[2003] Policies pushen naar clients - Serversoftware en clouddiensten

dinsdag 12 september 2006 16:52

Acties:

Verwijderd

Topicstarter

Geachte mede tweakers.

Sinds Active Directory schijnt het mogelijk te zijn om de policies over te zenden naar de clients die op het domein inloggen.

Nu hebben we een mooie script (bevind zich in de group policie van het active directory) die er voor zorgt dat bepaalde netwerk schijven aangeroepen worden en printers automatisch worden toe gevoegd. Tot dus ver gaat alles prima.

Het probleem is alsvolgt, ik heb sinds vandaag in de group policies een setting aagepast waarmee ik er voor wil zorgen dat de client de service MESSENGER (niet verwarren met MSN) wil activeren en laten draaien. Nu heb ik het hele group policie afgezocht en de lokatie achterhaald waar dit dient ingesteld te worden. Na het instellen (en het opnieuw inloggen van de gebruiker) zou er bij de gebruiker de setting moeten worden geactiveerd. Maar tot mijn grote verbazing wil dit niet lukken op de client pc's.

Zelf het commando GPUPDATE /Force of /boot wil geen uitkomst bieden, de setting op de client pc blijft vrolijk gedeactiveerd en word niet geactiveerd.

Alvast bedankt

dinsdag 12 september 2006 16:55

Acties:

Vincenz0

Coder

heb je hem ook al echt gereboot?

probeer ook eens de service op manual te zetten en de gebruikers ook rechten te geven tot het starten er van (staat in een knopje verder bij de policy)

Coding 4 Fun!

dinsdag 12 september 2006 19:41

Acties:

Verwijderd

Welke heb je gezet?

User Configuration\Administrative Templates\Windows Components\Windows Messenger
"Do not allow Windows Messenger to be run”
“Do not automatically start Windows Messanger initially”

?

En ik neem aan dat je hem niet ziet als je een resultant set of policies doet?

dinsdag 12 september 2006 20:45

Acties:

alt-92

ye olde farte

Verwijderd schreef op dinsdag 12 september 2006 @ 19:41:
Welke heb je gezet?

User Configuration\Administrative Templates\Windows Components\Windows Messenger
"Do not allow Windows Messenger to be run”
“Do not automatically start Windows Messanger initially”

?

.....en dat is nou net niet de goede

Domain Users hebben in principe niet eens genoeg rechten om services aan of uit te zetten.

Je kan bij je GPO kijken bij Computer Configuration \ Windows Settings \ Security Settings \ System Services.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 12 september 2006 21:15

Acties:

elevator

Officieel moto fan :)

Windows Clients >> Windows Servers en Software

dinsdag 12 september 2006 23:16

Acties:

leon1e

Kijk ook even met gpresult welke policy's er toegepast zijn.

woensdag 13 september 2006 15:31

Acties:

Verwijderd

Topicstarter

Vincenz0 schreef op dinsdag 12 september 2006 @ 16:55:
heb je hem ook al echt gereboot?

probeer ook eens de service op manual te zetten en de gebruikers ook rechten te geven tot het starten er van (staat in een knopje verder bij de policy)

Natuurlijk heb ik het systeem gereboot, hellaas geen effect.

Service op manual zetten heeft geen zin aangezien het juist automatisch moet gaan onafgezien welke instelling er op het systeem ingesteld staat.

woensdag 13 september 2006 15:36

Acties:

Verwijderd

Topicstarter

BackSlash32 schreef op dinsdag 12 september 2006 @ 20:45:
[...]

.....en dat is nou net niet de goede
Domain Users hebben in principe niet eens genoeg rechten om services aan of uit te zetten.

Je kan bij je GPO kijken bij Computer Configuration \ Windows Settings \ Security Settings \ System Services.

Hier heb ik dus de instelling gewijzigd, deze staat momenteel op Automatic, met als instellingen in de security gedeelte van de setting, FULL CONTROLL.

