Toon posts:

[WIN2K3 / AD / TS] Group policies willen niet werken op TS*

Pagina: 1
Acties:
  • 124 views sinds 30-01-2008
  • Reageer

Verwijderd

Topicstarter
De opzet is als volgt:

Er is 1 Windows 2003 server waar Active Directory op staat. Deze server is tevens Domain Controller. Op die server heb ik een OU gemaakt waar een andere Windows 2003 server (waar Terminal Server op staat) in hangt. Aan de OU heb ik een Group Policy gelinkt die effect heeft op een bepaalde gebruikersgroep (bijv. "testgebruikers") binnen de AD.

Binnen de AD heb ik een gebruiker aangemaakt die lid is van die groep "testgebruikers". Wanneer ik inlog op de server waar de AD op staat, dan wordt de GPO uitgevoerd en zie ik een beperkt start menu (dat heb ik zo ingesteld via de Group Policy Management Console). Echter, wanneer ik op de TS inlog (dat gaat prima), dan lijkt het alsof die GPO's niet werken. Ook wanneer ik op die server lokaal inlog wordt de GPO niet geladen (of werkt 'ie in ieder geval niet..).

Ik vermoed dat ik aardig dichtbij zit, maar ik zie denk ik wat over het hoofd, waardoor de GPO's niet geladen worden of iets in die zin.

In 't kort:
- 1x Windows 2003 = AD + DC
- 1x Windows 2003 = TS
- Ik wil inloggen op TS, met een gebruiker uit de AD, maar de GPO werkt niet / wordt niet geladen

Kan iemand mij verder helpen? Als je meer informatie nodig hebt, just ask.

Bedankt alvast.

(overigens ben ik pas morgen weer in staat om te reageren op eventuele reacties, dus als je even niks van me hoort...)

  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 04-02 22:51

FaceDown

Storende factor.

Hangt die groep testgebruikers wel onder dezelfde OU; oftewel: geldt de policy wel voor de group testgebruikers?

Groetjes, FaceDown.


  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Wees eens even iets duidelijker over je exacte configuratie qua policies en OU's. Tenzij je zelf met extra opties zoals loopback processing of read/security filtering hebt zitten rommelen zou namelijk: een policy die met user configuration-settings is gemaakt, en toegepast op een OU waar de users in zitten
gewoon moeten werken.
Dus even een totaalplaatje graag:
Terminal server qua dns-settings alleen de AD dnsservers?
In welke OU staan de pc's
In welke OU staan de users?
In welke OU de terminal servers?
Op welke ou's worden precies policies toegepast?
Windows Firewall uit op de ts?
Wat staat er in de eventlogs?

Ik begin namelijk al aan je kundigheid te twijfelen omdat je een server noemt waar naast Active Directory ook de domeincontroller rol aan is toegevoegd. Dit is namelijk een en dezelfde rol, wat je toch echt zou moeten weten voordat je met policies aan de slag gaat. Het is namelijk best complex ;)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


  • mutsje
  • Registratie: September 2000
  • Laatst online: 17-02 13:45

mutsje

Certified Prutser

ga eens werken met loopback group policy processing op die terminal server. Dat is namelijk het meest gebruikt bij terminal server omgevingen. Dan worden die specifieke policies alleen op de terminal servers uitgevoerd namelijk en niet op de rest van je omgeving.

Verwijderd

Topicstarter
FaceDown schreef op donderdag 29 juni 2006 @ 21:44:
Hangt die groep testgebruikers wel onder dezelfde OU; oftewel: geldt de policy wel voor de group testgebruikers?
Zeker. Bij Scope heb ik opgegeven dat het voor de groep "testgebruikers" is.
Het betreft op dit moment nog een testopstelling. Ik heb een apart netwerkje opgezet voor de servers. Er bestaan alleen AD dns-servers.
De pc's die naar de TS moeten connecten zitten niet binnen het netwerk (in de testopstelling wel overigens), aangezien het geheel aan het internet gekoppeld gaat worden (uiteraard nadat alles grondig getest is, maar het betreft nu nog even de opzet). Het is de bedoeling dat een aantal mensen vanaf thuis / werk naar deze TS kunnen connecten en vanaf daar een applicatie kunnen gebruiken.

