Toon posts:

[2003 Server] Group Policy toepassen, enkel op TS*

Pagina: 1
Acties:
  • 155 views sinds 30-01-2008
  • Reageer

Verwijderd

Topicstarter
Gegeven:
Domain Controller (Windows 2003 Server SP1)
Terminal Server (Windows 2003 Server SP1)
Werkstation (Windows XP Pro Sp2)

Wat ik wil is het volgende:
Een group policy toepassen op de groep domain users alleen als zij inloggen via een terminal server sessie.
De policy moet dus alleen toegepast worden op de terminal server en niet als een user op het domein inlogt via een werkstation op het werkstation.

Wat ik heb geprobeerd:
Een OU gemaakt met daarin de Terminal Server, vervolgens een policy gezet op deze OU waar ik bij security de groep domain users toevoeg en deze een allow op read en apply group policy geef.
De policy wordt dan niet toegepast.
Als ik vervolgens een domain user toevoeg in deze OU wordt de policy wel toegepast.
Gevolg is wel dat deze policy op welke machine dan ook toegepast wordt en niet alleen op de Terminal Sever.

Hoe is dit te realiseren?

  • Pannenkoekkie
  • Registratie: April 2004
  • Laatst online: 28-03-2025

Pannenkoekkie

Sugar or Cheeze?

Je werkt op een server, wat dacht je van de local Server Policy aanpassen?

  • Regman_XP
  • Registratie: Januari 2003
  • Laatst online: 04-02 20:06
Loopback policy toepassen op de OU van de terminal server

http://support.microsoft.com/?id=231287

  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Een loopback policy met security filtering is inderdaad het meest flexibele :)

  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

Pannenkoekkie schreef op dinsdag 15 november 2005 @ 17:25:
Je werkt op een server, wat dacht je van de local Server Policy aanpassen?
Dat slaat dus helemaal nergens op. Wat topic starter nodig heeft is een Loopback Group Policy met waarschijnlijk Replace omdat dit het snelste werkt. Met Merge duurd het langer omdat de policy andere policies moet bekijken of er niet conflicten etc optreden. Merge is wel eenvoudiger omdat je dan simpelweg de toevoegingen doet die je nodig hebt als ts profiles zetten etc.

Verwijderd

Topicstarter
Loopback policy heeft inderdaad het truckje gedaan, thanks! :)

Ik zit nu alleen wel met een ander probleem, weet alleen niet of ik dat dan ook in dit topic mag posten?
Ik heb het als volgt ingericht:
  • OU Bedrijfsnaam
    • OU Server
    • OU Users
    • OU Groups
    • OU Printers
De Terminal Server staat in OU Server, op deze OU zitten twee GPO's:
-Domain Admins
-Domain Users
In deze volgorde, dus domain admins heeft de hoogste prioriteit, block policy inheritance aan.

-GPO Domain Admins: Loopback policy aan, voor de rest alles op "not configured"
-GPO Domain Users: Loopback policy aan, en voor de test "force classic start menu" en "remove run" aan.

De namen van de GPO's geven al aan welke groep de apply rechten heeft.

Het probleem is dat de administrators de policy van de domain users krijgen.
Hoe kan dit?? de prio volgorde staat goed en qua rechten zou dit ook niet moeten kunnen.
Zie ik nu iets over het hoofd? :?

  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Zet eens een expliciete deny op 'Domain admins' voor die GPO ? :)

Verwijderd

Topicstarter
yep, dat was em
thanx!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

elevator schreef op woensdag 16 november 2005 @ 15:04:
Zet eens een expliciete deny op 'Domain admins' voor die GPO ? :)
Deny read?
Hopelijk heb je nog een andere usergroup die die policies nog kan editten daarna..

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

BackSlash32 schreef op donderdag 17 november 2005 @ 02:01:
Deny read?
Hopelijk heb je nog een andere usergroup die die policies nog kan editten daarna..
:X dat is ook weer zo ja :)

Verwijderd

"Deny read?" Nee je moet Deny op "Aplly policy" geven. Zodat je als admin de policy nog wel kunt lezen/bewerken maar hij word niet uitgevoerd op jou.

Verwijderd

Topicstarter
ik ging er eigenlijk blind van uit dat er deny apply policy werd bedoeld, dus er is geen nood aan de man ;)
Pagina: 1