[w2k3] Filtering: Disabled GPO - Serversoftware en clouddiensten

donderdag 23 maart 2006 12:03

Acties:

Topicstarter

Ik wil graag een deel van een netwerk inrichten als Kiosk pc. Microsoft heeft klant en klare GPO's voor deze omgeving.
heb een test OU aangemaakt en daaraan een GPO gekoppeld, die erg veel uitschakeld op de pc, zodat geen desktop en programma's zichtbaar zijn, enkel Internet Explorer. Op de OU heb ik inheritance geblocked om dubbele instellingen te voorkomen.
Wanneer ik nu op de betreffende client gpresult uitvoer, zie ik dat de GPO wel wordt gezien, maar met de status Filtering: Disabled GPO.
Er zijn geen security (password e.d.) settings gezet. De local policy wordt wel toegepast, maar daarin is niets ingesteld.
Ik kom er niet uit, kan iemand verklaren op welke punten de GPO disabled kan worden?

donderdag 23 maart 2006 12:12

Acties:

Phreak

KTM SuperDuke

Het kan niet toevallig zo zijn dat de GPO daadwerkelijk disabled is?

Je zou kunnen kijken met de Group Policy Management Console wat er fout gaat.
Je kan de Group Policy Modeling functie kunnen gebruiken in "Logging" mode.
Je neemt dan als die pc als object die je wilt loggen.

Blyatifull

donderdag 23 maart 2006 13:23

Acties:

nielsvd

Topicstarter

update:
Het betreft een GPO waarvan de computer configuration disabled is en alleen User Configuration items zijn aangepast.
Als ik op de betreffende machine een gpresult draai, wordt in het Computer configuration gedeelte correct weergegeven dat dit onderdeel disabled is: Filtering: Disabled GPO

In het User Configuration gedeelte komt de gehele policy niet terug?

Dat snap ik niet.

donderdag 23 maart 2006 13:34

Acties:

Phreak

KTM SuperDuke

Wat staat er in die OU waar de policy aan hangt?
Staat daar een user of een computer in?
Als jij het user gedeelte hebt geconfigureerd en er staat alleen een computeraccount in de OU dan gaat het niet werken.
Dan zou je in die OU de user moeten zetten waarop je die restricties wilt hebben.

Blyatifull

donderdag 23 maart 2006 13:55

Acties:

Rolfie

nielsvd schreef op donderdag 23 maart 2006 @ 13:23:
Als ik op de betreffende machine een gpresult draai, wordt in het Computer configuration gedeelte correct weergegeven dat dit onderdeel disabled is: Filtering: Disabled GPO

In het User Configuration gedeelte komt de gehele policy niet terug?

Dat snap ik niet.

Als ik je goed begrijp, dan heb je een speciale OU aangemaakt, met daarin je test machine. Op deze OU heb je een GPO gemaakt waarin je Computer settings gedisabled zijn. Je hebt echter wel een User configuration actief.
Wat ik mis, waars staat je gebruiker precies, staat die in de zelfde OU als je machine?

donderdag 23 maart 2006 15:44

Acties:

nielsvd

Topicstarter

Wat ik mis, waars staat je gebruiker precies, staat die in de zelfde OU als je machine?

Ja, die staat in dezelfde OU. In eerste instantie niet, dus dat is natuurlijk het probleem.
Ik zu nu dat alle andere GPO's die reeds bestonden eigenlijk alleen computer settings hadden ingesteld. Maar het is nu duidelijk dat wanneer een policy specifieke user settings heeft er ook user in de OU aanwezig zal moeten zijn, om bepaalde ploicies te krijgen.

donderdag 23 maart 2006 18:21

Acties:

Abom

nielsvd schreef op donderdag 23 maart 2006 @ 15:44:
[...]
Ja, die staat in dezelfde OU. In eerste instantie niet, dus dat is natuurlijk het probleem.
Ik zu nu dat alle andere GPO's die reeds bestonden eigenlijk alleen computer settings hadden ingesteld. Maar het is nu duidelijk dat wanneer een policy specifieke user settings heeft er ook user in de OU aanwezig zal moeten zijn, om bepaalde ploicies te krijgen.

Dit is correct...mocht het perse nodig zijn dat het user account in een andere OU moet staan, kun je nog altijd loop back processing gebruiken. Dit zorgt ervoor dat het user configuration gedeelte van een GPO die toegepast wordt op een computer, toch toegepast wordt op de user die op de computer inlogt. Je kunt ook bepalen of settings van de user toch toegepast moeten worden (merge) of dat alles overruled moet worden door de GPO op je computer object (overwrite).