[2003] Computer policy alleen toepassen als bep. user inlogt

Pagina: 1
Acties:
  • 193 views sinds 30-01-2008
  • Reageer

  • Plankje
  • Registratie: November 2002
  • Laatst online: 14-09-2023
Hallo,

Ik heb een Windows 2003 enterprise server en een Windows XP workstation.
Nou heb ik in mijn group policy een bepaald menu (de Internet Opties van Internet Explorer) afgeschermd. Deze staat onder Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel in Server 2003. Nou is het probleem dat deze instelling alleen wordt toegepast als ik de policy op mijn workstation toepas. Op zich maakt dit niet uit, maar als ik als admin inlog dat pakt de computer ook deze instellingen.
Want de instellingen onder computer configuration worden altijd toegepast als ik de policy toepas op de workstation, terwijl de instellingen onder user configuration alleen worden toegepast als ik de policy toepas op bepaalde users.

Mijn vraag is dus: hoe kan ik ervoor zorgen dat er andere policy met dus andere instellingen onder computer configuration wordt geladen wanneer admins of powerusers inloggen, want ik wil als admin natuurlijk wel volledige toegang hebben tot een computer.

Ik kon overigens geen antwoord vinden via de documentatie van Server 2003 danwel in andere topics op dit forum

  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 10:55
Volgens mij werkt het volgende (niet getest...)
Loopback aanzetten op een user policy zorgen dat admin(s) alleen apply krijgen en in die policy de computer configuration aanpassen.

Of werkt dat alleen in dezelfde OU.....

  • StarWing
  • Registratie: Januari 2003
  • Laatst online: 05:46

StarWing

Huh ?!?

Je zou kunnen proberen met WMI filtering, al kan ik daar weinig over zeggen.

Wat je ook kan doen is een deny zetten op die bepaalde policy voor de admin. Een deny op applyen van de policy, niet op editten ervan. Zo doe ik het hier ook. Indien de admin inlogt op een systeem worden er geen policy's geladen, althans niet waarvan ik de admin een deny tot de policy gegeven heb.

Page intentionally left blank.


  • Plankje
  • Registratie: November 2002
  • Laatst online: 14-09-2023
StarWing schreef op dinsdag 12 september 2006 @ 13:55:
Je zou kunnen proberen met WMI filtering, al kan ik daar weinig over zeggen.

Wat je ook kan doen is een deny zetten op die bepaalde policy voor de admin. Een deny op applyen van de policy, niet op editten ervan. Zo doe ik het hier ook. Indien de admin inlogt op een systeem worden er geen policy's geladen, althans niet waarvan ik de admin een deny tot de policy gegeven heb.
Ik heb dus al geprobeerd de admin een deny te geven, maar wat er dan gebeurt is dat alleen de user configuration wordt geblokt. De computer configuration wordt doodleuk geladen (immers de workstation heeft een allow-vinkje).

Het aanzetten van loopback kan alleen bij computer configuration, met als gevolg dat ik voor die specifieke computer wel een aparte user policy kan laden, maar omdat loopback niet bij user configuration staat kan ik dus niet voor een specifieke user een aparte computer policy laden.

En WMI filtering ben ik niet mee bekend, wellicht dat iemand mij daar wegwijs in kan maken?

  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 10:55
Waarom gebruik je het dan niet op user niveau? Je hebt nu een computer policy gemaakt volgens mij en je kan het ook gewoon bij de users instellen.

  • Plankje
  • Registratie: November 2002
  • Laatst online: 14-09-2023
Archie_T schreef op dinsdag 12 september 2006 @ 14:22:
Waarom gebruik je het dan niet op user niveau? Je hebt nu een computer policy gemaakt volgens mij en je kan het ook gewoon bij de users instellen.
Het probleem is dat de instellingen die onder computer configuration staan altijd geladen worden voor de computers die lid zijn van die GPO. Ik kan dus niet zeggen (voor zover ik weet) van: hey, ik ben een admin, vergeet die GPO eens even. Ik kan dan voor admins deny-en wat ik wil, maar dit heeft alleen maar effect voor de instellingen onder user configuration, terwijl onder computer configuration ook instellingen staan die geblokt moeten worden voor users, maar niet voor admins. Ik zou het niet weten hoe ik ervoor kan zorgen dat als ik inlog als admin dat er dan geen GPO's geladen worden, want instellingen bij computer configuration zijn dus computer-specifiek en dus niet per user instelbaar volgens mij.

  • Question Mark
  • Registratie: Mei 2003
  • Nu online

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Geef eens een voorbeeld van een computer setting, die alleen voor enkele users moet gaan gelden. Denk dat je weinig gaat vinden....

Instellingen die voor een computer gelden, ongeacht welke user aanlogt zet je in de computer configuration. Alle user gerelateerde settings zet je in een Group Policy met user-settings (en dan met Apply rechten gaan filteren). Wat Archi ook al aangegeven heeft.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • Plankje
  • Registratie: November 2002
  • Laatst online: 14-09-2023
Question Mark schreef op dinsdag 12 september 2006 @ 14:35:
Geef eens een voorbeeld van een computer setting, die alleen voor enkele users moet gaan gelden. Denk dat je weinig gaat vinden....

