen is fijn werk. Het is geen object in active directory namelijk dus je moet het met speciale scriptjes doen (scriptcenter van MS heeft aantal voor server 2003 uitgebracht). Daarom doe ik het met policies. Met WMI filtering ben ik nog niet bezig omdat ik het al druk genoeg heb (met tikken op got )

Terminalserver geen AD object? LOL! Wellicht dat AD een notepad gebruikt om deze gegevens bij te houden. Het is geen tabblad in users en computers, maar is zeker wel een AD object.

Wellicht is het een idee om eens scripting te gaan gebruiken ipv de GUI, dat maakt het leven een stuk gemakkelijker. Wij verhuizen per OU of per e-mail domain tussen servers zonder dat wij daar ook maar naar hoeven om te kijken.

hint : Terminalprofilepath = objUserName.TerminalServicesProfilePath

En als scripting niet je sterkste punt is, gebruik dan een tool zoals Hyena, daar kan je gewoon templates maken zodat je helemaal niets meer hoeft in te geven en je kan multiselect ook TSprofile aanpassen (en heel veel andere leuke dingen) zoals bijvoorbeeld per AD object exporteren e.d. daar haal je leuke info uit

[ Voor 4% gewijzigd door Verwijderd op 05-08-2005 09:35 ]

probeer het maar met de normale ad tools te modifyen zul je zien dat dit niet mogelijk is. maar goed ik heb er geen verstand van zoals je post dus zal verder me klep houden... ik heb het hier wel over bulk modify en niet per user base dus.

http://www.microsoft.com/...pts/ts/users/default.mspx
deze zijn erg handig iig.

[ Voor 19% gewijzigd door mutsje op 05-08-2005 10:29 ]

mutsje schreef op vrijdag 05 augustus 2005 @ 10:21:
probeer het maar met de normale ad tools te modifyen zul je zien dat dit niet mogelijk is. maar goed ik heb er geen verstand van zoals je post dus zal verder me klep houden... ik heb het hier wel over bulk modify en niet per user base dus.

http://www.microsoft.com/...pts/ts/users/default.mspx
deze zijn erg handig iig.

Wij maken meestal AD queries die op basis van een aantal criteria automatisch mutaties doorvoeren.
GUI based wijzigingen doen wij zelden, daar hebben wij de afdeling 2de lijn voor (no offence)
Wij doen alleen de grote verhuizingen en mutaties.

De AD tools zijn opzich prima, maar feitelijk bedoeld voor handmatige acties. Ik zou eens serieus gaan kijken naar scripts (veel daarvan is gewoon op internet te vinden overigens) Als je je dat een beetje eigen maakt lach je je later helemaal verrot als je ziet hoe simpel je dan acties gaat uitvoeren.

wolvie,

Ik snap je punt alleen met programmeren heb ik inderdaad de grootste moeitte

mutsje schreef op vrijdag 05 augustus 2005 @ 11:41:
wolvie,

Ik snap je punt alleen met programmeren heb ik inderdaad de grootste moeitte

Lezen, oefenen en testen testen testen. En misschien heb je een collega die er wel handig mee is, of een vriend of wil iemand anders je helpen. Vraag een cursus aan bij je baas. Ik zou het zeker eens overwegen.

Dit is wat wij functioneel gebouwd hebben. We hebben popup schermpjes gemaakt waar je dingen kan invullen als variable en aan of uit kan zetten of er wijzigingen doorgevoerd worden in AD.
Elke script begint bij ons met een beschrijving wat het precies doet.

Ik bedoel het niet om te patsen ofzo (ik heb het ook niet in mijn eentje gemaakt) maar meer om aan te geven wat er allemaal mogelijk is

'READ THIS FIRST
'This script generates scripts to copy and synchronise data like profiles using robocopy, sets permissions based on the Windows2000 pre-logon name.
'Then generates a delete scripts for the source directories and modifies Active Directory if enabled
'By default the "objUserName" strings at the bottom are disabled to prevent changes to Active Directory
'You set the "filename", "ServerNaam", "DoelFileServer" and the "Active Directory"
'Pay attention what "Manage" groups you add in the "XCACLS" rules and the right you set for the useraccount at the bottom of the script
'Pay attention what "OU" you work with and don't forget to change the specification on the "strComputerContainer" line

snap je punt maar programeren moet je zien(liggen) en ik zie het niet. ben nu basis in cmd aan het proggen en krijg les van een colega. Begin de basis begrippen door te krijgen.

[ Voor 23% gewijzigd door mutsje op 05-08-2005 12:44 ]