Het lijkt mij dat dit voldoende moet zijn.

woensdag 13 september 2006 16:11

Acties:

Verwijderd

Topicstarter

Inmiddels heb ik het probleem opgelost door (hoe simpel het ook klinkt) de gebruiker toe te voegen aan de local admin groep.

Hellaas is dit dan nog steeds een opstakel aangezien in het bedrijf niet iedereen local admin is of mag. Is er een omweg voor dit probleem wat iemand kan bedenken zodat de service Messenger wel geactiveerd kan worden.

woensdag 13 september 2006 17:53

Acties:

Verwijderd

ummm het is een computer policy, local admin zou hier niets mee te maken moeten hebben.

woensdag 13 september 2006 22:20

Acties:

Verwijderd

BackSlash32 schreef op dinsdag 12 september 2006 @ 20:45:
[...]

.....en dat is nou net niet de goede
Domain Users hebben in principe niet eens genoeg rechten om services aan of uit te zetten.

Je kan bij je GPO kijken bij Computer Configuration \ Windows Settings \ Security Settings \ System Services.

Ik begrijp je punt niet helmaal, maar laten we even bij het begin beginnen, want local admin rechten is een beetje veel van het goede.

Neem de 2 policies die ik je gaf en zet de waarde op "Disabled" (Do not + disable = enable)
Verder moet je zeker zijn dat de users group execute rechten heeft op de executables van de msn messenger, maar default heeft iedereen execute dus dat moet niets uitmaken.

donderdag 14 september 2006 00:24

Acties:

elevator

Officieel moto fan :)

mens_rea, lees nou de topicsart nog eens goed? Ik zal even twee stukjes quoten, eerst jouw stuk en dan de TS:

Verder moet je zeker zijn dat de users group execute rechten heeft op de executables van de msn messenger

ik heb sinds vandaag in de group policies een setting aagepast waarmee ik er voor wil zorgen dat de client de service MESSENGER (niet verwarren met MSN) wil activeren en laten draaien

Dusschh...

Verder mensen lokaal admin maken is per definitie niet slim - dat je dit soort concepten niet begrijpt betekent ook dat je zelf dus teveel als administrator werkt, als je namelijk normaal gesproken met een normale user account had gewerkt dan had je geweten dat jij die messenger service helemaal niet kan aanpassen of kan starten, en dan had je dat logon script niet eens geprobeerd

Het aanpassen van de service moet je idd via de GPO doen - als dat niet lukt, list dan even:

Exact wat je gedaan hebt (welke GPO, op welke OU hangt die, wat zitten er voor objecten in die OU)
De relevante delen van de "GPRESULT /V"
De setting van de messenger service (je kan een service wel op 'automatic' zetten, maar die start dan pas bij de eerste reboot he)

donderdag 14 september 2006 08:27

Acties:

Verwijderd

Topicstarter

elevator schreef op donderdag 14 september 2006 @ 00:24:
Verder mensen lokaal admin maken is per definitie niet slim - dat je dit soort concepten niet begrijpt betekent ook dat je zelf dus teveel als administrator werkt, als je namelijk normaal gesproken met een normale user account had gewerkt dan had je geweten dat jij die messenger service helemaal niet kan aanpassen of kan starten, en dan had je dat logon script niet eens geprobeerd

Het aanpassen van de service moet je idd via de GPO doen - als dat niet lukt, list dan even:
Exact wat je gedaan hebt (welke GPO, op welke OU hangt die, wat zitten er voor objecten in die OU)
De relevante delen van de "GPRESULT /V"
De setting van de messenger service (je kan een service wel op 'automatic' zetten, maar die start dan pas bij de eerste reboot he)

De keuze om mensen local admin te maken is berust op het feit of de gebruiker een laptop of en een desktop heeft. En het feit dat de user de stettings zelf aan moet kunnen passen is niet aan de orde, het enige wat ik zelf voor elkaar wil krijgen is dat vanuit de server de setting op een bepaalde manier is ingesteld is en dat elke pc dat vervolgens overneemt.

