/u/8038/crop65b285059c6d6_cropped.png?f=community)
Volgende situatie:
Clients: Windows XP
Servers: Win2003 + TS
We werken met roaming profiles. User logt in op z'n XP machine en alles werkt prachtig. De users hebben zeer veel rechten nodig op hun desktop vanwege het diverse werk etc. Het zijn allemaal verstandige gebruikers en hebben gewoon local admin rechten. Klant heeft hier voor gekozen.
Deze gebruikers willen ook thuis werken via terminal service etc. Terminal servers zijn grofweg hetzelfde ingericht als een XP client systeem en er wordt dus ingelogt met dezelfde username wachtwoord als op hun XP machine. Ze krijgen dus exact hetzelfde profiel voor zich. Win2003/XP profielen zijn dus gemixt maar dat geeft (nog) geen problemen en willen ze eingelijk niet veranderd hebben.
Probleem:
Op de terminal server mogen de users uiteraard wat minder dan op hun werkstation. Nu kan je een gpo linken aan de OU waar deze gebruikers instaan maar dan krijgen ze deze settings dus ook op een lokale computer. Dat is dus niet gewenst. Nu dacht ik dit op te lossen door een WMI filter op die GPO te zetten zodat de policy alleen van kracht is wanneer het OS "Windows 2003 server is"
Maar het WMI filter werkt dus niet. Als volgt gemaakt:
Namespace: root\CIMv2
Select * from Win32_OperatingSystem where Caption = "Windows Server 2003, Enterprise"
En diverse andere variaties op "Windows Server 2003, Enterprise" geprobeerd maar het wil maar niet werken.
Simpele vraag dus eingelijk:
Hoe noemt microsoft zijn OS'en:
Windows XP = "Microsoft Windows XP Professional"
Windows 2003 = ?
Of moet ik dit op een heel andere manier aanpakken?
Of moet ik toch aandringen op het gebruiken van apparte logins/profielen voor terminal service?
Dan kan ik die GPO gewoon linken aan een nieuwe OU.
Grootste probleem is dat in het profiel veel instellingen staan die je niet via een GPO in kan stellen op een normale manier (Geen mailserver maar pst files op netwerk shares etc)
Wat opzich ook nog kan is een nieuwe OU maken, daar nieuwe users aanmaken met zelfde namen met toevoeging van TS of iets dergelijks en daar dan hetzelfde profiel pad aangeven, en deze nieuwe user rechten geven op het zelfde profiel. Resulteerd dus in andere login naam voor TS, zelfde profiel en wel de gewenste GPO. Dit heb ik getest en lijkt opzich goed te werken. Maar een WMI filter is een stuk mooier en makkelijk in te zetten.
Graag wat advies of mensen met veel betere ideeën!
Clients: Windows XP
Servers: Win2003 + TS
We werken met roaming profiles. User logt in op z'n XP machine en alles werkt prachtig. De users hebben zeer veel rechten nodig op hun desktop vanwege het diverse werk etc. Het zijn allemaal verstandige gebruikers en hebben gewoon local admin rechten. Klant heeft hier voor gekozen.
Deze gebruikers willen ook thuis werken via terminal service etc. Terminal servers zijn grofweg hetzelfde ingericht als een XP client systeem en er wordt dus ingelogt met dezelfde username wachtwoord als op hun XP machine. Ze krijgen dus exact hetzelfde profiel voor zich. Win2003/XP profielen zijn dus gemixt maar dat geeft (nog) geen problemen en willen ze eingelijk niet veranderd hebben.
Probleem:
Op de terminal server mogen de users uiteraard wat minder dan op hun werkstation. Nu kan je een gpo linken aan de OU waar deze gebruikers instaan maar dan krijgen ze deze settings dus ook op een lokale computer. Dat is dus niet gewenst. Nu dacht ik dit op te lossen door een WMI filter op die GPO te zetten zodat de policy alleen van kracht is wanneer het OS "Windows 2003 server is"
Maar het WMI filter werkt dus niet. Als volgt gemaakt:
Namespace: root\CIMv2
Select * from Win32_OperatingSystem where Caption = "Windows Server 2003, Enterprise"
En diverse andere variaties op "Windows Server 2003, Enterprise" geprobeerd maar het wil maar niet werken.
Simpele vraag dus eingelijk:
Hoe noemt microsoft zijn OS'en:
Windows XP = "Microsoft Windows XP Professional"
Windows 2003 = ?
Of moet ik dit op een heel andere manier aanpakken?
Of moet ik toch aandringen op het gebruiken van apparte logins/profielen voor terminal service?
Dan kan ik die GPO gewoon linken aan een nieuwe OU.
Grootste probleem is dat in het profiel veel instellingen staan die je niet via een GPO in kan stellen op een normale manier (Geen mailserver maar pst files op netwerk shares etc)
Wat opzich ook nog kan is een nieuwe OU maken, daar nieuwe users aanmaken met zelfde namen met toevoeging van TS of iets dergelijks en daar dan hetzelfde profiel pad aangeven, en deze nieuwe user rechten geven op het zelfde profiel. Resulteerd dus in andere login naam voor TS, zelfde profiel en wel de gewenste GPO. Dit heb ik getest en lijkt opzich goed te werken. Maar een WMI filter is een stuk mooier en makkelijk in te zetten.
Graag wat advies of mensen met veel betere ideeën!
:strip_icc():strip_exif()/u/83667/DDZ_Maliebaan_70px.jpg?f=community)
/u/38159/DirkJan.png?f=community)