Policy terminal server

3e OU met daarin de Terminal Servers, voorzien van een policy met loopback processing is de meest gebruikte methode geloof ik.

aktnz, hier op GoT zien we graag terug wat je zelf allemaal al hebt ondernomen om een antwoord te vinden op je vraag. Ook is het nuttig om te weten welke besturingssystemen je allemaal gebruikt (graag in de topictitel voortaan), en wat je al had geprobeerd.

Verwijderd schreef op dinsdag 17 oktober 2006 @ 19:29:
De active directory die ik heb opgezet waarbij computers en users beiden in een OU zijn ondergebracht.

Binnenkort krijg ik ook te maken met terminal servers.

Klopt het dat ik nu beste 3 OU's maak voor mijn domein t.w Computers, Users en eentje waarin de terminal servers (waarop voorlopig alleen een machinepolicy wordt toepast) komen, of kan ik de huidige opzet toch handhaven.

Bedankt alvast

Aktnz,

Ga eens kijken op fora's als www.brainmadden.com/forum www.dabcc.com en natuurlijk www.datacrash.net over terminal servers etc.

Beste OU structuur naar mijn mening is volgende
OU Users
OU Normale Servers
OU Terminal Servers

In de OU Terminal Servers zet je sowieso de machine policies om je terminal server(s) zo te configureren dat men niks tot weinig kan en met Group Policy Loopback mode maak je de user policies aan. Dit houd in dat als men op de terminal servers inlogt men alleen dan de hele restrictive policies over zich heen krijgt gegoten maar niet als men op een andere server werkt.

Er is geen "beste" OU structuur hoogstens eentje die door 99% van de mensen als algemeen handig/geaccepteerd wordt gezien.

Je kan natuurlijk ook een OU maken voor alle machines met global policies en policy-inheritance en daaronder sub-OU's met het type machine en aanvullende policies.

OU al mijn hardware
subOU thin-clients
subOU fat-clients
subOU terminal servers
subOU cluster servers

Daarbij kan je voor users ook ontieglijk veel onderverdelingen realiseren afhankelijk van je lokatie, subnet, memberships en wat je maar wil

Nope, ziet er ok uit voor jouw situatie

Wat voor jou overzichtelijk en handig is, moet je zelf implementeren. Bedenk alleen dat je in sommige indelingen meer moet gaan "slepen" met GPO-links dan in andere indeling waar je met inheritance kan werken.

Dat zou ik niet doen; moet je constant kijken of policies elkaar niet bijten op user of machine niveau. Je weet wel; de ontkennende policy die je op Enabled had gezet...

Hou in ieder geval een scheiding aan tussen hardware en users; de overige (sub)-indeling moet je zelf maar bedenken.

[ Voor 13% gewijzigd door MAX3400 op 17-10-2006 21:44 ]

Ik hoop het...
Loopback processing in een policy toepassen doe je op de OU waar de machines in zitten. Je wil namelijk policies toepassen als iemand op de machines in die OU inlogt. Vrij logische plaats om die policy neer te zetten... Op machine-niveau en kent twee modes: merge en replace.
-Merge pakt ook policies mee die op de user-OU of hoger in de hierarchie gezet zijn voor users.
-Replace zorgt ervoor dat enkel de policies op de machine-OU toegepast worden.

Je wijst de policies voor users toe aan diezelfde machine ou, en dan zou het moeten werken.
Userpolicies die middels loopback processing op een workstation-ou toegepast worden zullen uiteraard niet op de terminal server worden uitgevoerd en vice versa als alles goed is ingesteld.

En welk OS gebruik je nou want zo komen we ook niet verder..

[ Voor 4% gewijzigd door sanfranjake op 19-10-2006 00:58 ]