Ik heb de Event-logs bekeken en kreeg een aantal meldingen over DNS, dat het domein "mydomain.local" niet benaderd kon worden. Ik heb dit domein in de host-file van de TS gezet. Daarna was de melding weg, maar krijg nu een andere:

code:
1
Event ID 1030: Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this.


Eerlijk gezegd begrijp ik niet helemaal wat deze melding is (na veel ge-google ook niet, blijft vaag).

Als test had ik de gebruikers waar het om gaat (ook de groep "testgebruikers") in dezelfde OU gesleept als waar de TS in staat. Dit had niet het gewenste resultaat, dus die heb ik weer teruggezet naar "Users".

@sanfranjake: AD is idd nieuw voor me. Voordeel is dat het een testopstelling is en ik dus zoveel kan rommelen als ik wil.

Verwijderd

volgens mij probeer je een policy aan een group te hangen, wat niet gaat werken.

Het user policy stuk werkt alleen als in de ou waar die policy gedefinieerd is, ook daadwerkelijk users inzitten. HET WERKT NIET OP GROEPEN. je kan wel een groep rechten geven/ontnemen op een policy, dat stuk werkt wel als de user zelf ook maar in de OU zit. Waar de group dan staat maakt niet uit... Overigens moet je dit zo veel mogelijk vermijden imho, dat maakt het allemaal veel complexer.
Uitzondering is zoals mutsje al aangaf loopback processing, maar dan moet de machine onder deze OU staan >> lees hier ff wat meer over

Event ID 1030 geeft aan dat je de melding erboven moet bekijken. Als dit 1058 (unable to locate gpt.ini oid) is zal het ongetwijfeld met smb signing te maken hebben...

[ Voor 34% gewijzigd door Verwijderd op 30-06-2006 12:22 ]


Verwijderd

Topicstarter
Verwijderd schreef op vrijdag 30 juni 2006 @ 12:14:
volgens mij probeer je een policy aan een group te hangen, wat niet gaat werken.

Het user policy stuk werkt alleen als in de ou waar die policy gedefinieerd is, ook daadwerkelijk users inzitten. HET WERKT NIET OP GROEPEN. je kan wel een groep rechten geven/ontnemen op een policy, dat stuk werkt wel als de user zelf ook maar in de OU zit. Waar de group dan staat maakt niet uit... Overigens moet je dit zo veel mogelijk vermijden imho, dat maakt het allemaal veel complexer.
Uitzondering is zoals mutsje al aangaf loopback processing, maar dan moet de machine onder deze OU staan >> lees hier ff wat meer over

Event ID 1030 geeft aan dat je de melding erboven moet bekijken. Als dit 1058 (unable to locate gpt.ini oid) is zal het ongetwijfeld met smb signing te maken hebben...
Oke, ik heb nu zowel de groep als de gebruiker in de OU staan waar ook de TS in staat. In de scope heb ik aangegeven dat zowel de gebruiker als de gebruikersgroep de GPO moet gebruiken, maar dat heeft helaas ook geen resultaat.

Loopback processing heb ik aan en uit gehad, allebei zonder effect. Het lijkt er naar mijn idee op dat de GPO totaal niet gekoppeld wordt aan de gebruiker.
Overigens is het niet zo dat de mensen die gaan inloggen op de TS ook lokaal kunnen inloggen. Zij hebben gewoon hun eigen pc-tjes vanwaar ze een TS verbinding opzetten, meer niet.

Betreft de eventlog, de melding "boven" die ik eerder gepost heb, is:
code:
1
Windows cannot determine the user or computer name. (The specified domain either does not exist or could not be contacted.). Group Policy processing aborted.


Maar, deze melding verschijnt dus niet meer sinds ik in de hostfile de naam van de AD server + domein heb geplaatst. Verder previous messages zijn er niet.

Ik moet iets over het hoofd zien?

Verwijderd

lol dat zie je zeker. Als je middels hostfile je domain alleen maar kan vinden, dan kom je niet verder dan ntlm authenticatie. Zorg dat je dns klopt en dan praten we verder...

Verwijderd

Topicstarter
Het werkt nu! Een kleine wijziging aangebracht in de DNS server, zodat het domein en de servers bekend waren. Dat ik hier niet eerder aan dacht... 8)7

Bedankt voor alle hulp in ieder geval. Ik ben er nog niet, maar heb een stap de goede richting op gemaakt, geloof ik ;)
Pagina: 1