En het feit dat het niet zou lukken om de setting aan te passen in de GPO is niet aan de orde, zoals ik al eerder had gemeld is dit wel degelijk gelukt en staat de instelling correct ingesteld. Het ging er om dat de pc waarop de instelling ingesteld moet worden de setting niet overneemt, ongeacht welke user met welke rechten inlogt, bij de opgave GPRESULT krijg je een melding te zien dat de setting overgenomen is en toegepast is. Zodra je dit fiesiek gaat controleren blijkt er echter niets gebeurt te zijn, tot je de user als local admin toevoegt. Hierna gaat alles flekkeloos.

[ Voor 3% gewijzigd door Verwijderd op 14-09-2006 08:27 ]

donderdag 14 september 2006 13:58

Acties:

elevator

Officieel moto fan :)

Volgens mij vraag ik hierboven om wat meer informatie als het niet werkt, waarom geef je die niet?

vrijdag 15 september 2006 09:56

Acties:

Verwijderd

Topicstarter

elevator schreef op donderdag 14 september 2006 @ 13:58:
Volgens mij vraag ik hierboven om wat meer informatie als het niet werkt, waarom geef je die niet?

Goed om dan geheel in jouw stijl antwoord te geven (stond in reply ook maar niet in zelfde stijl)

1> Exact wat je gedaan hebt (welke GPO, op welke OU hangt die, wat zitten er voor objecten in die OU)

Ant. In de GPO van Computer Config > Security Settings > System Services heb ik de service Messenger geactiveerd op Automatic, met als security instelling Everyone > Full Controll. Deze GPO hangt natuurlijk op het gehele Domein, via Group Policies op alle onderstaande objecten.

2> De relevante delen van de "GPRESULT /V"

Ant. Ik ga niet de gehele lijst posten, maar het belangerijste volgens mij is dit: Groepsbeleidsobjecten: Default Group Policy Instelling: Software\Policies\Microsoft\Messenger\Client Status: Ingeschakeld.

3> De setting van de messenger service (je kan een service wel op 'automatic' zetten, maar die start dan pas bij de eerste reboot he)

Ant. Natuurlijk heb ik de machine gereboot nadat ik de GPUPDATE commando gestart had op het systeem. Zelf na een gpupdate /force of /boot was er geen verschil

Nogmaals, alle dingen die volgens mij logisch zijn om aan te passen is gedaan, daarom melde ik ook dat na het toevoegen van de user als Local Admin het wel degelijk werkte. Daarvoor niet.

We hebben al een interne overleg gehad en wachten waarschijnlijk op een update van ons mail systeem waardoor wij een Messenger functie krijgen die basis gezien het zelfde kan realiseren.

Hopelijk heb je hierbij meer informatie gekregen

zaterdag 16 september 2006 00:06

Acties:

alt-92

ye olde farte

Gpmc wil ook wel eens helpen om iets goed inzichtelijk te maken

Daarnaast:

In de GPO van Computer Config > Security Settings > System Services heb ik de service Messenger geactiveerd op Automatic, met als security instelling Everyone > Full Controll.
Deze GPO hangt natuurlijk op het gehele Domein, via Group Policies op alle onderstaande objecten.

Zo natuurlijk is dat niet hoor

Ten eerste kunnen Domain users ook gewoon start/stop/pause rechten voor een service krijgen.
Dat is genoeg, meer rechten hebben ze ook niet nodig.

Ten tweede zou je bij je GPresult ook dit moeten hebben:

code:

COMPUTER SETTINGS
------------------
 
    Applied Group Policy Objects
    -----------------------------
        GP_SP2Desktop
        GP_win2kstylepolicies
        WSUS - Desktops
        Assigned Software - FlashPlayer8
        Assigned Software - JRE5.0sp6Upgrade
        CIFS-secure
        Default Domain Policy
        Local Group Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        AppCFG_User_Office settings
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups:
    --------------------------------------------------------

    Resultant Set Of Policies for Computer:
    ----------------------------------------

  [knipperdeknip]


      System Services
        ---------------

            GPO: GP_SP2Desktop
                ServiceName: Messenger
                Startup:     Automatic

Over je punt 3: als je policies doorgevoerd zijn hoor je als Joe User ook met net start messenger het ding te kunnen opstarten, zonder reboot zelfs.

