[W2K3] Loopback policy / GPO

Een interessant vraagstuk denk ik..

Hoe pas ik een User Configuration deel van Policy toe op specifieke computers; dit terwijl alle computers al in een Loopback processing OU zitten.

Uitleg:
Wij hebben een Terminal Service omgeving opgezet. Alle gebruikers melden zich via de Remote Desktop Client aan en krijgen netjes hun profiel. De desktop en wat zij mogen/kunnen wordt allemaal door polices vastgesteld.

Nu is het zo dat de werkplekken van waar deze mensen zich aanmelden ingesteld moesten worden als "domme" werkplek. We hebben alle PC's opgenomen in het domein en in één OU geplaatst. Op deze OU hebben we een aantal policies toegepast:

- Loopback Policy / replace mode (Computer Configuration - die er voor zorgt dat de policies uit de computer OU worden uitgevoerd)
- Autologon Policy (Computer Configuration - die middels een startup script het register aanpast zodat de PCs via een standaard username automatisch in het domein aanmelden)
- Desktop Layout Policy (User Configuration - die alles behalve Internet Explorer en Remote Desktop afschermt. Deze policy plaatst ook een Remote Desktop icoon op het bureaublad welke alleen lokale printers mapt richting Terminal Server).

Nu is het alleen zo dat sommige computers (waar een modem aan hangt) ook de com-poort via Remote Desktop moeten linken. Hiervoor heb ik een script die een nieuw Remote Desktop icoon op de computer zou moeten plaatsen die dit linkt. Probleem is alleen, hoe zorg je er voor dat ALLEEN de computers met een modem (die ik een een security group heb geplaatst) deze policy toepassen.

Het voornaamste issue is dat het om een User Configuration deel gaat dat afhankelijk van de computer wel/niet uitgevoerd mag worden. Ik heb al geprobeert om "Authenticated Users" alleen Apply rechten te geven en de "Modem Computers" groep in te plaatsen "Read" en "Apply" rechten te geven; echter wordt het User Configuration deel dan niet uitgevoerd omdat het geen toegang heeft.

Iemand een idee om dit voor elkaar te krijgen?

Ik zat inderdaad ook al met WMI in mijn hoofd; ook al is mijn ervaring daarmee (nog) niet zo groot. Maar je oplossing klinkt wel mooi Het gaat hier inderdaad om Windows XP en 2K3 only (met uitzondering van één W2K systeem)

Omdat alleen PC's in de securitygroup zitten, is het probleem trouwens dat, wanneer ik authenticated users er uit mik, alleen het computer-policy deel uitgevoerd wordt omdat hij geen rechten zou hebben op het user deel; reden die hij opgeeft: Denied (Security).

Ik ga inderdaad eens stoeien met de WMI Filters. Thanks

[ Voor 10% gewijzigd door Zoetjuh op 07-01-2007 23:27 ]

Iemand trouwens nog enig idee hoe/of dit zonder WMI mogelijk is?
Ben er namelijk nog niet in geslaagd; WMI tests kan ik pas morgen/overmorgen echt aan beginnen.

@Question Mark
Zat ik inderdaad aan te denken. Dat gaat alleen goed zolang ik in de toekomst geen mixjes wil tussen zaken die toegepast worden in de verschillende OU's; dan wordt het een onduidelijke spagetti; vandaar dat ik dit liever niet doe.

@WaSteiL
Dit is precies wat ik wilde. Ik heb een Global Security Group aangemaakt met daar de PCs met modem in; echter als ik dan een RSOP planning uitvoer; geeft hij aan dat hij geen rechten heeft op het uitvoeren van de User Configuration deel van de betreffende policy (en daar staat juist het script dat moet worden uitgevoerd). Momenteel staan de rechten zo:

CREATOR OWNER: (Standaard settings) special
Domainadministrators: (Standaard settings) read, write, create all.., delete all..., en "special"
ENTERPRISE DOMAIN CONTROLLERS: (Standaard settings) read en "special"
Ondernemingsadministrators: (Standaard settings) read, write, create all.., delete all..., en "special"
Modem Computer Groep: Read en Apply

Als ik dan ga naar de eigenschappen van de Use Configuration van de RSOP (Planning) en daar "Display all GPOs and filtering status" aanvink; dan zie ik bij de betreffende policy "Denied (Security)"

Dank jullie wel.