Toon posts:

[Policies] Policies toepassen op bepaalde OU

Pagina: 1
Acties:
  • 108 views sinds 30-01-2008
  • Reageer

Verwijderd

Topicstarter
Ik zit met het volgende probleem:

Een Windows 2003 Domain Controller met Xp clients.
De Xp clients melden zich aan op het domein en door middel van policies worden er dingen geblokkeerd etc. Tot zover allemaal lekker standaard.

Maar, de policies die ingesteld staan op de OU worden niet uitgevoerd zo gauw de clients aanmelden en ook niet dmv gpupdate /force.
In de Windows 2003 Resource kit zit een winpolicies.exe waarmee als ik het goed heb begrepen kunt zien welke policy er wordt uitgevoerd.

Neem het volgende voorbeeld. Op alle pc's moeten de Windows Firewalls uitgeschakeld worden.
Dit staat onder:
Computer Configuration -> Administrative Templates -> Network -> Network Connection -> Windows Firewall -> Domain Profile -> Windows Firewall: Protect all network connections -> Disable

Maar als ik met een willekeurige gebruiker aanmeld zie ik niks gebeuren en winpolicies.exe geeft het volgende weer:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Winpolicies last modified on: Fri Apr 18 17:55:08 2003
You are Running Windows XP.
                                                                                          
User     DN: CN=Test,OU=Test Gebruiker,DC=Domein,DC=local
Computer DN: CN=VMWXPPC,CN=Computers,DC=Domein,DC=local
                                                                                          
Spawning Machine Policy Thread (sleeping)
                                                                                          
Spawning User Policy Thread (sleeping)
                                                                                          
Forced Computer Policy refresh requested.  Please be patient.
                                                                                          
***** Machine Policy applied on Mon Feb 19 16:08:04 2007 
                                                                                          
  Policy Display Name: Default Domain Policy
                                                                                          
##### End of Policy Listing. ####


Ik heb de inheritance optie ook al een keer aangezet zodat de bedoeling zou zijn dat ook alleen maar de daadwerkelijk policy van die OU uitgevoerd zou worden, maar dat levert ook niks op.

Hebben jullie misschien nog suggesties?

  • sh4d0wman
  • Registratie: April 2002
  • Nu online

sh4d0wman

Attack | Exploit | Pwn

Hij krijgt de default domain policy, wat moet ie nog meer krijgen?
Je kan checken met gpupdate /result trouwens. Verder is het misschien makkelijk om GPMC te installeren heb je wat beter overzicht op instellingen.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.


Verwijderd

Topicstarter
sh4d0wman schreef op maandag 19 februari 2007 @ 16:28:
Hij krijgt de default domain policy, wat moet ie nog meer krijgen?
Je kan checken met gpupdate /result trouwens. Verder is het misschien makkelijk om GPMC te installeren heb je wat beter overzicht op instellingen.
Nou de test policy waarin de hierboven genoemde instelling mbt Firewall in staat?, die moet hij uitvoeren GPMC had ik al geinstalleerd.

GPupdate /result werkt niet. Dit commando probeer ik dan wel op een xp station uit te voeren zonder extra resource kits of wat dan ook.

  • nIghtorius
  • Registratie: Juli 2002
  • Laatst online: 25-01 12:24

nIghtorius

Poef!

Weetje:

Als je GPO's toepast op een OU waarop alleen gebruikers aanwezig zijn hou er dan wel rekening mee dan alleen het gebruiker gedeelte van de GPO wordt toegepast niet de computer gedeelte

ik denk dat sh4d0wman het opdracht gpresult bedoelt.

[ Voor 12% gewijzigd door nIghtorius op 19-02-2007 19:44 ]

Ryzen 9 5900X @ 5.1Ghz | MPG B550 GAMING CARBON | 96GB DDR4-3200 | RTX 4070TI | 2TB + 1TB m.2 SSD | 3x 1TB HDD | 1x 2TB SATA SSD | 32" G3223Q (4K/144Hz)


  • AcoLyte!
  • Registratie: September 2006
  • Laatst online: 06-02 17:47

AcoLyte!

*evil grin*

waarschijnlijk doelt hij op 'gpresult'
maar goed, de GUI geeft het net iets duidelijker aan..

don't mistake lack of talent for genius.


Verwijderd

Topicstarter
nIghtorius schreef op maandag 19 februari 2007 @ 19:43:
Weetje:

Als je GPO's toepast op een OU waarop alleen gebruikers aanwezig zijn hou er dan wel rekening mee dan alleen het gebruiker gedeelte van de GPO wordt toegepast niet de computer gedeelte

ik denk dat sh4d0wman het opdracht gpresult bedoelt.
Dit lijkt me nogal logisch, maar ik heb zoveel dingen geprobeert, maar hij voert simpelweg die policy niet uit, maar continue die default domain policy. 8)7

-edit-
Uhm...... ik ga even mijn test omgeving maar weer restoren naar default, want het werkt nu wel..... :X _/-\o_




Nu ik toch een topic heb lopen over policies, hebben jullie misschien ook een oplossing voor het instellen van een geschikte resolutie dmv policies en het muten van al het geluid op een pc?

Ik kan het wel dmv externe programma's zoals mute.exe en reschange.exe die je overal wel kunt vinden, maar in deze omgeving is het niet mogelijk om bestanden te starten tijdens het starten/inloggen. Dit omdat het om een powerfuse omgeving gaat die gelijk bij het starten van je windows een shell start ipv explorer.exe.

[ Voor 37% gewijzigd door Verwijderd op 19-02-2007 20:44 ]


Verwijderd

Die kun je aftrappen met een external task (powerlaunch). Als je deze in appguard authorizeert is er niets aan de hand.

Die policies kun je overigens ook via Powerfuse zetten. Je kunt de complete adm importeren. Dan zit je niet steeds op 2 plekken te kijken.

[ Voor 18% gewijzigd door Verwijderd op 20-02-2007 08:59 ]


Verwijderd

En wat was nou de oplossing waardoor het wel werkte?

Verwijderd

Topicstarter
Verwijderd schreef op dinsdag 20 februari 2007 @ 12:25:
En wat was nou de oplossing waardoor het wel werkte?
Ik gebruik psexec van sysinternals icm mute.exe en reschange.exe met een script die alle pc's bij langs loopt en de resolutie goed zet inclusief de geluid muten. Via een policy heb ik een service stop gezet zodat je je audio niet weer aan kunt zetten.

Tot zover gaat het allemaal prima... :)

-edit-
Mits je mijn laatste gedeelte van mun post bedoelde :P

Eerste gedeelte: Ik had toch waarschijnelijk ergens wat fout gedaan 8)7
Het heeft mij wat tijd gekost, maar heb elke stap uitgevoerd 1 voor 1 en aanmelden afmelden of zelfs reboot en tot zover gaat het goed 8)7

[ Voor 23% gewijzigd door Verwijderd op 20-02-2007 14:33 ]

Pagina: 1