[ Voor 13% gewijzigd door alt-92 op 16-09-2006 10:12 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 16 september 2006 09:06

Acties:

elevator

Officieel moto fan :)

Verwijderd schreef op vrijdag 15 september 2006 @ 09:56:
Instelling: [Software\Policies\Microsoft\Messenger\Client Status: Ingeschakeld.

Ah, je hebt dus MSN Messenger aangezet, zinvol aangezien je in je topic start zegt dat je dat niet wou

Nogmaals, alle dingen die volgens mij logisch zijn om aan te passen is gedaan, daarom melde ik ook dat na het toevoegen van de user als Local Admin het wel degelijk werkte. Daarvoor niet.

Nee, wat daarna werkte is dat jouw logon script opeens de messenger service kan starten, maar aangezien je dat soort dingen beter via een policy kan regelen, is dat dus helemaal niet van toepassing

Ik denk nog steeds dat de policy die je ingesteld hebt niet geapplied wordt en heb tot nu toe nog steeds niet genoeg informatie (op welke GPO heb je die service op automatic gezet? Is dat die "Default Policy" van je?, staan er wel computers in de OUs waar je die policy aan gelinked hebt?) om dat te ontkrachten

maandag 18 september 2006 08:14

Acties:

Verwijderd

Topicstarter

elevator schreef op zaterdag 16 september 2006 @ 09:06:
[...]

Ah, je hebt dus MSN Messenger aangezet, zinvol aangezien je in je topic start zegt dat je dat niet wou

Nogmaals MSN Messenger IS NIET ACTIEF, en ook niet actief gezet, er zijn twee verschillende optie te selecteren in de GPO, en deze is dus niet de MSN Messenger, geloof me meerdere keren getest en ook vergeleken met GPRESULT /v de geeft duidelijk de melding MSN Messenger active, en de ander Messenger\Client dus in mijn ogen twee verschillende functies.

maandag 18 september 2006 08:16

Acties:

Verwijderd

Topicstarter

elevator schreef op zaterdag 16 september 2006 @ 09:06:
Ik denk nog steeds dat de policy die je ingesteld hebt niet geapplied wordt en heb tot nu toe nog steeds niet genoeg informatie (op welke GPO heb je die service op automatic gezet? Is dat die "Default Policy" van je?, staan er wel computers in de OUs waar je die policy aan gelinked hebt?) om dat te ontkrachten

Alle instellingen die ik in deze topic besproken heb gaat om het default policy voor het gehele domein, daarin zit elke user en elke compuetr die het domein maar kent, er zijn geen users of computers buiten dit domein. Elke pc waarvan wij weten waarvan de user in Local Admin groep zit is de instelling ook met succes overgenomen, de gebruikers waarvan wij weten dat ze geen local admin zijn hebben deze instelling in inactief staan.

maandag 18 september 2006 10:33

Acties:

elevator

Officieel moto fan :)

Verwijderd schreef op maandag 18 september 2006 @ 08:14:
Nogmaals MSN Messenger IS NIET ACTIEF, en ook niet actief gezet, er zijn twee verschillende optie te selecteren in de GPO, en deze is dus niet de MSN Messenger, geloof me meerdere keren getest en ook vergeleken met GPRESULT /v de geeft duidelijk de melding MSN Messenger active, en de ander Messenger\Client dus in mijn ogen twee verschillende functies.

Doe nou eens niet zo raar en neem gewoon aan wat ik zeg in plaats van hier in je misplaatste eigenwijsheid te volharden?

De policy die je aangeeft is de "Windows Messenger" - ga naar How to prevent Windows Messenger from running on a Windows XP-based computer toe en lees deeze eens en zie dat: 1). Dezelfde registry key genoemd wordt, 2). het wel degelijk over Windows (MSN) Messenger gaat en dit dus *niks* te maken heeft met de Messenger service die jij zegt te willen enablen in je topic start

Nogmaals - jij hebt het verkeerde zitten enablen, je gpresult geeft ook absoluut niet terug dat je Messenger service enabled is. Wat Backslash32 ook al aangeeft hier is dat je iets als:

code:

1 2	ServiceName: Messenger Startup: Automatic

moet hebben in je "gpresult /v", zolang je dat niet hebt staat of je policy niet goed of doe je nog iets anders fout.

