Beste mensen,
ik heb het volgende (rare) probleem.
Situatie:
Bij een klant van ons draait Windows 2003 Server Std Edition. Deze is de enige server in het pand en fungeert als domain controller/Terminal Server.
De gedacht is dat gebruikers met een account kunnen inloggen op een workstation en dan bepaalde rechten krijgen via GPO. Zij kunnen hetzelfde account gebruiken om op de terminal server in te loggen. Hierna zouden zij via een andere policy minder rechten krijgen. De policies zijn als volgt ingedeeld:
OU Bedrijfsnaam
-- OU Users (users)
-- OU Terminal Server
-- OU Workstations
Op de OU Users zit de user policy voor inloggen op workstations gekoppeld. Op de terminal server OU zitten een TS Admin en TS Client policy gekoppeld. Beide met loopback policy enabled (replace). Op de OU Terminal Server staat Block Inheritence aan.
De TS Admin policy wordt toegepast op de Security Group Domain Admin (geen restricties) en de TS Client policy (o.a. Hide drives) wordt gekoppeld aan de Security Group "Afdeling X".
Alles staat dus goed ingesteld. Als ik vervolgens via Group Policy Result Wizard in Group Policy MMC kijk zegt ie dat alleen de local policy is toegepast voor het computer gedeelte en voor de user policy degene die gebruikt wordt voor het inloggen met een workstation. De rest wordt simpelweg "denied due to security filter". De user(s) in kwestie zijn niet lid van enige Security groepen waarop eventuele policies worden gedenied. Dit is getest door alle groepen weg te gooien en zelf de policy alleen op die persoon te laten toepassen.
Nu vraag ik me af, hoe kan dit? Ik heb het forum afgezocht naar een antwoord maar alles wat ik tegenkom is loopback enablen en dan werkt het (bij mij dus niet). Google is in dit geval ook niet echt behulpzaam geweest.
Bij voorbaat dank!!
ik heb het volgende (rare) probleem.
Situatie:
Bij een klant van ons draait Windows 2003 Server Std Edition. Deze is de enige server in het pand en fungeert als domain controller/Terminal Server.
De gedacht is dat gebruikers met een account kunnen inloggen op een workstation en dan bepaalde rechten krijgen via GPO. Zij kunnen hetzelfde account gebruiken om op de terminal server in te loggen. Hierna zouden zij via een andere policy minder rechten krijgen. De policies zijn als volgt ingedeeld:
OU Bedrijfsnaam
-- OU Users (users)
-- OU Terminal Server
-- OU Workstations
Op de OU Users zit de user policy voor inloggen op workstations gekoppeld. Op de terminal server OU zitten een TS Admin en TS Client policy gekoppeld. Beide met loopback policy enabled (replace). Op de OU Terminal Server staat Block Inheritence aan.
De TS Admin policy wordt toegepast op de Security Group Domain Admin (geen restricties) en de TS Client policy (o.a. Hide drives) wordt gekoppeld aan de Security Group "Afdeling X".
Alles staat dus goed ingesteld. Als ik vervolgens via Group Policy Result Wizard in Group Policy MMC kijk zegt ie dat alleen de local policy is toegepast voor het computer gedeelte en voor de user policy degene die gebruikt wordt voor het inloggen met een workstation. De rest wordt simpelweg "denied due to security filter". De user(s) in kwestie zijn niet lid van enige Security groepen waarop eventuele policies worden gedenied. Dit is getest door alle groepen weg te gooien en zelf de policy alleen op die persoon te laten toepassen.
Nu vraag ik me af, hoe kan dit? Ik heb het forum afgezocht naar een antwoord maar alles wat ik tegenkom is loopback enablen en dan werkt het (bij mij dus niet). Google is in dit geval ook niet echt behulpzaam geweest.
Bij voorbaat dank!!
:strip_icc():strip_exif()/u/83667/DDZ_Maliebaan_70px.jpg?f=community)
:strip_icc():strip_exif()/u/12176/workrave2.jpg?f=community)