Instellingen die voor een computer gelden, ongeacht welke user aanlogt zet je in de computer configuration. Alle user gerelateerde settings zet je in een Group Policy met user-settings (en dan met Apply rechten gaan filteren). Wat Archi ook al aangegeven heeft.
De meeste dingen kun je idd wel bij user settings instellen, daar ben ik het wel met jullie eens.
Het probleem echter is dat op sommige computers mogen de users bijvoorbeeld hun Internet Explorer settings veranderen, maar er zijn ook computers die vanwege bedrijfstechnische redenen beter beveiligd moeten zijn en dus de internet explorer control panel wat gestript moet worden. Dit dacht ik dus te doen via computer settings, maar het probleem is dan dat ik als admin ook niet meer bij die settings kan en dat moet dus wel kunnen.
Dus wat ik eigenlijk wil is: als user A inlogt op Computer B, dan moeten settings C actief worden, maar als dezelfde user A inlogt op Computer D, dan moeten settings E actief worden, maar een admin moet altijd overal volledige rechten hebben. En dan heb ik het idd over settings die je zowel bij computer en user configuration kunt instellen...

  • Vincenz0
  • Registratie: Augustus 2006
  • Laatst online: 15-12-2025

Vincenz0

Coder

maak een organizational unit aan met al je gebruikers behalve Administrators, zet hier de policy op, klaar.

Coding 4 Fun!


  • Plankje
  • Registratie: November 2002
  • Laatst online: 14-09-2023
Vincenz0 schreef op dinsdag 12 september 2006 @ 15:35:
maak een organizational unit aan met al je gebruikers behalve Administrators, zet hier de policy op, klaar.
zo ver was ik al ;), maar hoe zorg ik er dan voor dat als op computer A wordt ingelogd door een user er andere settings actief worden dan wanneer er op computer B wordt ingelogd, zonder de rechten van de admins aan te tasten. Dit kan dus idd door de instellingen te doen onder user configuration ipv computer configuration. Het probleem hier is alleen dat als ik een user lid maak van een policy dat deze regels op elke computer gelden en ik niet kan aangeven dat een policy alleen toegepast mag worden op computer A en C, maar niet op B. De settings in user configuration gelden voor de users die eraan gekoppeld zijn op elke computer.

Verwijderd

Plankje schreef op dinsdag 12 september 2006 @ 15:19:
[...]

De meeste dingen kun je idd wel bij user settings instellen, daar ben ik het wel met jullie eens.
Het probleem echter is dat op sommige computers mogen de users bijvoorbeeld hun Internet Explorer settings veranderen, maar er zijn ook computers die vanwege bedrijfstechnische redenen beter beveiligd moeten zijn en dus de internet explorer control panel wat gestript moet worden. Dit dacht ik dus te doen via computer settings, maar het probleem is dan dat ik als admin ook niet meer bij die settings kan en dat moet dus wel kunnen.
Dus wat ik eigenlijk wil is: als user A inlogt op Computer B, dan moeten settings C actief worden, maar als dezelfde user A inlogt op Computer D, dan moeten settings E actief worden, maar een admin moet altijd overal volledige rechten hebben. En dan heb ik het idd over settings die je zowel bij computer en user configuration kunt instellen...
grouppolicy filteren met een wmi query. Deze koppelen aan de users ou en de settings alleen active maken als %computername% voldoet aan bepaalde computernamen. Stond hierboven ook al ergens overigens.

  • Question Mark
  • Registratie: Mei 2003
  • Nu online

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Of loopback policy processing inzetten. Dit zorgt ervoor dat de lokatie van een computerobject in je AD "leading" wordt voor het toepassen van usersettings binnen je OU. Was ook al eerder gezegt overigens.
Group Policy applies to the user or computer in a manner that depends on where both the user and the computer objects are located in Active Directory. However, in some cases, users may need policy applied to them based on the location of the computer object alone. You can use the Group Policy loopback feature to apply Group Policy Objects (GPOs) that depend only on which computer the user logs on to.
De computerobjecten waar de users verschillende rechten op moeten hebben, plaats je in aparte OU's met verschillende grouppolicy's. '

t is maar net waar je voorkeur ligt: of WMI filtering met als nadeel dat je bv. je computernaamgeving goed in de gaten moet houden (als je besluit om daarop te filteren), of loopback policy processing, wat tot gevolg heeft dat het aantal OU's en policy's toe gaat nemen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

WMI filtering heeft bovendien het nadeel dat het op pre-XP clients niet werkt :)

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

elevator schreef op dinsdag 12 september 2006 @ 21:12:
WMI filtering heeft bovendien het nadeel dat het op pre-XP clients niet werkt :)
Dan moet je het andersom toepassen :)
WMI filtering gebruiken om een policy te applyen tenzij de filtering niet werkt :P

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Maar dat gaat dan weer niet per user die op een Win2000 machine inlogged :P

Aan de andere kant, ik kan je uit ervaring vertellen dat de combinatie van loopback policies en PCs die zichzelf een totaal andere functie moeten aanmeten naar gelang van het type toestel *en* het type gebruiker, een zeer complexe GPO structuur opleveren waar je niet per se blij van wordt :X :)
Pagina: 1