Verder is het in het algemeen afgeraden om de default policies te wijzigen

maandag 18 september 2006 15:14

Acties:

Verwijderd

Topicstarter

elevator schreef op maandag 18 september 2006 @ 10:33:
[...]

Doe nou eens niet zo raar en neem gewoon aan wat ik zeg in plaats van hier in je misplaatste eigenwijsheid te volharden?

De policy die je aangeeft is de "Windows Messenger" - ga naar How to prevent Windows Messenger from running on a Windows XP-based computer toe en lees deeze eens en zie dat: 1). Dezelfde registry key genoemd wordt, 2). het wel degelijk over Windows (MSN) Messenger gaat en dit dus *niks* te maken heeft met de Messenger service die jij zegt te willen enablen in je topic start

Nogmaals - jij hebt het verkeerde zitten enablen, je gpresult geeft ook absoluut niet terug dat je Messenger service enabled is. Wat Backslash32 ook al aangeeft hier is dat je iets als:
code:
1
2
               ServiceName: Messenger
                Startup:     Automatic
moet hebben in je "gpresult /v", zolang je dat niet hebt staat of je policy niet goed of doe je nog iets anders fout.

Verder is het in het algemeen afgeraden om de default policies te wijzigen

Goed ik ben eigenwijs en ik kijk met eigen ogen naar de instellingen die mij scherm opgeven en ik ben gek. Kijk ik weet dat er verschillen zijn en dat heb ik ook uitvoerig uitgezocht, Ik wist van te voren dat ik goed moest opletten welke service ik wel of niet zou activeren, dus geloof me aub dat ik wel degelijk weet welke ik heb aangezet. En dat was dus niet de MSN variant.

En over de resultaat van GPRESULT, als je goed gelzen had heb ik al eerder vermeld dat ik WELDEGELIJK ServiceName: Messenger Startup: Automatic als melding heb gehad.

Maar evengoed is er besloten intern niet gebruik te gaan maken van messenger aangezien wij een andere oplossing hebben gevonden voor dat gene wat we uitendelijk met de messenger dienst wilde gebruiken. Even goed bedankt voor alle hulp van iedereen $_/-\o_$

maandag 18 september 2006 15:15

Acties:

Verwijderd

Topicstarter

BackSlash32 schreef op zaterdag 16 september 2006 @ 00:06:
Gpmc wil ook wel eens helpen om iets goed inzichtelijk te maken
Daarnaast:

[...]

Zo natuurlijk is dat niet hoor Ten eerste kunnen Domain users ook gewoon start/stop/pause rechten voor een service krijgen.
Dat is genoeg, meer rechten hebben ze ook niet nodig.

Ten tweede zou je bij je GPresult ook dit moeten hebben:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
COMPUTER SETTINGS
------------------
 
    Applied Group Policy Objects
    -----------------------------
        GP_SP2Desktop
        GP_win2kstylepolicies
        WSUS - Desktops
        Assigned Software - FlashPlayer8
        Assigned Software - JRE5.0sp6Upgrade
        CIFS-secure
        Default Domain Policy
        Local Group Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        AppCFG_User_Office settings
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups:
    --------------------------------------------------------

    Resultant Set Of Policies for Computer:
    ----------------------------------------

  [knipperdeknip]


      System Services
        ---------------

            GPO: GP_SP2Desktop
                ServiceName: Messenger
                Startup:     Automatic
Over je punt 3: als je policies doorgevoerd zijn hoor je als Joe User ook met net start messenger het ding te kunnen opstarten, zonder reboot zelfs.

KLopt hierbij heb ik inderdaad de verkeerde gpresult gedisplayd, mijn oprechte excuses hierover.

Pagina: 1

Reageer